Comment examiner les alertes de détection d’anomalie

Microsoft Defender for Cloud Apps fournit des détections de sécurité et des alertes pour les activités malveillantes. L’objectif de ce guide est de vous fournir des informations générales et pratiques sur chaque alerte, afin de faciliter vos tâches d’investigation et de correction. Ce guide contient des informations générales sur les conditions de déclenchement des alertes. Toutefois, il est important de noter que étant donné que les détections d’anomalies ne sont pas déterministes par nature, elles ne sont déclenchées que lorsqu’il existe un comportement qui s’écarte de la norme. Enfin, certaines alertes étant susceptibles d’être en préversion, consultez régulièrement la documentation officielle pour connaître les status d’alerte mises à jour.

MITRE ATT&CK

Pour expliquer et faciliter le mappage de la relation entre les alertes Defender for Cloud Apps et la matrice MITRE ATT&CK familière, nous avons classé les alertes par leur tactique MITRE ATT&CK correspondante. Cette référence supplémentaire facilite la compréhension de la technique des attaques suspectes potentiellement en cours d’utilisation lorsqu’une alerte Defender for Cloud Apps est déclenchée.

Ce guide fournit des informations sur l’examen et la correction des alertes Defender for Cloud Apps dans les catégories suivantes.

• Accès initial
• Exécution
• Persistance
• Réaffectation des privilèges
• Accès informations d'identification
• Collection
• Exfiltration
• Impact

Classifications des alertes de sécurité

Après une investigation appropriée, toutes les alertes Defender for Cloud Apps peuvent être classées comme l’un des types d’activité suivants :

• Vrai positif (TP) : alerte sur une activité malveillante confirmée.
• Vrai positif bénin (B-TP) : alerte sur une activité suspecte, mais pas malveillante, telle qu’un test d’intrusion ou toute autre action suspecte autorisée.
• Faux positif (FP) : alerte sur une activité non malicieux.

Étapes d’investigation générales

Vous devez utiliser les instructions générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.

• Passez en revue le score de priorité d’investigation de l’utilisateur et comparez-le au reste du organization. Cela vous aidera à identifier les utilisateurs de votre organization présentant le plus grand risque.
• Si vous identifiez un TP, passez en revue toutes les activités de l’utilisateur pour en comprendre l’impact.
• Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission et explorez la source et l’étendue de l’impact. Par exemple, passez en revue les informations suivantes sur l’appareil utilisateur et comparez-les aux informations connues sur l’appareil :
  • Système d’exploitation et version
  • Navigateur et version
  • Adresse IP et emplacement

Alertes d’accès initial

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de s’implanter initialement dans votre organization.

Activité à partir d’une adresse IP anonyme

Description

Activité à partir d’une adresse IP qui a été identifiée en tant qu’adresse IP proxy anonyme par Microsoft Threat Intelligence ou par votre organization. Ces proxys peuvent être utilisés pour masquer l’adresse IP d’un appareil et peuvent être utilisés pour des activités malveillantes.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui réduit les incidents B-TP, tels que les adresses IP mal étiquetées qui sont largement utilisées par les utilisateurs dans le organization.

1. TP : si vous êtes en mesure de confirmer que l’activité a été effectuée à partir d’une adresse IP anonyme ou TOR.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. B-TP : si un utilisateur est connu pour utiliser des adresses IP anonymes dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou d’intrusion pour le compte du organization.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

• Passez en revue toutes les alertes et l’activité des utilisateurs pour obtenir d’autres indicateurs de compromission. Par exemple, si l’alerte a été suivie d’une autre alerte suspecte, telle qu’un téléchargement de fichier inhabituel (par l’utilisateur) ou une alerte de transfert de boîte de réception suspecte , cela indique souvent qu’un attaquant tente d’exfiltrer des données.

Activité provenant d’un pays peu fréquent

Activité d’un pays ou d’une région susceptible d’indiquer une activité malveillante. Cette stratégie profile votre environnement et déclenche des alertes lorsque l’activité est détectée à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par un utilisateur dans le organization.

La stratégie peut être étendue à un sous-ensemble d’utilisateurs ou peut exclure des utilisateurs connus pour se déplacer vers des emplacements distants.

Période d’apprentissage

La détection d’emplacements anormaux nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée :

   1. Suspendez l’utilisateur, réinitialisez son mot de passe et identifiez le bon moment pour réactiver le compte en toute sécurité.
   2. Facultatif : créez un playbook à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents, et leurs responsables, afin de vérifier leur activité.

