Créer des stratégies de détection d’anomalies Defender for Cloud Apps

Les stratégies de détection d’anomalies Microsoft Defender for Cloud Apps fournissent l’analytique comportementale des utilisateurs et des entités prêtes à l’emploi (UEBA) et le Machine Learning (ML) afin que vous soyez prêt dès le début à exécuter la détection avancée des menaces dans votre environnement cloud. Comme elles sont automatiquement activées, les nouvelles stratégies de détection des anomalies démarrent immédiatement le processus de détection et de collecte des résultats, ciblant de nombreuses anomalies comportementales sur vos utilisateurs et les machines et appareils connectés à votre réseau. En outre, les stratégies exposent davantage de données à partir du moteur de détection Defender for Cloud Apps, pour vous aider à accélérer le processus d’investigation et à contenir les menaces en cours.

Les stratégies de détection des anomalies sont automatiquement activées, mais Defender for Cloud Apps a une période d’apprentissage initiale de sept jours pendant laquelle toutes les alertes de détection d’anomalie ne sont pas déclenchées. Après cela, à mesure que les données sont collectées à partir de vos connecteurs d’API configurés, chaque session est comparée à l’activité, au moment où les utilisateurs étaient actifs, aux adresses IP, aux appareils, etc., détectées au cours du dernier mois et au score de risque de ces activités. N’oubliez pas que la disponibilité des données à partir des connecteurs d’API peut prendre plusieurs heures. Ces détections font partie du moteur de détection d’anomalie heuristique qui profile votre environnement et déclenche des alertes par rapport à une base de référence apprise sur l’activité de votre organization. Ces détections utilisent également des algorithmes d’apprentissage automatique conçus pour profiler les utilisateurs et le modèle de connexion afin de réduire les faux positifs.

Les anomalies sont détectées en analysant l’activité des utilisateurs. Le risque est évalué en examinant plus de 30 indicateurs de risque différents, regroupés en facteurs de risque, comme suit :

• Adresse IP à risque
• Échecs de connexion
• Activité d’administration
• Comptes inactifs
• Emplacement
• Temps de trajet impossible
• Appareil et agent utilisateur
• Taux d’activité

En fonction des résultats de la stratégie, des alertes de sécurité sont déclenchées. Defender for Cloud Apps examine chaque session utilisateur sur votre cloud et vous avertit en cas de problème différent de la base de référence de votre organization ou de l’activité régulière de l’utilisateur.

En plus des alertes Defender for Cloud Apps natives, vous obtenez également les alertes de détection suivantes en fonction des informations reçues de Protection Microsoft Entra ID :

• Informations d’identification divulguées : déclenchée lorsque les informations d’identification valides d’un utilisateur ont été divulguées. Pour plus d’informations, consultez Détection des informations d’identification divulguées de Microsoft Entra ID.
• Connexion risquée : combine un certain nombre de détections de connexion Protection Microsoft Entra ID en une seule détection. Pour plus d’informations, consultez détections des risques de connexion de Microsoft Entra ID.

Ces stratégies s’affichent dans la page stratégies Defender for Cloud Apps et peuvent être activées ou désactivées.

Stratégies de détection des anomalies

Vous pouvez voir les stratégies de détection des anomalies dans le portail Microsoft Defender, en accédant à Cloud Apps ->Stratégies ->Gestion des stratégies. Choisissez ensuite Stratégie de détection d’anomalie pour le type de stratégie.

