Interruption automatique des attaques dans Microsoft Defender pour entreprises
Une attaque humaine est une attaque active par des cybercriminels qui infiltrent un organization, élèvent leurs privilèges, naviguent sur le réseau et déploient des rançongiciels ou volent des informations. Ces types d’attaques peuvent être catastrophiques pour les opérations de l’entreprise, ont tendance à être difficiles à traiter et parfois continuent de menacer les opérations commerciales après la première rencontre. Pour plus d’informations, consultez Attaques par ransomware gérées par l’homme.
Pour vous protéger contre les attaques humaines ou d’autres attaques avancées, Microsoft Defender XDR ajout d’une interruption automatique des attaques en novembre 2022 pour les clients d’entreprise. Maintenant, ces fonctionnalités arrivent à Defender for Business ! Cet article décrit le fonctionnement de l’interruption automatique des attaques, comment afficher des détails sur une attaque et comment obtenir ces fonctionnalités.
Fonctionnement de l’interruption des attaques automatiques
L’interruption automatique des attaques est conçue pour :
- Contenir des attaques avancées en cours ;
- Limiter l’impact et la progression des attaques sur les ressources de votre entreprise (comme les appareils) ; et
- Donnez plus de temps à votre équipe informatique/sécurité pour corriger complètement une attaque.
L’interruption automatique des attaques utilise les insights des chercheurs en sécurité microsoft et des modèles IA avancés pour contrer les complexités des attaques avancées. Il limite la progression précoce d’un acteur de menace et réduit considérablement l’impact global d’une attaque, des coûts associés à la perte de productivité. Consultez quelques exemples sur le blog microsoft sur la sécurité.
Avec l’interruption automatique des attaques, dès qu’une attaque humaine est détectée sur un appareil, des mesures sont prises immédiatement pour contenir l’appareil concerné et les comptes d’utilisateur sur l’appareil. Un incident est créé dans le portail Microsoft Defender (https://security.microsoft.com). À cet endroit, votre équipe informatique/sécurité peut afficher des détails sur le risque et l’status d’endiguement des ressources compromises pendant et après le processus. Une page Incident fournit des détails sur l’attaque et la status à jour des ressources affectées.
Les actions de réponse automatisées sont les suivantes :
- Contenant un appareil en bloquant la communication entrante/sortante
- Contenant un compte d’utilisateur en déconnectant les connexions utilisateur actuelles au niveau de l’appareil
Importante
- Pour afficher des informations sur une attaque avancée détectée, vous devez disposer d’un rôle approprié, tel que Lecteur de sécurité ou Administrateur de la sécurité affecté.
- Pour prendre des mesures correctives, libérer un appareil/utilisateur autonome ou réactiver un compte d’utilisateur, vous devez disposer du rôle Administrateur de la sécurité.
- Consultez Rôles et autorisations de sécurité dans Defender for Business.
Afficher les détails d’une attaque dans le portail Microsoft Defender
Dans le portail Microsoft Defender, accédez à Incidents.
Sélectionnez un incident marqué avec interruption d’attaque.
Passez en revue le graphique des incidents, qui vous permet d’obtenir l’intégralité de l’histoire de l’attaque et d’évaluer l’impact de la perturbation des attaques et status.
Lorsque vous êtes prêt à publier un compte d’utilisateur ou d’appareil autonome, ou à réactiver un compte d’utilisateur, effectuez l’une des étapes suivantes :
- Pour libérer un appareil autonome, sélectionnez-le, puis choisissez Libérer à partir de l’autonomie.
- Pour libérer un utilisateur autonome, sélectionnez le compte d’utilisateur, puis, dans le volet latéral, sélectionnez Annuler.
Les incidents perturbés incluent une étiquette pour Attack Disruption
et le type de menace spécifique identifié (par exemple, ransomware). Si votre équipe informatique/sécurité reçoit des Notifications par e-mail d’incident, ces balises apparaissent également dans les e-mails.
Lorsqu’un incident est interrompu, le texte mis en surbrillance apparaît sous le titre de l’incident. Les appareils autonomes ou les comptes d’utilisateur sont répertoriés avec une étiquette qui indique leur status.
Suivre les actions d’interruption des attaques dans le Centre de notifications
Le Centre de notifications regroupe toutes les actions de correction et de réponse, que ces actions aient été effectuées automatiquement ou manuellement. Vous pouvez afficher toutes les actions d’interruption d’attaque automatique dans le Centre de notifications. De plus, une fois que votre équipe informatique/sécurité a atténué le risque et terminé l’examen d’un incident, elle peut libérer des ressources autonomes.
Dans le portail Microsoft Defender, accédez à Actions & soumissions Centrede notifications>.
Sélectionnez l’onglet Historique .
Sélectionnez une action, telle que Contenir un utilisateur ou Contenir l’appareil, puis choisissez Annuler.
Pour plus d’informations, consultez Passer en revue les actions de correction dans le Centre de notifications.
Comment obtenir une interruption d’attaque automatique
L’interruption automatique des attaques est intégrée à Defender for Business ; vous n’avez pas besoin d’activer explicitement ces fonctionnalités. Il est important d’intégrer tous les appareils de votre organization (ordinateurs, téléphones et tablettes) à Defender for Business afin qu’ils soient protégés dès que possible.
En outre, inscrivez-vous pour recevoir les fonctionnalités en préversion afin d’obtenir les fonctionnalités les plus récentes et optimales dès qu’elles sont disponibles.