2. B-TP : si un utilisateur est connu pour se trouver à cet emplacement. Par exemple, lorsqu’un utilisateur qui voyage fréquemment et se trouve actuellement à l’emplacement spécifié.

   Action recommandée :

   1. Ignorez l’alerte et modifiez la stratégie pour exclure l’utilisateur.
   2. Créer un groupe d’utilisateurs pour les voyageurs fréquents, importer le groupe dans Defender for Cloud Apps et exclure les utilisateurs de cette alerte
   3. Facultatif : créez un playbook à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents, et leurs responsables, afin de vérifier leur activité.

Comprendre l’étendue de la violation

• Vérifiez quelle ressource peut avoir été compromise, par exemple les téléchargements de données potentiels.

Activité provenant d’adresses IP suspectes

Activité à partir d’une adresse IP qui a été identifiée comme risquée par Microsoft Threat Intelligence ou par votre organization. Ces adresses IP ont été identifiées comme étant impliquées dans des activités malveillantes, telles que la pulvérisation de mot de passe, la commande et le contrôle botnet (C&C), et peuvent indiquer un compte compromis.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. B-TP : si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou d’intrusion pour le compte du organization.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité et recherchez les activités à partir de la même adresse IP.
2. Passez en revue les ressources qui ont pu être compromises, telles que les téléchargements de données potentiels ou les modifications administratives.
3. Créez un groupe pour les analystes de sécurité qui déclenchent volontairement ces alertes et excluez-les de la stratégie.

Voyage impossible

Activité du même utilisateur dans des emplacements différents au cours d’une période plus courte que le temps de trajet prévu entre les deux emplacements. Cela peut indiquer une violation des informations d’identification. Toutefois, il est également possible que l’emplacement réel de l’utilisateur soit masqué, par exemple à l’aide d’un VPN.

Pour améliorer la précision et l’alerte uniquement en cas d’indication forte d’une violation, Defender for Cloud Apps établit une base de référence sur chaque utilisateur dans le organization et n’alerte que lorsque le comportement inhabituel est détecté. La politique de voyage impossible peut être adaptée à vos besoins.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui ignore les conditions B-TP évidentes, telles que lorsque les adresses IP des deux côtés du voyage sont considérées comme sûres, que le voyage est approuvé et exclu du déclenchement de la détection de voyage impossible. Par exemple, les deux côtés sont considérés comme sûrs s’ils sont étiquetés comme des entreprises. Toutefois, si l’adresse IP d’un seul côté du voyage est considérée comme sûre, la détection est déclenchée normalement.

1. TP : si vous êtes en mesure de confirmer que l’emplacement dans l’alerte de voyage impossible est peu probable pour l’utilisateur.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (Voyage d’utilisateur non détecté) : si vous êtes en mesure de confirmer que l’utilisateur a récemment voyagé vers la destination mentionnée en détail dans l’alerte. Par exemple, si le téléphone d’un utilisateur en mode avion reste connecté à des services tels que Exchange Online sur votre réseau d’entreprise lors d’un déplacement vers un autre emplacement. Lorsque l’utilisateur arrive au nouvel emplacement, le téléphone se connecte à Exchange Online déclenchant l’alerte voyage impossible.

   Action recommandée: ignorer l’alerte.

3. FP (VPN sans étiquette) : si vous êtes en mesure de confirmer que la plage d’adresses IP provient d’un VPN approuvé.

   Action recommandée : Ignorez l’alerte et ajoutez la plage d’adresses IP du VPN à Defender for Cloud Apps, puis utilisez-la pour étiqueter la plage d’adresses IP du VPN.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour comprendre les activités similaires dans le même emplacement et la même adresse IP.
2. Si vous constatez que l’utilisateur a effectué d’autres activités risquées, telles que le téléchargement d’un grand volume de fichiers à partir d’un nouvel emplacement, ce serait une indication forte d’un compromis possible.
3. Ajoutez des plages d’adresses IP et vpn d’entreprise.
4. Créez un playbook à l’aide de Power Automate et contactez le responsable de l’utilisateur pour voir si l’utilisateur est légitimement en déplacement.
5. Envisagez de créer une base de données de voyageurs connue pour les rapports de voyage organisationnels jusqu’à la minute et utilisez-la pour référencer l’activité de voyage.

Nom de l’application OAuth trompeur

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguiser une application malveillante en application connue et approuvée afin que les attaquants puissent tromper les utilisateurs en téléchargeant leur application malveillante.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’application a un nom trompeur.