Les stratégies de détection d’anomalie suivantes sont disponibles :

Temps de trajet impossible

• • Cette détection identifie deux activités utilisateur (dans une ou plusieurs sessions) provenant d’emplacements géographiquement distants dans un laps de temps plus court que le temps qu’il aurait fallu à l’utilisateur pour se déplacer du premier au deuxième, indiquant qu’un utilisateur différent utilise les mêmes informations d’identification. Cette détection utilise un algorithme d’apprentissage automatique qui ignore les « faux positifs » évidents qui contribuent à la condition de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres utilisateurs dans le organization. La détection a une période d’apprentissage initiale de sept jours pendant laquelle elle apprend le modèle d’activité d’un nouvel utilisateur. La détection des déplacements impossibles identifie les activités inhabituelles et impossibles de l’utilisateur entre deux emplacements. L’activité doit être suffisamment inhabituelle pour être considérée comme un indicateur de compromission et digne d’une alerte. Pour que cela fonctionne, la logique de détection inclut différents niveaux de suppression pour traiter les scénarios qui peuvent déclencher des faux positifs, tels que des activités VPN ou des activités de fournisseurs de cloud qui n’indiquent pas d’emplacement physique. Le curseur de sensibilité vous permet d’affecter l’algorithme et de définir la rigueur de la logique de détection. Plus le niveau de sensibilité est élevé, moins d’activités sont supprimées dans le cadre de la logique de détection. De cette façon, vous pouvez adapter la détection en fonction de vos besoins de couverture et de vos cibles SNR.

    Remarque

    • Lorsque les adresses IP des deux côtés du voyage sont considérées comme sûres et que le curseur de sensibilité n’est pas défini sur Élevé, le voyage est approuvé et exclu du déclenchement de la détection voyage impossible. Par exemple, les deux côtés sont considérés comme sûrs s’ils sont étiquetés comme des entreprises. Toutefois, si l’adresse IP d’un seul côté du voyage est considérée comme sûre, la détection est déclenchée normalement.
    • Les emplacements sont calculés au niveau d’un pays ou d’une région. Cela signifie qu’il n’y aura pas d’alerte pour deux actions provenant du même pays/région ou des pays/régions voisins.

Activité provenant d’un pays peu fréquent

• Cette détection prend en compte les emplacements d’activité passés pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalie stocke des informations sur les emplacements précédents utilisés par l’utilisateur. Une alerte est déclenchée lorsqu’une activité se produit à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par l’utilisateur. Pour réduire les alertes de faux positifs, la détection supprime les connexions qui sont caractérisées par des préférences communes à l’utilisateur.

Détection des logiciels malveillants

Cette détection identifie les fichiers malveillants dans votre stockage cloud, qu’ils proviennent de vos applications Microsoft ou d’applications tierces. Microsoft Defender for Cloud Apps utilise le renseignement sur les menaces de Microsoft pour déterminer si certains fichiers qui correspondent à des heuristiques de risque telles que le type de fichier et le niveau de partage sont associés à des attaques de programmes malveillants connus et sont potentiellement malveillants. Cette stratégie intégrée est désactivée par défaut. Une fois que des fichiers malveillants sont détectés, vous pouvez voir une liste de fichiers infectés. Sélectionnez le nom du fichier de programme malveillant dans le tiroir de fichiers pour ouvrir un rapport sur les programmes malveillants qui vous fournit des informations sur le type de programme malveillant avec lequel le fichier est infecté.

Utilisez cette détection pour contrôler les chargements et les téléchargements de fichiers en temps réel avec des stratégies de session.

Bac à sable (sandboxing) de fichiers

En activant le bac à sable de fichiers, les fichiers qui, en fonction de leurs métadonnées et basés sur des heuristiques propriétaires, sont également analysés dans un environnement sécurisé. L’analyse du bac à sable peut détecter des fichiers qui n’ont pas été détectés en fonction de sources de renseignement sur les menaces.

Defender for Cloud Apps prend en charge la détection des programmes malveillants pour les applications suivantes :

• Box
• Dropbox
• Passer de Google Workspace

Remarque

• Le sandboxing de manière proactive sera effectué dans des applications tierces (Box, Dropbox , etc.). Dans OneDrive et SharePoint , les fichiers sont analysés et mis en bac à sable dans le cadre du service lui-même.
• Dans Box, Dropbox et Google Workspace, Defender for Cloud Apps ne bloque pas automatiquement le fichier, mais le blocage peut être effectué en fonction des fonctionnalités de l’application et de la configuration de l’application définies par le client.
• Si vous ne savez pas si un fichier détecté est vraiment un programme malveillant ou un faux positif, accédez à la page Renseignement de sécurité Microsoft et https://www.microsoft.com/wdsi/filesubmission envoyez le fichier pour une analyse plus approfondie.

