Détection des menaces avec Microsoft Sentinel (création de règles et d'alertes)

Détection des menaces avec Microsoft Sentinel (création de règles et d'alertes)

03/01/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la détection proactive des menaces à l'aide de Microsoft Sentinel, du SIEM (Security Information and Event Management) cloud natif de Microsoft et de SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel fournit une vue unifiée de la sécurité dans toute l'entreprise en collectant des données provenant de plusieurs sources, en détectant les menaces, en enquêtant sur les incidents et en y répondant de manière automatisée [1].

Présentation

Dans un paysage de cybermenaces de plus en plus complexe et volumineux, les organisations ont besoin d'outils qui non seulement collectent des données de sécurité, mais qui les analysent également intelligemment pour identifier les activités malveillantes. Microsoft Sentinel comble cette lacune en permettant aux équipes de sécurité de surveiller, détecter et répondre aux menaces en temps réel. La création de règles d'analyse et d'alertes est au cœur des capacités de détection de Sentinel, transformant de vastes volumes de journaux en informations exploitables [2].

This practical guide will cover configuring analytics rules in Azure Sentinel, from ingesting data to creating custom alerts and validating their effectiveness. Des instructions étape par étape, des exemples de requêtes KQL (Kusto Query Language) et des descriptions seront fournis afin que le lecteur puisse mettre en œuvre et optimiser la détection des menaces dans son environnement, renforçant ainsi sa posture de sécurité et accélérant la réponse aux incidents.

Pourquoi Azure Sentinel pour la détection des menaces ?

  • Évolutivité du cloud : basé sur Azure, il offre une évolutivité illimitée pour l'ingestion et le stockage des journaux.
  • Integrated Threat Intelligence : utilise les informations sur les menaces de Microsoft et de ses partenaires pour enrichir la détection.
  • Analyse comportementale (UEBA) : Identifie les anomalies et les comportements suspects des utilisateurs et des entités.
  • Automation (SOAR) : vous permet d'automatiser les réponses aux incidents via des playbooks.
  • Visibilité complète : se connecte à plusieurs sources de données, notamment Microsoft 365, Azure, AWS, Google Cloud et des solutions de sécurité tierces.

Prérequis

Pour configurer la détection des menaces avec Azure Sentinel, vous aurez besoin des éléments suivants :

  1. Abonnement Azure : un abonnement Microsoft Azure actif.
  2. Accès administratif : un compte avec les autorisations Sentinel Contributor ou Log Analytics Administrator dans le portail Azure (portal.azure.com).
  3. Espace de travail Log Analytics : un espace de travail Log Analytics configuré qui sert de référentiel de données pour Sentinel.
  4. Microsoft Sentinel Active : Microsoft Sentinel doit être activé dans l'espace de travail Log Analytics.
  5. Connecteurs de données configurés : les données de sécurité (journaux) doivent être ingérées dans l'espace de travail Log Analytics à partir de sources telles qu'Azure AD, Microsoft 365, Microsoft Defender for Endpoint, des pare-feu, etc. [3].

Étape par étape : création de règles d'analyse et d'alertes

Let's create a scheduled analysis rule to detect a common threat scenario: multiple login failures in a short period of time, indicating a brute force attempt.

1. Vérifiez les connecteurs de données

Avant de créer des règles, assurez-vous que les données pertinentes sont ingérées. Pour la détection des échecs de connexion, nous avons besoin des journaux d'Azure Active Directory (Microsoft Entra ID).

  1. Accédez au portail Azure : https://portal.azure.com.
  2. Accédez à Microsoft Sentinel.
  3. Dans le volet de navigation de gauche, sélectionnez Connecteurs de données.
  4. Recherchez Azure Active Directory et vérifiez que l'état est Connecté.

2. Créer une règle d'analyse planifiée

Créons une règle qui détecte 5 échecs de connexion ou plus à partir de la même adresse IP en 10 minutes.

  1. Dans Azure Sentinel, dans le volet de navigation de gauche, sélectionnez Analytics.
  2. Cliquez sur + Créer > Règle de requête planifiée.

