Partager via


Récupération après une compromission de l’identité système

Cet article décrit les ressources et les recommandations de Microsoft pour la récupération d’une attaque systémique de compromission d’identité contre votre organisation, qui peut se produire lors d’une attaque par ransomware.

Le contenu de cet article est basé sur des conseils fournis par l’équipe de réponse aux incidents Microsoft (anciennement DART/CRSP), qui travaille à répondre aux compromission et aider les clients à devenir cyber-résilients. Pour obtenir des conseils supplémentaires de l’équipe de réponse aux incidents Microsoft, consultez leur série de blog de sécurité Microsoft.

De nombreuses organisations ont migré vers une approche basée sur le Cloud pour renforcer la sécurité de leur gestion des identités et des accès. Toutefois, votre organisation peut également avoir des systèmes locaux en place et utiliser différentes méthodes d’architecture hybride. Cet article reconnaît que les attaques d’identités système affectent les systèmes Cloud, locaux et hybrides, et fournit des recommandations et des références pour tous ces environnements.

Important

Ces informations sont fournies telles quelles et constituent un guide généralisé. la meilleure détermination de l’application de ces instructions à votre environnement informatique et à vos locataires doit prendre en compte votre environnement et vos besoins uniques, que chaque client est dans la meilleure position à déterminer.

À propos de la compromission de l’identité système

Une attaque par le biais d’une identité système compromettre une organisation se produit lorsqu’une personne malveillante parvient à se faire une brèche dans l’administration de l’infrastructure d’identité d’une organisation.

Si cela s’est produit dans votre organisation, vous êtes en concurrence avec la personne malveillante pour sécuriser votre environnement avant que des dommages supplémentaires ne soient effectués.

  • Les attaquants disposant d’un contrôle administratif de l’infrastructure d’identité d’un environnement peuvent utiliser ce contrôle pour créer, modifier ou supprimer des identités et des autorisations d’identité dans cet environnement.

    Dans le cas d'une compromission sur site, si les certificats de signature de jeton SAML de confiance ne sont pas stockés dans un HSM, l'attaque comprend l'accès à ce certificat de signature de jeton SAML de confiance.

  • Les attaquants peuvent ensuite utiliser le certificat pour falsifier les jetons SAML pour emprunter l’identité des utilisateurs et comptes existants de l’organisation sans avoir besoin d’accéder aux informations d’identification du compte et sans laisser de traces.

  • L’accès à un compte à privilèges élevés peut également être utilisé pour ajouter des informations d’identification contrôlées par des attaquants à des applications existantes, ce qui permet aux attaquants d’accéder à votre système non détecté, par exemple pour appeler des API, à l’aide de ces autorisations.

Réponse à l’attaque

La réponse aux violations d’identités système doit inclure les étapes indiquées dans l’image et la table suivantes :

Étapes pour récupérer après une compromission d’identité.

Étape Description
Établir des communications sécurisées Une organisation ayant connu une compromission de l’identité système doit supposer que toutes les communications sont affectées. Avant d’effectuer une action de récupération, vous devez vous assurer que les membres de votre équipe qui sont essentiels à votre travail d’investigation et de réponse peuvent communiquer en toute sécurité.

La sécurisation des communications doit être la première étape pour que vous puissiez continuer sans la connaissance de l’attaquant.
Examinez votre environnement Une fois que vous avez sécurisé les communications sur votre équipe d’investigation de base, vous pouvez commencer à rechercher les points d’accès initiaux et les techniques de persistance. Identifiez vos indications de compromission, puis recherchez les points d’accès et la persistance initiaux. Dans le même temps, commencez à mettre en place des opérations de surveillance continue pendant vos efforts de récupération.
Planifier la posture de sécurité Activez les fonctionnalités et capacités de sécurité à la suite des recommandations recommandées pour améliorer la sécurité du système.

Veillez à poursuivre vos efforts de surveillance continue au fil du temps et de l'évolution du paysage de la sécurité.
Regagner/conserver le contrôle Vous devez récupérer le contrôle administratif de votre environnement à partir de l’attaquant. Une fois que vous avez le contrôle à nouveau et que vous avez actualisé l’état de sécurité de votre système, veillez à corriger ou bloquer toutes les techniques de persistance possibles et les nouvelles attaques d’accès initial.