   Action recommandée: vérifiez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès a été accordé. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application.

Pour interdire l’accès à l’application, sous les onglets Google ou Salesforce de la page Gouvernance des applications, sur la ligne dans laquelle l’application que vous souhaitez interdire apparaît, sélectionnez l’icône d’interdiction. - Vous pouvez choisir si vous souhaitez indiquer aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification indique aux utilisateurs que l’application est désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas qu’ils le sachent, désélectionnez Notifier les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. - Il est recommandé d’informer les utilisateurs de l’application que leur application est sur le point d’être interdite d’utilisation.

1. FP : Si vous souhaitez confirmer que l’application a un nom trompeur, mais qu’elle a une utilisation professionnelle légitime dans le organization.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

• Suivez le didacticiel sur la façon d’examiner les applications OAuth à risque.

Nom d’éditeur trompeur pour une application OAuth

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguiser une application malveillante en application connue et approuvée afin que les attaquants puissent tromper les utilisateurs en téléchargeant leur application malveillante.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’application a un nom d’éditeur trompeur.

   Action recommandée: vérifiez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès a été accordé. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application.

2. FP : si vous voulez confirmer que l’application a un nom d’éditeur trompeur, mais qu’il s’agit d’un éditeur légitime.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Sous les onglets Google ou Salesforce de la page Gouvernance des applications, sélectionnez l’application pour ouvrir le tiroir de l’application, puis sélectionnez Activité associée. Cela ouvre la page Journal d’activité filtrée pour les activités effectuées par l’application. Gardez à l’esprit que certaines applications effectuent des activités inscrites comme ayant été effectuées par un utilisateur. Ces activités sont automatiquement filtrées en dehors des résultats dans le journal d’activité. Pour plus d’informations sur l’utilisation du journal d’activité, consultez Journal d’activité.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’examiner le nom et l’éditeur de l’application dans différents magasins d’applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications avec un faible nombre de téléchargements.
   • Applications avec une évaluation ou un score faible ou des commentaires incorrects.
   • Applications avec un éditeur ou un site web suspect.
   • Applications qui n’ont pas été récemment mises à jour. Cela peut indiquer une application qui n’est plus prise en charge.
   • Applications qui ont des autorisations non pertinentes. Cela peut indiquer qu’une application est risquée.
3. Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom, l’éditeur et l’URL de l’application en ligne.

Alertes d’exécution

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter d’exécuter du code malveillant dans votre organization.

Plusieurs activités de suppression de stockage

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de stockage cloud ou de base de données à partir de ressources telles que des objets blob Azure, des compartiments AWS S3 ou Cosmos DB par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organization.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous voulez confirmer que les suppressions n’étaient pas autorisées.

   Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils à la recherche de menaces malveillantes. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

2. FP : Si, après votre enquête, vous êtes en mesure de confirmer que l’administrateur a été autorisé à effectuer ces activités de suppression.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification.
3. Passez en revue les activités de cet utilisateur pour connaître les modifications apportées à d’autres services.

Plusieurs activités de création de machine virtuelle

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de création de machine virtuelle par rapport à la base de référence apprise. Plusieurs créations de machines virtuelles sur une infrastructure cloud violée peuvent indiquer une tentative d’exécution d’opérations d’exploration de données de chiffrement à partir de votre organization.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer la précision et l’alerte uniquement en cas d’indication forte d’une violation, cette détection établit une base de référence sur chaque environnement dans le organization afin de réduire les incidents B-TP, tels qu’un administrateur a créé légitimement plus de machines virtuelles que la base de référence établie, et n’alerte que lorsque le comportement inhabituel est détecté.

• TP : si vous êtes en mesure de confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils à la recherche de menaces malveillantes. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis veillez à désactiver ou à supprimer les machines virtuelles compromises.

• B-TP : si, après votre enquête, vous êtes en mesure de confirmer que l’administrateur était autorisé à effectuer ces activités de création.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées ou modifiées par l’utilisateur et vérifiez qu’elles sont conformes aux stratégies de votre organization.

Activité de création suspecte pour la région cloud (préversion)

Activités indiquant qu’un utilisateur a effectué une action de création de ressources inhabituelle dans une région AWS peu commune par rapport à la base de référence apprise. La création de ressources dans des régions cloud inhabituelles peut indiquer une tentative d’effectuer une activité malveillante telle que des opérations d’exploration de données de chiffrement à partir de votre organization.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer la précision et alerter uniquement en cas d’indication forte d’une violation, cette détection établit une base de référence sur chaque environnement dans le organization afin de réduire les incidents B-TP.