Étape 1 : Général

  1. Nom : Tentative Azure AD Brute Force
  2. Description: Detects multiple Azure AD login failures from the same IP address within a short period of time, indicating possible brute force attack.
  3. Tactiques : sélectionnez « Accès aux informations d'identification ».
  4. Gravité : « Moyenne ».
  5. Statut : « Activé ».
  6. Cliquez sur Suivant : Défidéfinir la logique des règles.

Étape 2 : Définir la logique des règles

  1. Requête de règle : saisissez la requête KQL :
Journaux de connexion
| où ResultType == "50126" // La validation des informations d'identification a échoué
| résumer FailedLogins = count() par IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| où FailedLogins >= 5
| étendre AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Mappage d'entités : mappez les entités pour enrichir les alertes. Sous Mappage d'entité, ajoutez :

    • Compte : AccountCustomEntity
    • Adresse IP : IPCustomEntity

  2. Prendre rendez-vous :

    • Exécuter la requête toutes les : 10 minutes
    • Dernières données de recherche : « 10 minutes »

  3. Limite d'alerte : laissez la valeur par défaut « Générer une alerte lorsque le nombre de résultats de requête est supérieur à 0 ».

Étape 3 : Paramètres des incidents

  1. Créer des incidents à partir des alertes déclenchées par cette règle d'analyse : Activé.
  2. Regroupement d'alertes : « Regroupez les alertes en un seul incident si toutes les alertes sont générées à partir de la même entité ».

Étape 4 : Réponse automatisée

En option, vous pouvez joindre un playbook (basé sur Logic Apps) pour automatiser des actions telles que le blocage de l'adresse IP dans le pare-feu ou la désactivation du compte utilisateur.

Étape 5 : Vérifier et créer

Vérifiez tous les paramètres et cliquez sur Créer.

Enquêter sur les alertes et les incidents

Lorsque la règle détecte une activité suspecte, un incident est créé.

  1. Dans Azure Sentinel, accédez à Incidents.
  2. Cliquez sur l'incident généré par votre règle.
  3. Sur la page des détails de l'incident, vous verrez :
    • Chronologie : une chronologie des alertes.
    • Entités : les entités mappées (utilisateur et IP), qui peuvent faire l'objet d'une enquête plus approfondie.
    • Graphique d'enquête : une visualisation graphique des connexions entre les entités.

Utilisez ces outils pour comprendre la portée de l’attaque et prendre les mesures de réponse nécessaires.

Utilisation de modèles de règles Analytics

Microsoft Sentinel est livré avec des centaines de modèles de règles prédéfinis par Microsoft et sa communauté de sécurité. Leur utilisation est un moyen rapide d’augmenter votre capacité de détection.

  1. Dans Analyse, accédez à l'onglet Modèles de règles.
  2. Filtrer par sources de données, tactiques MITRE ATT&CK®, etc.
  3. Sélectionnez un modèle pertinent (par exemple « Emplacement de connexion anormal »).
  4. Cliquez sur Créer une règle dans le volet d'informations. L'assistant sera renseigné avec la logique et les paramètres du modèle, que vous pourrez personnaliser avant de créer la règle active.

Conclusion

La création de règles d’analyse personnalisées dans Azure Sentinel est une fonctionnalité essentielle pour toute équipe de sécurité. En transformant les données brutes en détections exploitables, les organisations peuvent identifier de manière proactive les menaces telles que les attaques par force brute, les mouvements latéraux et l'exfiltration de données. Associé à l'automatisation des réponses et aux modèles de règles existants, Sentinel permet aux analystes de se concentrer sur ce qui compte le plus : la protection de l'organisation.

Références

[1]Microsoft. (2023). Qu'est-ce que Microsoft Sentinel ? [2]Microsoft. (2023). Affichez et enquêtez sur les incidents dans Microsoft Sentinel. [3]Microsoft. (2023). Travailler avec les connecteurs de données Microsoft Sentinel.