Établir des communications sécurisées

Avant de commencer à répondre, vous devez être sûr de pouvoir communiquer en toute sécurité sans que l’attaquant n’écoute. Veillez à isoler toutes les communications liées à l’incident afin que l’attaquant ne soit pas dirigé vers votre investigation et soit pris en charge à vos actions de réponse.

Par exemple :

  1. Pour les communications initiales d’un groupe et d’un groupe, vous pouvez utiliser des appels RTPC, des ponts de conférence qui ne sont pas connectés à l’infrastructure d’entreprise et des solutions de messagerie chiffrée de bout en bout.

    Les communications en dehors de ces infrastructures doivent être considérées comme compromises et non approuvées, sauf si elles sont vérifiées via un canal sécurisé.

  2. Après ces conversations initiales, vous souhaiterez peut-être créer un locataire entièrement nouveau Microsoft 365, isolé du locataire de production de l’organisation. Créez des comptes uniquement pour le personnel principal qui doit faire partie de la réponse.

Si vous créez un nouveau locataire Microsoft 365, veillez à suivre toutes les meilleures pratiques pour le locataire, et en particulier pour les comptes et les droits d’administration. Limitez les droits d’administration, sans approbations pour les applications externes ou les fournisseurs.

Important

Assurez-vous de ne pas communiquer avec votre nouveau locataire sur vos comptes de messagerie existants et potentiellement compromis.

Pour plus d'informations, consultez Meilleures pratiques pour la sécurisation de Microsoft 365.

Identifier les indications de compromission

Nous recommandons aux clients de suivre les mises à jour des fournisseurs système, y compris Microsoft et ses partenaires, et d’implémenter les nouvelles détections et protections fournies et d’identifier les incidents publiés de compromission (IOCs).

Recherchez les mises à jour dans les produits de sécurité Microsoft suivants et implémentez les modifications recommandées :

L’implémentation de nouvelles mises à jour vous aidera à identifier les campagnes précédentes et à empêcher les futures campagnes sur votre système. Gardez à l’esprit que les listes de IOCs peuvent ne pas être exhaustives et peuvent se développer au fur et à mesure que des investigations se poursuivent.

Par conséquent, nous vous recommandons également d’effectuer les actions suivantes :

Pour plus d’informations, consultez la documentation relative à la sécurité de Microsoft :

Examinez votre environnement

Une fois que vos répondeurs d’incident et le personnel de la clé ont un emplacement sécurisé pour collaborer, vous pouvez commencer à examiner l’environnement compromis.

Vous devez vous équilibrer jusqu’au bas de chaque comportement anormal et prendre des mesures rapides pour arrêter toute activité supplémentaire de la part de l’attaquant. Toute mise à jour réussie requiert une compréhension de la méthode initiale des méthodes d’entrée et de persistance que l’attaquant a utilisées, comme c’est possible à la fois. Toutes les méthodes de persistance manquées pendant l’investigation peuvent entraîner un accès continu par l’attaquant et une éventuelle réévaluation.

À ce stade, vous souhaiterez peut-être effectuer une analyse des risques pour hiérarchiser vos actions. Pour plus d'informations, consultez les pages suivantes :

Les services de sécurité de Microsoft fournissent des ressources complètes pour effectuer des investigations détaillées. Les sections suivantes décrivent les principales actions recommandées.

Notes

Si vous constatez qu’une ou plusieurs des sources de journalisation listées ne font pas partie de votre programme de sécurité, nous vous recommandons de les configurer dès que possible pour activer les détections et les futures révisions des journaux.

Veillez à configurer la rétention des journaux pour prendre en charge les objectifs d’investigation de votre organisation. Conserver les preuves nécessaires à des fins juridiques, réglementaires ou d’assurance.