• TP : si vous êtes en mesure de confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils à la recherche de menaces malveillantes. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis veillez à désactiver ou à supprimer toutes les ressources cloud compromises.

• B-TP : si, après votre enquête, vous êtes en mesure de confirmer que l’administrateur était autorisé à effectuer ces activités de création.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées et vérifiez qu’elles sont conformes aux stratégies de votre organization.

Alertes de persistance

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de maintenir son pied dans votre organization.

Activité effectuée par un utilisateur résilié

L’activité effectuée par un utilisateur arrêté peut indiquer qu’un employé licencié qui a toujours accès aux ressources de l’entreprise tente d’effectuer une activité malveillante. Defender for Cloud Apps profile les utilisateurs dans le organization et déclenche une alerte lorsqu’un utilisateur arrêté effectue une activité.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’utilisateur arrêté a toujours accès à certaines ressources d’entreprise et qu’il effectue des activités.

   Action recommandée : désactivez l’utilisateur.

2. B-TP : si vous êtes en mesure de déterminer que l’utilisateur a été temporairement désactivé ou a été supprimé et réinscrit.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Références croisées des enregistrements RH pour confirmer que l’utilisateur est arrêté.
2. Vérifiez l’existence du compte d’utilisateur Microsoft Entra.

   Remarque

   Si vous utilisez Microsoft Entra Connect, validez l’objet Active Directory local et confirmez un cycle de synchronisation réussi.

3. Identifiez toutes les applications auxquelles l’utilisateur arrêté a accès et désaffectez les comptes.
4. Mettre à jour les procédures de désaffectation.

Changement suspect du service de journalisation CloudTrail

Activités dans une seule session indiquant qu’un utilisateur a effectué des modifications suspectes dans le service de journalisation AWS CloudTrail. Cela peut indiquer une tentative de violation de votre organization. Lors de la désactivation de CloudTrail, les modifications opérationnelles ne sont plus journalisées. Un attaquant peut effectuer des activités malveillantes tout en évitant un événement d’audit CloudTrail, comme la modification d’un compartiment S3 de privé à public.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et annulez l’activité CloudTrail.

2. FP : si vous êtes en mesure de confirmer que l’utilisateur a légitimement désactivé le service CloudTrail.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification au service CloudTrail.
2. Facultatif : créez un playbook à l’aide de Power Automate pour contacter les utilisateurs et leurs responsables afin de vérifier leur activité.

Activité suspecte de suppression d’e-mails (par utilisateur)

Activités dans une seule session indiquant qu’un utilisateur a effectué des suppressions suspectes d’e-mails. Le type de suppression était le type « suppression définitive », ce qui rend l’élément d’e-mail supprimé et non disponible dans la boîte aux lettres de l’utilisateur. La suppression a été effectuée à partir d’une connexion qui inclut des préférences inhabituelles telles que le faip, le pays/la région et l’agent utilisateur. Cela peut indiquer une tentative de violation de vos organization, comme des attaquants qui tentent de masquer les opérations en supprimant les e-mails liés aux activités de courrier indésirable.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : si vous êtes en mesure de confirmer que l’utilisateur a créé légitimement une règle pour supprimer des messages.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

• Passez en revue toutes les activités des utilisateurs pour rechercher d’autres indicateurs de compromission, tels que l’alerte de transfert de boîte de réception suspecte suivie d’une alerte Voyage impossible . Rechercher :

  1. Nouvelles règles de transfert SMTP, comme suit :
     • Recherchez les noms de règles de transfert malveillants. Les noms de règle peuvent varier des noms simples, tels que « Transférer tous les e-mails » et « Transfert automatique », ou des noms trompeurs, tels qu’un « . » à peine visible. Les noms des règles de transfert peuvent même être vides et le destinataire du transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées dans l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
     • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
  2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier », ou celles avec des conventions de nommage obscures, par exemple « ... ».
  3. Une augmentation du nombre d’e-mails envoyés.