Activité provenant d’adresses IP anonymes

• Cette détection identifie que les utilisateurs étaient actifs à partir d’une adresse IP qui a été identifiée en tant qu’adresse IP de proxy anonyme. Ces proxys sont utilisés par les personnes qui souhaitent masquer l’adresse IP de leur appareil et peuvent être utilisés à des fins malveillantes. Cette détection utilise un algorithme d’apprentissage automatique qui réduit les « faux positifs », tels que les adresses IP mal étiquetées qui sont largement utilisées par les utilisateurs dans le organization.

Activité de rançongiciel

• Defender for Cloud Apps étendu ses fonctionnalités de détection de ransomware avec la détection des anomalies pour garantir une couverture plus complète contre les attaques sophistiquées par ransomware. En utilisant notre expertise en recherche en sécurité pour identifier les modèles comportementaux qui reflètent l’activité de ransomware, Defender for Cloud Apps garantit une protection holistique et robuste. Si Defender for Cloud Apps identifie, par exemple, un taux élevé de chargements de fichiers ou d’activités de suppression de fichiers, cela peut représenter un processus de chiffrement défavorable. Ces données sont collectées dans les journaux d’activité reçus à partir des API connectées et sont ensuite combinées avec des modèles comportementaux appris et des informations sur les menaces, par exemple, des extensions de ransomware connues. Pour plus d’informations sur la façon dont Defender for Cloud Apps détecte les rançongiciels, consultez Protection de votre organization contre les rançongiciels.

Activité effectuée par un utilisateur résilié

• Cette détection vous permet d’identifier quand un employé licencié continue d’effectuer des actions sur vos applications SaaS. Étant donné que les données montrent que le plus grand risque de menace interne provient des employés qui sont partis en mauvaises conditions, il est important de garder un œil sur l’activité sur les comptes des employés licenciés. Parfois, lorsque les employés quittent une entreprise, leurs comptes sont déprovisionnés des applications d’entreprise, mais dans de nombreux cas, ils conservent toujours l’accès à certaines ressources de l’entreprise. Cela est encore plus important lorsque vous envisagez des comptes privilégiés, car les dommages potentiels qu’un ancien administrateur peut faire sont par nature plus importants. Cette détection tire parti de la capacité Defender for Cloud Apps à surveiller le comportement des utilisateurs entre les applications, ce qui permet d’identifier l’activité régulière de l’utilisateur, le fait que le compte a été supprimé et l’activité réelle sur d’autres applications. Par exemple, un employé dont le compte Microsoft Entra a été supprimé, mais qui a toujours accès à l’infrastructure AWS de l’entreprise, peut causer des dommages à grande échelle.

La détection recherche les utilisateurs dont les comptes ont été supprimés dans Microsoft Entra ID, mais qui continuent d’effectuer des activités sur d’autres plateformes telles qu’AWS ou Salesforce. Cela est particulièrement pertinent pour les utilisateurs qui utilisent un autre compte (et non leur compte d’authentification unique principal) pour gérer les ressources, car ces comptes ne sont souvent pas supprimés lorsqu’un utilisateur quitte l’entreprise.

Activité provenant d’adresses IP suspectes

• Cette détection identifie que les utilisateurs étaient actifs à partir d’une adresse IP identifiée comme risquée par Microsoft Threat Intelligence. Ces adresses IP sont impliquées dans des activités malveillantes, telles que la pulvérisation de mot de passe, Botnet C&C, et peuvent indiquer un compte compromis. Cette détection utilise un algorithme d’apprentissage automatique qui réduit les « faux positifs », tels que les adresses IP mal étiquetées qui sont largement utilisées par les utilisateurs dans le organization.

Transfert de boîte de réception suspect

• Cette détection recherche les règles de transfert de courrier suspectes, par exemple, si un utilisateur a créé une règle de boîte de réception qui transfère une copie de tous les e-mails à une adresse externe.