Examiner les journaux de l’environnement cloud

Examinez les journaux de l’environnement cloud en vue de détecter les actions suspectes et les indications de compromission. Par exemple, vérifiez les journaux suivants :

Analyse des journaux d’audit du point de terminaison

Passez en revue les journaux d’audit des points de terminaison pour les modifications locales, telles que les types d’actions suivants :

  • Appartenance au groupe modifiée
  • Création d’un compte d'utilisateur
  • Délégations avec Active Directory

En particulier, considérez l’une de ces modifications qui se produisent en même temps que d’autres signes de compromission ou d’activité.

Passer en revue les droits d’administration dans vos environnements

Passez en revue les droits d’administration dans vos environnements Cloud et locaux. Par exemple :

Environnement Description
Tous les environnements cloud -Passer en revue tous les droits d’accès privilégiés dans le Cloud et supprimer les autorisations inutiles
- Implémenter Privileged Identity Management (PIM)
-Configurer des stratégies d’accès conditionnel pour limiter l’accès administratif lors de la sécurisation renforcée
Tous les environnements locaux -Vérifier l’accès privilégié en local et supprimer les autorisations inutiles
-Réduire l’appartenance des groupes prédéfinis
-Vérifier les délégations Active Directory
-Renforcer votre environnement de niveau 0 et limiter l’accès aux ressources de niveau 0
Toutes les applications d’entreprise Passez en revue les autorisations déléguées et les octrois de consentement qui autorisent l’une des actions suivantes :

- Modification des utilisateurs et des rôles privilégiés
- Lecture ou accès à toutes les boîtes aux lettres
- Envoi ou transfert de courrier électronique pour le compte d’autres utilisateurs
- Accès à l’ensemble du contenu du site OneDrive ou SharePoint
- Ajout de principaux de service qui peuvent lire/écrire dans l’annuaire
Environments Microsoft 365 Passez en revue les paramètres d’accès et de configuration de votre environnement Microsoft 365, notamment :
- Partage SharePoint Online
- Microsoft Teams
- Power Apps
- Microsoft OneDrive Entreprise
Examiner les comptes d’utilisateur dans vos environnements - Examinez et supprimez les comptes d’utilisateurs invités qui ne sont plus nécessaires.
- Passez en revue les configurations de messagerie pour les délégués, les autorisations de dossier de boîte aux lettres, les inscriptions d’appareils mobiles ActiveSync, les règles de boîte de réception et les Outlook sur les options Web.
- Passez en revue les droits ApplicationImpersonation et réduisez autant que possible toute utilisation de l’authentification héritée.
- Vérifiez que l’authentification multifacteur est appliquée et que les informations de contact de l’authentification MFA et de la réinitialisation du mot de passe en libre-service (SSPR) pour tous les utilisateurs sont correctes.

Établir une surveillance continue

La détection du comportement d’un attaquant comprend plusieurs méthodes, et dépend des outils de sécurité que votre organisation a mis à votre disposition pour répondre à l’attaque.

Par exemple, les services de sécurité Microsoft peuvent avoir des ressources et des conseils spécifiques qui sont pertinents pour l’attaque, comme décrit dans les sections ci-dessous.

Important

Si votre investigation trouve des preuves d’autorisations d’administration acquises par le biais de la compromission de votre système, qui ont donné accès au compte d’administrateur général de votre organisation et/ou au certificat de signature de jetons SAML approuvé, nous vous recommandons de prendre des mesures pour corriger et conserver le contrôle administratif.

Analyse avec Microsoft Sentinel

Microsoft Sentinel offre de nombreuses ressources intégrées pour vous aider dans votre investigation, telles que la chasse des classeurs et des règles d’analyse qui peuvent aider à détecter les attaques dans les domaines pertinents de votre environnement.

Utilisez le hub de contenu de Microsoft Sentinel pour installer des solutions de sécurité étendues et des connecteurs de données qui diffusent du contenu à partir d’autres services de votre environnement. Pour plus d'informations, consultez les pages suivantes :

Surveillance avec Microsoft Defender pour IoT

Si votre environnement inclut également des ressources OT (Operational Technology), vous pouvez avoir des appareils utilisant des protocoles spécialisés qui privilégient les défis opérationnels par rapport à la sécurité.