Règle de manipulation de boîte de réception suspecte

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que la suppression ou le déplacement de messages ou de dossiers, de la boîte de réception d’un utilisateur peuvent être une tentative d’exfiltrer des informations de votre organization. De même, ils peuvent indiquer une tentative de manipulation des informations qu’un utilisateur voit ou pour utiliser sa boîte de réception pour distribuer du courrier indésirable, des e-mails de hameçonnage ou des programmes malveillants. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles de manipulation de boîte de réception suspectes sont détectées dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer qu’une règle de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : si vous êtes en mesure de confirmer qu’un utilisateur a légitimement créé la règle.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités des utilisateurs pour rechercher d’autres indicateurs de compromission, tels que l’alerte de transfert de boîte de réception suspecte suivie d’une alerte Voyage impossible . Rechercher :
   • Nouvelles règles de transfert SMTP.
   • Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier », ou celles avec des conventions de nommage obscures, par exemple « ... ».
2. Collectez les informations d’adresse IP et d’emplacement pour l’action.
3. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle afin de détecter d’autres utilisateurs compromis.

Alertes d’escalade de privilèges

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter d’obtenir des autorisations de niveau supérieur dans votre organization.

Activité administrative inhabituelle (par utilisateur)

Activités indiquant qu’un attaquant a compromis un compte d’utilisateur et effectué des actions administratives qui ne sont pas courantes pour cet utilisateur. Par exemple, un attaquant peut essayer de modifier un paramètre de sécurité pour un utilisateur, opération relativement rare pour un utilisateur commun. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un administrateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer qu’un administrateur a effectué légitimement le volume inhabituel d’activités administratives.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toute l’activité de l’utilisateur pour rechercher d’autres indicateurs de compromission, tels que Transfert de boîte de réception suspect ou Voyage impossible.
2. Passez en revue les autres modifications de configuration, telles que la création d’un compte d’utilisateur pouvant être utilisé pour la persistance.

Alertes d’accès aux informations d’identification

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des noms de compte et des mots de passe de votre organization.

Plusieurs tentatives de connexion infructueuses

Les tentatives de connexion ayant échoué peuvent indiquer une tentative de violation d’un compte. Toutefois, les échecs de connexion peuvent également avoir un comportement normal. Par exemple, lorsqu’un utilisateur a entré un mot de passe incorrect par erreur. Pour obtenir une précision et une alerte uniquement lorsqu’il y a une forte indication d’une tentative de violation, Defender for Cloud Apps établit une base de référence des habitudes de connexion pour chaque utilisateur dans le organization et n’alerte que lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Cette stratégie est basée sur l’apprentissage du comportement de connexion normal d’un utilisateur. Lorsqu’un écart par rapport à la norme est détecté, une alerte est déclenchée. Si la détection commence à voir que le même comportement se poursuit, l’alerte n’est déclenchée qu’une seule fois.

1. Échec de l’authentification multifacteur (MFA) : si vous êtes en mesure de confirmer que l’authentification MFA fonctionne correctement, cela peut être le signe d’une tentative d’attaque par force brute.

   Actions recommandées :

   1. Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.
   2. Recherchez l’application qui a effectué les authentifications ayant échoué et reconfigurez-la.
   3. Recherchez les autres utilisateurs connectés au moment de l’activité, car ils peuvent également être compromis. Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. B-TP (échec de l’authentification multifacteur) : si vous êtes en mesure de confirmer que l’alerte est due à un problème avec l’authentification multifacteur.

   Action recommandée : créez un playbook à l’aide de Power Automate pour contacter l’utilisateur et case activée s’il rencontre des problèmes avec l’authentification multifacteur.

3. B-TP (application mal configurée) : si vous êtes en mesure de confirmer qu’une application mal configurée tente de se connecter à un service plusieurs fois avec des informations d’identification expirées.

   Action recommandée: ignorer l’alerte.

4. B-TP (Mot de passe modifié) : si vous êtes en mesure de confirmer qu’un utilisateur a récemment modifié son mot de passe, mais que cela n’a pas affecté les informations d’identification sur les partages réseau.

   Action recommandée: ignorer l’alerte.

5. B-TP (test de sécurité) : si vous êtes en mesure de confirmer qu’un test de sécurité ou d’intrusion est effectué par des analystes de sécurité pour le compte du organization.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toute l’activité de l’utilisateur pour rechercher d’autres indicateurs de compromission, tels que l’alerte est suivie de l’une des alertes suivantes : Voyage impossible, Activité à partir d’une adresse IP anonyme ou Activité à partir d’un pays peu fréquent.
2. Passez en revue les informations suivantes sur l’appareil utilisateur et comparez-les aux informations connues sur l’appareil :
   • Système d’exploitation et version
   • Navigateur et version
   • Adresse IP et emplacement
3. Identifiez l’adresse IP source ou l’emplacement où la tentative d’authentification s’est produite.
4. Identifiez si l’utilisateur a récemment modifié son mot de passe et vérifiez que toutes les applications et tous les appareils disposent du mot de passe mis à jour.