Remarque

Defender for Cloud Apps vous avertit uniquement pour chaque règle de transfert identifiée comme suspecte, en fonction du comportement typique de l’utilisateur.

Règles de manipulation de la boîte de réception suspectes

• Cette détection profile votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable ou des programmes malveillants dans votre organization.

Activité suspecte de suppression d’e-mails (préversion)

• Cette stratégie profile votre environnement et déclenche des alertes lorsqu’un utilisateur effectue des activités suspectes de suppression d’e-mails dans une seule session. Cette stratégie peut indiquer que les boîtes aux lettres d’un utilisateur peuvent être compromises par des vecteurs d’attaque potentiels tels que la communication de commande et de contrôle (C&C/C2) par e-mail.

Remarque

Defender for Cloud Apps s’intègre à Microsoft Defender XDR pour assurer la protection d’Exchange Online, notamment la détonation d’URL, la protection contre les programmes malveillants et bien plus encore. Une fois Defender pour Microsoft 365 activé, vous commencez à voir des alertes dans le journal d’activité Defender for Cloud Apps.

Activités de téléchargement de fichiers d’application OAuth suspectes

• Analyse les applications OAuth connectées à votre environnement et déclenche une alerte lorsqu’une application télécharge plusieurs fichiers à partir de Microsoft SharePoint ou Microsoft OneDrive d’une manière inhabituelle pour l’utilisateur. Cela peut indiquer que le compte d’utilisateur est compromis.

IsP inhabituel pour un Application OAuth

• Cette stratégie profile votre environnement et déclenche des alertes lorsqu’une application OAuth se connecte à vos applications cloud à partir d’un fournisseur de services Internet rare. Cette stratégie peut indiquer qu’un attaquant a tenté d’utiliser une application légitime compromise pour effectuer des activités malveillantes sur vos applications cloud.

Activités inhabituelles (par utilisateur)

Ces détections identifient les utilisateurs qui effectuent les opérations suivantes :

• Activités de téléchargement de fichiers multiples inhabituelles
• Activités de partage de fichiers inhabituelles
• Activités de suppression de fichier inhabituelles
• Activités d’emprunt d’identité inhabituelles
• Activités administratives inhabituelles
• Activités de partage de rapports Power BI inhabituelles (préversion)
• Activités de création de machines virtuelles multiples inhabituelles (préversion)
• Activités de suppression de stockage multiple inhabituelles (préversion)
• Région inhabituelle pour la ressource cloud (préversion)
• Accès inhabituel aux fichiers

Ces stratégies recherchent les activités au sein d’une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation. Ces détections tirent parti d’un algorithme d’apprentissage automatique qui profile le modèle de connexion des utilisateurs et réduit les faux positifs. Ces détections font partie du moteur de détection d’anomalie heuristique qui profile votre environnement et déclenche des alertes par rapport à une base de référence apprise sur l’activité de votre organization.

Plusieurs tentatives de connexion infructueuses

• Cette détection identifie les utilisateurs qui ont échoué plusieurs tentatives de connexion dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.

Plusieurs activités de suppression de machine virtuelle

• Cette stratégie profile votre environnement et déclenche des alertes lorsque les utilisateurs suppriment plusieurs machines virtuelles dans une même session, par rapport à la base de référence dans votre organization. Cela peut indiquer une tentative de violation.

Activer la gouvernance automatisée

Vous pouvez activer des actions de correction automatisées sur les alertes générées par les stratégies de détection d’anomalie.

1. Sélectionnez le nom de la stratégie de détection dans la page Stratégies .
2. Dans la fenêtre Modifier la stratégie de détection des anomalies qui s’ouvre, sous Actions de gouvernance , définissez les actions de correction souhaitées pour chaque application connectée ou pour toutes les applications.
3. Sélectionnez Mettre à jour.