Déployez Microsoft Defender pour IoT afin de surveiller et de sécuriser ces appareils, notamment ceux qui ne sont pas protégés par des systèmes de surveillance de la sécurité traditionnels. Installez des capteurs réseau Defender pour IoT à des points d’intérêt spécifiques dans votre environnement pour détecter les menaces dans l’activité réseau en cours à l’aide de la surveillance sans agent et des renseignements dynamiques sur les menaces.

Pour en savoir plus, consultez Démarrage rapide : Bien démarrer avec le monitoring de la sécurité réseau OT.

Monitoring avec Microsoft Defender XDR

Nous vous recommandons de consulter Microsoft Defender XDR for Endpoint et Microsoft Defender Antivirus pour obtenir des conseils d’aide spécifiques à l’attaque subie.

Recherchez d’autres exemples de détections, de requêtes de chasse et de rapports Threat Analytics dans le Centre de sécurité Microsoft, par exemple Microsoft Defender XDR, Microsoft Defender XDR pour Identity et Microsoft Defender for Cloud Apps. Pour garantir la couverture, veillez à installer l' agent Microsoft Defender pour Identity sur les serveurs ADFS en plus de tous les contrôleurs de domaine.

Pour plus d'informations, consultez les pages suivantes :

Surveillance avec Microsoft Entra ID

Les journaux de connexion Microsoft Entra peuvent indiquer si l’authentification multifacteur est utilisée correctement. Accédez aux journaux de connexion directement de la zone Microsoft Entra dans le portail Azure et utilisez la cmdlet Get-MgBetaAuditLogSignIn, ou consultez-les dans la zone Journaux de Microsoft Sentinel.

Par exemple, recherchez ou filtrez les résultats lorsque le champ de résultats de l'authentification multifacteur contient la valeur Exigence de l'authentification multifacteur satisfaite par une réclamation dans le jeton. Si votre organisation utilise ADFS et que les revendications journalisées ne sont pas incluses dans la configuration ADFS, ces revendications peuvent indiquer une activité malveillante.

Recherchez ou filtrez vos résultats plus en détail pour exclure le bruit supplémentaire. Par exemple, vous souhaiterez peut-être inclure des résultats uniquement à partir de domaines fédérés. Si vous trouvez des connexions suspectes, explorez encore plus en détail en fonction des adresses IP, des comptes d’utilisateur, etc.

Le tableau suivant décrit d’autres méthodes d’utilisation des journaux Microsoft Entra dans votre investigation :

Méthode Description
Analyser les événements de connexion risquée Microsoft Entra ID et sa plateforme Identity Protection peuvent générer des événements à risque associés à l’utilisation de jetons SAML générés par un attaquant.

Ces événements peuvent être qualifiés de propriétés inconnues, d'adresse IP anonyme, de voyage impossible, etc.

Nous vous recommandons d’analyser attentivement tous les événements à risque associés à des comptes disposant de privilèges d’administration, y compris ceux qui peuvent avoir été automatiquement ignorés ou corrigés. Par exemple, un événement à risque ou une adresse IP anonyme peut être corrigé automatiquement, car l’utilisateur a passé l’authentification multifacteur.

Veillez à utiliser ADFS Connect Health pour que tous les événements d'authentification soient visibles dans Microsoft Entra ID.
Détecter les propriétés d’authentification du domaine Toute tentative d’une personne malveillante de manipuler des stratégies d’authentification de domaine sera consignée dans les journaux d’audit Microsoft Entra et reportée dans le journal d’audit unifié.

Par exemple, examinez les événements associés à Définir une authentification de domaine dans le journal d’audit unifié, les journaux d’audit Microsoft Entra et/ou votre environnement SIEM pour vérifier que toutes les activités listées étaient prévues et planifiées.
Détecter les informations d’identification pour les applications OAuth Les attaquants qui ont gagné le contrôle d’un compte privilégié peuvent rechercher une application ayant la possibilité d’accéder à la messagerie de l’utilisateur dans l’organisation, puis d’ajouter des informations d’identification contrôlées par l’attaquant à cette application.