Ajout inhabituel d’informations d’identification à une application OAuth

Cette détection identifie l’ajout suspect d’informations d’identification privilégiées à une application OAuth. Cela peut indiquer qu’un attaquant a compromis l’application et l’utilise pour une activité malveillante.

Période d’apprentissage

L’apprentissage de l’environnement de votre organization nécessite une période de sept jours pendant laquelle vous pouvez vous attendre à un volume élevé d’alertes.

IsP inhabituel pour une application OAuth

La détection identifie une application OAuth qui se connecte à votre application cloud à partir d’un fournisseur de services Internet, ce qui est rare pour l’application. Cela peut indiquer qu’un attaquant a tenté d’utiliser une application compromise légitime pour effectuer des activités malveillantes sur vos applications cloud.

Période d’apprentissage

La période d’apprentissage pour cette détection est de 30 jours.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’était pas une activité légitime de l’application OAuth ou que ce fai n’est pas utilisé par l’application OAuth légitime.

   Action recommandée : Révoquez tous les jetons d’accès de l’application OAuth et examinez si un attaquant a accès à la génération de jetons d’accès OAuth.

2. FP : Si vous pouvez confirmer que l’activité a été effectuée légitimement par l’application OAuth authentique.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités effectuées par l’application OAuth.

2. Déterminez si un attaquant a accès à la génération de jetons d’accès OAuth.

Alertes de collecte

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de collecter des données d’intérêt pour atteindre son objectif à partir de votre organization.

Activités de partage de rapports Power BI multiples

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’activités de rapport de partage dans Power BI par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organization.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimez l’accès de partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification professionnelle pour partager ces rapports.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Examinez l’adresse IP à partir de laquelle ils sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou Information Protection équipe pour comprendre les instructions relatives au partage de rapports en interne et en externe.

Partage de rapports Power BI suspects

Les activités indiquant qu’un utilisateur a partagé un rapport Power BI pouvant contenir des informations sensibles identifiées à l’aide de NLP pour analyser les métadonnées du rapport. Le rapport a été partagé avec une adresse e-mail externe, publié sur le web, ou un instantané a été remis à une adresse e-mail souscrite en externe. Cela peut indiquer une tentative de violation de votre organization.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimez l’accès de partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification professionnelle pour partager ces rapports.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Examinez l’adresse IP à partir de laquelle ils sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou Information Protection équipe pour comprendre les instructions relatives au partage de rapports en interne et en externe.

Activité d’emprunt d’identité inhabituelle (par l’utilisateur)

Dans certains logiciels, il existe des options permettant à d’autres utilisateurs d’emprunter l’identité d’autres utilisateurs. Par exemple, les services de messagerie permettent aux utilisateurs d’autoriser d’autres utilisateurs à envoyer des e-mails en leur nom. Cette activité est couramment utilisée par les attaquants pour créer des e-mails de hameçonnage dans le but d’extraire des informations sur votre organization. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et crée une activité lorsqu’une activité d’emprunt d’identité inhabituelle est détectée.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles, ou plus d’activités que la base de référence établie.

   Action recommandée: ignorer l’alerte.

3. FP : Si vous êtes en mesure de confirmer que des applications, comme Teams, ont légitimement emprunté l’identité de l’utilisateur.

   Action recommandée : passez en revue les actions et ignorez l’alerte si nécessaire.

Comprendre l’étendue de la violation

1. Passez en revue toutes les alertes et l’activité des utilisateurs pour obtenir des indicateurs supplémentaires de compromission.
2. Passez en revue les activités d’emprunt d’identité pour identifier les activités malveillantes potentielles.
3. Passez en revue la configuration de l’accès délégué.

Alertes d’exfiltration

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des données de votre organization.