Régler les stratégies de détection des anomalies

Pour affecter le moteur de détection d’anomalie pour supprimer ou exposer les alertes en fonction de vos préférences :

• Dans la stratégie Voyage impossible, vous pouvez définir le curseur de sensibilité pour déterminer le niveau de comportement anormal nécessaire avant le déclenchement d’une alerte. Par exemple, si vous le définissez sur faible ou moyen, il supprime les alertes Voyage impossible des emplacements courants d’un utilisateur, et si vous le définissez sur élevé, ces alertes apparaissent. Vous pouvez choisir parmi les niveaux de sensibilité suivants :

  • Faible : suppressions de système, de locataire et d’utilisateur

  • Moyenne : suppressions système et utilisateur

  • Élevé : seules les suppressions système

    Où :

    Type de suppression	Description
    Système	Détections intégrées qui sont toujours supprimées.
    Client	Activités courantes basées sur l’activité précédente dans le client. Par exemple, la suppression d’activités d’un fai précédemment alerté dans votre organization.
    Utilisateur	Activités courantes basées sur l’activité précédente de l’utilisateur spécifique. Par exemple, la suppression d’activités à partir d’un emplacement couramment utilisé par l’utilisateur.

Remarque

Les voyages impossibles, les activités provenant de pays/régions peu fréquents, les activités provenant d’adresses IP anonymes et les activités provenant d’adresses IP suspectes ne s’appliquent pas aux échecs de connexion et aux connexions non interactives.

Stratégies de détection d’anomalie d’étendue

Chaque stratégie de détection d’anomalie peut être délimitée indépendamment afin qu’elle s’applique uniquement aux utilisateurs et aux groupes que vous souhaitez inclure et exclure dans la stratégie. Par exemple, vous pouvez définir l’activité à partir d’une détection de région peu fréquente pour ignorer un utilisateur spécifique qui voyage fréquemment.

Pour définir l’étendue d’une stratégie de détection d’anomalies :

1. Dans le portail Microsoft Defender, accédez à Cloud Apps ->Stratégies ->Gestion des stratégies. Choisissez ensuite Stratégie de détection d’anomalie pour le type de stratégie.

2. Sélectionnez la stratégie que vous souhaitez étendre.

3. Sous Étendue, remplacez la liste déroulante par défaut de Tous les utilisateurs et groupes par utilisateurs et groupes spécifiques.

4. Sélectionnez Inclure pour spécifier les utilisateurs et les groupes auxquels cette stratégie s’appliquera. Tout utilisateur ou groupe non sélectionné ici ne sera pas considéré comme une menace et ne générera pas d’alerte.

5. Sélectionnez Exclure pour spécifier les utilisateurs auxquels cette stratégie ne s’applique pas. Tout utilisateur sélectionné ici n’est pas considéré comme une menace et ne génère pas d’alerte, même s’il est membre de groupes sélectionnés sous Inclure.

   

Trier les alertes de détection d’anomalie

Vous pouvez trier rapidement les différentes alertes déclenchées par les nouvelles stratégies de détection des anomalies et déterminer celles qui doivent être prises en charge en premier. Pour ce faire, vous avez besoin du contexte de l’alerte, afin de pouvoir voir la vue d’ensemble et comprendre si quelque chose de malveillant se produit réellement.

1. Dans le journal d’activité, vous pouvez ouvrir une activité pour afficher le tiroir Activité. Sélectionnez Utilisateur pour afficher l’onglet Insights utilisateur. Cet onglet inclut des informations telles que le nombre d’alertes, les activités et l’emplacement à partir duquel ils se sont connectés, ce qui est important dans une investigation.

   

2. Pour les fichiers infectés par des programmes malveillants, une fois les fichiers détectés, vous pouvez voir la liste des fichiers infectés. Sélectionnez le nom du fichier de programme malveillant dans le tiroir du fichier pour ouvrir un rapport sur les programmes malveillants qui vous fournit des informations sur le type de programme malveillant avec lequel le fichier est infecté.

Vidéos connexes

Webinaire sur la protection contre les menaces

Étapes suivantes

Bonnes pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.