Par exemple, vous souhaiterez peut-être Rechercher les activités suivantes, qui sont cohérentes avec le comportement des attaquants :
- Ajout ou mise à jour des informations d’identification du principal du service
- Mise à jour des certificats et des secrets d’application
- Ajout d’une attribution de rôle d’application à un utilisateur
- Ajouter Oauth2PermissionGrant
Détecter l’accès au courrier électronique par les applications Recherchez l’accès à la messagerie électronique par les applications dans votre environnement. Par exemple, utilisez les caractéristiques d'audit (Premium) de Microsoft Purview pour enquêter sur les comptes compromis.
Détecter les connexions non interactives aux principaux de service Les rapports de connexion Microsoft Entra fournissent des détails sur les connexions non interactives qui utilisaient des informations d’identification de principal de service. Par exemple, vous pouvez utiliser les rapports de connexion pour rechercher des données précieuses pour votre investigation, telles qu’une adresse IP utilisée par l’attaquant pour accéder aux applications de messagerie.

Améliorer la posture de sécurité

Si un événement de sécurité s’est produit dans vos systèmes, nous vous recommandons de réfléchir à votre stratégie de sécurité et à vos priorités actuelles.

Les répondeurs d’incidents sont souvent invités à fournir des recommandations sur les investissements que l’organisation doit donner en priorité, à présent qu’elle est face à de nouvelles menaces.

En plus des recommandations documentées dans cet article, nous vous recommandons de privilégier les zones de focus qui répondent aux techniques postérieures à l’exploitation utilisées par cette personne malveillante et les lacunes courantes en matière de sécurité qui les activent.

Les sections suivantes répertorient les recommandations pour améliorer la sécurité générale et la position de sécurité des identités.

Améliorer la sécurité générale

Nous vous recommandons d’effectuer les actions suivantes pour garantir votre position générale en matière de sécurité :

Améliorer la posture de sécurité des identités

Nous vous recommandons d’effectuer les actions suivantes pour garantir votre position générale en matière de sécurité :

  • Passez en revue les cinq étapes de Microsoft en matière de sécurisation de votre infrastructure d’identité et hiérarchisez les étapes appropriées pour votre architecture d’identité.

  • Envisagez de migrer vers les paramètres de sécurité par défaut de Microsoft Entra pour votre stratégie d’authentification.

  • Éliminez l’utilisation de l’authentification héritée par votre organisation, si les systèmes ou les applications en ont encore besoin. Pour plus d’informations, consultez Bloquer l’authentification héritée sur Microsoft Entra ID avec l’accès conditionnel.

  • Traitez votre infrastructure ADFS et votre infrastructure AD Connect en tant que ressource de niveau 0.

  • Limitez l’accès administrateur local au système, y compris le compte utilisé pour exécuter le service ADFS.

    Le moindre privilège nécessaire pour le compte qui exécute l'ADFS est l'attribution de droits d'utilisateur de connexion en tant que service.

  • Limitez l’accès administratif à des utilisateurs limités et à des plages d’adresses IP limitées à l’aide de stratégies de pare-feu Windows pour les Bureau à distance.

    Nous vous recommandons de configurer une zone de saut ou un système équivalent de niveau 0.

  • Bloquer tout accès SMB entrant aux systèmes à partir de n’importe quel emplacement de l’environnement. Pour plus d’informations, consultez la rubrique Au-delà de la périphérie : Comment sécuriser le trafic SMB dans Windows. Nous vous recommandons également de diffuser les journaux du pare-feu Windows vers SIEM pour une surveillance historique et proactive.

  • Si vous utilisez un compte de service et que votre environnement le prend en charge, effectuez une migration à partir d’un compte de service vers un compte de service géré par le groupe (gMSA) . Si vous ne pouvez pas passer à un gMSA, faites pivoter le mot de passe du compte de service en un mot de passe complexe.

  • .Vérifiez que la journalisation détaillée est activée sur vos systèmes ADFS.

Corriger et conserver le contrôle administratif

Si votre investigation a identifié que la personne malveillante dispose d’un contrôle administratif dans le Cloud ou l’environnement local de l’organisation, vous devez récupérer le contrôle de façon à ce que la personne malveillante ne soit pas persistante.