Transfert de boîte de réception suspect

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que le transfert de tous les e-mails ou spécifiques à un autre compte de messagerie, peuvent être une tentative d’exfiltrer des informations de votre organization. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles de manipulation de boîte de réception suspectes sont détectées dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer qu’une règle de transfert de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : si vous êtes en mesure de confirmer que l’utilisateur a créé une règle de transfert vers un compte de messagerie externe nouveau ou personnel pour des raisons légitimes.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, comme l’alerte est suivie d’une alerte Voyage impossible . Rechercher :

   1. Nouvelles règles de transfert SMTP, comme suit :
      • Recherchez les noms de règles de transfert malveillants. Les noms de règle peuvent varier des noms simples, tels que « Transférer tous les e-mails » et « Transfert automatique », ou des noms trompeurs, tels qu’un « . » à peine visible. Les noms des règles de transfert peuvent même être vides et le destinataire du transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées dans l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
      • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
   2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier », ou celles avec des conventions de nommage obscures, par exemple « ... ».

2. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle afin de détecter d’autres utilisateurs compromis.

3. Passez en revue la liste des messages transférés à l’aide de Exchange Online suivi des messages.

Téléchargement de fichiers inhabituel (par utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel de téléchargements de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur le organization. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités de téléchargement de fichiers que la base de référence établie.

   Action recommandée: ignorer l’alerte.

3. FP (Synchronisation logicielle) : si vous êtes en mesure de confirmer que le logiciel, tel que OneDrive, a été synchronisé avec une sauvegarde externe à l’origine de l’alerte.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de téléchargement et créez une liste de fichiers téléchargés.
2. Vérifiez la sensibilité des fichiers téléchargés avec le propriétaire de la ressource et validez le niveau d’accès.

Accès inhabituel aux fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’accès aux fichiers dans SharePoint ou OneDrive aux fichiers qui contiennent des données financières ou des données réseau par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur le organization, que ce soit à des fins financières ou pour l’accès aux informations d’identification et le mouvement latéral. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

La période d’apprentissage dépend de l’activité de l’utilisateur. En règle générale, la période d’apprentissage est comprise entre 21 et 45 jours pour la plupart des utilisateurs.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités d’accès aux fichiers que la base de référence établie.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités d’accès et créez une liste de fichiers consultés.
2. Passez en revue la sensibilité des fichiers consultés avec le propriétaire de la ressource et validez le niveau d’accès.

Activité de partage de fichiers inhabituelle (par utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de partage de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur le organization. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (Comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de partage de fichiers que la base de référence établie.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de partage et créez une liste de fichiers partagés.
2. Passez en revue le niveau de confidentialité des fichiers partagés avec le propriétaire de la ressource et validez le niveau d’accès.
3. Créez une stratégie de fichier pour des documents similaires afin de détecter le partage futur de fichiers sensibles.

Alertes d’impact

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de manipuler, d’interrompre ou de détruire vos systèmes et données dans votre organization.

Plusieurs activités de suppression de machine virtuelle

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de machines virtuelles par rapport à la base de référence apprise. Plusieurs suppressions de machines virtuelles peuvent indiquer une tentative de perturbation ou de destruction d’un environnement. Toutefois, il existe de nombreux scénarios normaux où les machines virtuelles sont supprimées.

TP, B-TP ou FP ?

Pour améliorer la précision et l’alerte uniquement en cas d’indication forte d’une violation, cette détection établit une base de référence sur chaque environnement dans le organization pour réduire les incidents B-TP et n’alerte que lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

• TP : si vous êtes en mesure de confirmer que les suppressions n’étaient pas autorisées.

  Action recommandée : Suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils à la recherche de menaces malveillantes. Passez en revue toutes les activités des utilisateurs pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

• B-TP : si, après votre enquête, vous êtes en mesure de confirmer que l’administrateur a été autorisé à effectuer ces activités de suppression.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte est suivie de l’une des alertes suivantes : Voyage impossible, Activité à partir d’une adresse IP anonyme ou Activité à partir d’un pays peu fréquent.

Activité de rançongiciel

Ransomware est une cyberattaque dans laquelle un attaquant verrouille les victimes de leurs appareils ou les empêche d’accéder à leurs fichiers jusqu’à ce que la victime paie une rançon. Les rançongiciels peuvent être propagés par un fichier partagé malveillant ou un réseau compromis. Defender for Cloud Apps utilise l’expertise en recherche de sécurité, le renseignement sur les menaces et les modèles comportementaux appris pour identifier l’activité de ransomware. Par exemple, un taux élevé de téléchargements de fichiers ou de suppressions de fichiers peut représenter un processus de chiffrement courant parmi les opérations de ransomware.

Cette détection établit une base de référence des modèles de travail normaux de chaque utilisateur dans votre organization, par exemple quand l’utilisateur accède au cloud et ce qu’il fait généralement dans le cloud.