Cette section fournit les méthodes possibles et les étapes à prendre en compte lors de la création de votre plan de récupération de contrôle d’administration.

Important

Les étapes exactes requises dans votre organisation dépendent de la persistance que vous avez découverte dans votre investigation et de la confiance que vous avez apportée à votre investigation, et ont découvert toutes les méthodes d’entrée et de persistance possibles.

Assurez-vous que toutes les actions effectuées sont effectuées à partir d’un appareil de confiance, créé à partir d’une source propre. Par exemple, utilisez une nouvelle station de travail à accès privilégié.

Les sections suivantes présentent les types de recommandations suivants pour la correction et la conservation du contrôle administratif :

  • Suppression de l’approbation sur vos serveurs actuels
  • Faire pivoter votre certificat de signature de jetons SAML ou remplacer vos serveurs ADFS si nécessaire
  • Activités de correction spécifiques pour les environnements Cloud ou locaux

Suppression de l’approbation sur vos serveurs actuels

Si votre organisation a perdu le contrôle des certificats de signature de jetons ou de l’approbation fédérée, l’approche la plus fiable consiste à supprimer la confiance et à passer à l’identité de la maîtrise du Cloud lors de la correction locale.

La suppression de l’approbation et le passage à l’identité sous forme de Cloud nécessite une planification minutieuse et une compréhension approfondie des effets de l’isolation de l’identité. Pour plus d’informations, consultez Protection de Microsoft 365 contre les attaques locales.

Faire pivoter votre certificat de signature de jetons SAML

Si votre organisation décide de ne pasSupprimer l’approbation lors de la récupération du contrôle d’administration en local, vous devrez faire pivoter votre certificat de signature de jetons SAML après avoir regagné le contrôle administratif localement et bloqué la capacité des attaquants à accéder de nouveau au certificat de signature.

Faire pivoter le certificat de signature de jetons une seule fois permet toujours au certificat de signature de jetons précédent de fonctionner. La poursuite de l’utilisation des certificats précédents pour le travail est une fonctionnalité intégrée pour les rotations de certificats normales, qui permet aux organisations de mettre à jour les approbations de partie de confiance avant l’expiration du certificat.

En cas d’attaque, vous ne voulez pas que l’attaquant conserve l’accès. Veillez à vous assurer que l’attaquant n’a pas la possibilité de conserver des jetons pour votre domaine.

Pour en savoir plus, consultez :

Remplacer vos serveurs ADFS

Si, au lieu de faire pivoter votre certificat de signature de jetons SAML, vous décidez de remplacer les serveurs ADFS par des systèmes propres, vous devez supprimer les services ADFS existants de votre environnement, puis en créer un nouveau.

Pour plus d'informations, voir Supprimer une configuration.

Activités de correction du Cloud

En plus des recommandations répertoriées plus haut dans cet article, nous vous recommandons également d’utiliser les activités suivantes pour vos environnements Cloud :

Activité Description
Réinitialiser les mots de passe Réinitialisez les mots de passe sur tous les comptes de coupe et réduisez le nombre de comptes de secours au minimum requis.
Restreindre les comptes d'accès privilégiés Vérifiez que les comptes de service et d’utilisateur disposant d’un accès privilégié sont des comptes Cloud uniquement et n’utilisez pas de comptes locaux synchronisés ou fédérés avec Microsoft Entra ID.
Authentification multifacteur Appliquez Multi-Factor Authentication (MFA) à tous les utilisateurs élevés du locataire. Nous vous recommandons d’appliquer MFA pour tous les utilisateurs du locataire.
Limiter l'accès administratif Mettre en œuvre la gestion des identités privilégiées (PIM) et l'accès conditionnel pour limiter l'accès administratif.