Les Defender for Cloud Apps stratégies de détection automatisée des menaces commencent à s’exécuter en arrière-plan à partir du moment où vous vous connectez. En utilisant notre expertise en recherche en sécurité pour identifier les modèles comportementaux qui reflètent l’activité de ransomware dans notre organization, Defender for Cloud Apps fournit une couverture complète contre les attaques sophistiquées par ransomware.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par l’utilisateur.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP (comportement inhabituel) : l’utilisateur a légitimement effectué plusieurs activités de suppression et de chargement de fichiers similaires dans un court laps de temps.

   Action recommandée : après avoir examiné le journal d’activité et confirmé que les extensions de fichier ne sont pas suspectes, ignorez l’alerte.

3. FP (Extension de fichier ransomware commune) : si vous êtes en mesure de confirmer que les extensions des fichiers affectés correspondent à une extension de ransomware connue.

   Action recommandée : contactez l’utilisateur et vérifiez que les fichiers sont sécurisés, puis ignorez l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission tels que le téléchargement en masse ou la suppression en masse de fichiers.
2. Si vous utilisez Microsoft Defender pour point de terminaison, passez en revue les alertes de l’ordinateur de l’utilisateur pour voir si des fichiers malveillants ont été détectés.
3. Recherchez dans le journal d’activité des activités de chargement et de partage de fichiers malveillants.

Activité inhabituelle de suppression de fichier (par utilisateur)

Activités indiquant qu’un utilisateur a effectué une activité de suppression de fichier inhabituelle par rapport à la base de référence apprise. Cela peut indiquer une attaque par rançongiciel. Par exemple, un attaquant peut chiffrer les fichiers d’un utilisateur et supprimer tous les fichiers d’origine, en laissant uniquement les versions chiffrées qui peuvent être utilisées pour contraindre la victime à payer une rançon. Defender for Cloud Apps crée une base de référence basée sur le comportement normal de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de suppression de fichiers que la base de référence établie.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de suppression et créez une liste de fichiers supprimés. Si nécessaire, récupérez les fichiers supprimés.
2. Si vous le souhaitez, créez un playbook à l’aide de Power Automate pour contacter les utilisateurs et leurs responsables afin de vérifier l’activité.

Augmentation du score de priorité d’investigation (préversion)

Les activités anormales et les activités qui ont déclenché des alertes reçoivent des scores basés sur la gravité, l’impact sur l’utilisateur et l’analyse comportementale de l’utilisateur. L’analyse est effectuée en fonction d’autres utilisateurs dans les locataires.

En cas d’augmentation significative et anormale du score de priorité d’investigation d’un certain utilisateur, l’alerte est déclenchée.

Cette alerte permet de détecter les violations potentielles qui sont caractérisées par des activités qui ne déclenchent pas nécessairement des alertes spécifiques, mais qui s’accumulent à un comportement suspect pour l’utilisateur.

Période d’apprentissage

L’établissement du modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours, pendant laquelle les alertes ne sont déclenchées pour aucune augmentation de score.

TP, B-TP ou FP ?

1. TP : si vous êtes en mesure de confirmer que les activités de l’utilisateur ne sont pas légitimes.

   Action recommandée : Suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. B-TP : si vous êtes en mesure de confirmer que l’utilisateur s’est considérablement dévié du comportement habituel, mais qu’il n’y a pas de violation potentielle.

3. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles, ou plus d’activités que la base de référence établie.

   Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les alertes et l’activité des utilisateurs pour obtenir des indicateurs supplémentaires de compromission.

Chronologie de dépréciation

Nous mettons progressivement hors service l’alerte d’augmentation du score de priorité d’enquête de Microsoft Defender for Cloud Apps d’août 2024.

Après une analyse et un examen minutieux, nous avons décidé de la déprécier en raison du taux élevé de faux positifs associés à cette alerte, ce qui, selon nous, ne contribuait pas efficacement à la sécurité globale de votre organization.

Notre recherche a indiqué que cette fonctionnalité n’ajoutait pas de valeur significative et n’était pas alignée sur notre objectif stratégique de fournir des solutions de sécurité fiables et de haute qualité.

Nous nous engageons à améliorer continuellement nos services et à nous assurer qu’ils répondent à vos besoins et à vos attentes.

Pour ceux qui souhaitent continuer à utiliser cette alerte, nous vous suggérons d’utiliser la requête de repérage avancée suivante comme modèle suggéré. Modifiez la requête en fonction de vos besoins.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Voir aussi

Examiner les utilisateurs à risque