Pour les utilisateurs Microsoft 365, implémentez Privileged Access Management (PAM) pour limiter l’accès aux capacités sensibles, telles que eDiscovery, l’administrateur général, l’administration des comptes, etc.
Examiner/réduire les autorisations déléguées et les octrois de consentement Examinez et réduisez toutes les Applications Enterprise les autorisations déléguées ou les octrois de consentement qui autorisent les fonctionnalités suivantes :

- Modification des utilisateurs et des rôles privilégiés
- Lecture, envoi d’e-mails ou accès à toutes les boîtes aux lettres
- Accès au contenu OneDrive, Teams ou SharePoint
- Ajout de principaux de service qui peuvent lire/écrire dans l’annuaire
- Autorisations d’application et accès délégué

Activités de correction locales

En plus des recommandations énumérées plus haut dans cet article, nous recommandons également les activités suivantes pour vos environnements sur site :

Activité Description
Reconstruire les systèmes affectés Reconstruisez les systèmes qui ont été identifiés comme compromis par l’attaquant pendant votre investigation.
Supprimer les utilisateurs administrateurs inutiles Supprimez les membres inutiles des administrateurs de domaine, des opérateurs de sauvegarde et des groupes d’administrateurs de Enterprise. Pour plus d’informations, consultez Sécurisation de l’accès privilégié.
Réinitialiser les mots de passe des comptes privilégiés Réinitialisez les mots de passe de tous les comptes privilégiés dans l’environnement.

Remarque: les comptes privilégiés ne sont pas limités à des groupes prédéfinis, mais peuvent également être des groupes qui disposent d’un accès délégué à l’administration de serveur, à l’administration de station de travail ou à d’autres zones de votre environnement.
Réinitialisation du compte krbtgt Réinitialisez le compte krbtgt deux fois en utilisant le script New-KrbtgtKeys.

Remarque: Si vous utilisez des contrôleurs de domaine Read-Only, vous devez exécuter le script séparément pour les contrôleurs de domaine Read-Write et pour les contrôleurs de domaine Read-Only.
Planifier un redémarrage du système Après avoir validé qu’aucun mécanisme de persistance créé par l’attaquant n’existe ou n’est resté sur votre système, planifiez un redémarrage du système pour vous aider à supprimer les logiciels malveillants résidant en mémoire.
Réinitialiser le mot de passe DSRM Réinitialisez le mot de passe DSRM (mode de restauration des services d’annuaire) du contrôleur de domaine sur une valeur unique et complexe.

Corriger ou bloquer la persistance détectée pendant l’investigation

L’investigation est un processus itératif, et vous devez trouver un équilibre entre le souhait de mettre à jour l’organisation et la correction à mesure que vous identifiez les anomalies et le risque que la mise à jour informe la personne malveillante de votre Détection et lui donne le temps de réagir.

Par exemple, une personne malveillante qui prend connaissance de la détection peut changer les techniques ou créer plus de persistance.

Veillez à corriger toutes les techniques de persistance que vous avez identifiées lors des étapes précédentes de l’investigation.

Résoudre l’accès au compte d’utilisateur et de service

En plus des actions recommandées mentionnées ci-dessus, nous vous recommandons de prendre en compte les étapes suivantes pour corriger et restaurer les comptes d’utilisateur :

  • Appliquer l’accès conditionnel en fonction des appareils de confiance. Si possible, nous vous recommandons d'appliquer un accès conditionnel basé sur l'emplacement pour répondre à vos besoins organisationnels.

  • Réinitialisez les mots de passe après éviction pour tous les comptes d’utilisateur qui ont peut-être été compromis. Veillez également à mettre en œuvre un plan à moyen terme pour réinitialiser les informations d'identification de tous les comptes de votre répertoire.

  • Révoquez les jetons d’actualisation immédiatement après avoir pivoté vos informations d’identification.

    Pour en savoir plus, consultez :

Étapes suivantes

  • Obtenez de l’aide à partir des produits Microsoft, notamment le portail Microsoft Defender, le portail de conformité Microsoft Purview ainsi que le Centre de sécurité et de conformité Office 365 en sélectionnant le bouton Aide (?) dans la barre de navigation supérieure.

  • Pour une assistance au déploiement, contactez-nous à FastTrack

  • Si vous avez des besoins en matière de support technique, prenez le cas du support Microsoft.

    Important

    Si vous pensez que vous avez été compromis et que vous avez besoin d’aide par le biais d’une réponse à un incident, ouvrez une gravité un cas de support Microsoft.