Tutoriel : Détecter les activités suspectes des utilisateurs avec l’analytique comportementale (UEBA)

Microsoft Defender for Cloud Apps fournit des détections de pointe dans la chaîne de destruction des attaques pour les utilisateurs compromis, les menaces internes, l’exfiltration, les rançongiciels, etc. Notre solution complète est obtenue en combinant plusieurs méthodes de détection, notamment les détections d’anomalies, d’analyse comportementale (UEBA) et d’activité basées sur des règles, pour fournir une vue d’ensemble de la façon dont vos utilisateurs utilisent les applications dans votre environnement.

Pourquoi est-il important de détecter les comportements suspects ? L’impact d’un utilisateur capable de modifier votre environnement cloud peut être significatif et avoir un impact direct sur votre capacité à gérer votre entreprise. Par instance, les ressources d’entreprise clés telles que les serveurs exécutant votre site web public ou le service que vous fournissez aux clients peuvent être compromises.

À l’aide de données capturées à partir de plusieurs sources, Defender for Cloud Apps analyse les données pour extraire les activités des applications et des utilisateurs dans votre organization donnant à vos analystes de sécurité une visibilité sur l’utilisation du cloud. Les données collectées sont corrélées, standardisées et enrichies de renseignements sur les menaces, de localisation et de nombreux autres détails pour fournir une vue précise et cohérente des activités suspectes.

Par conséquent, pour tirer pleinement parti des avantages de ces détections, veillez d’abord à configurer les sources suivantes :

• Journal d’activité
  Activités de vos applications connectées à l’API.
• Journal de découverte
  Activités extraites des journaux de trafic du pare-feu et du proxy qui sont transférés à Defender for Cloud Apps. Les journaux sont analysés par rapport au catalogue d’applications cloud, classés et notés en fonction de plus de 90 facteurs de risque.
• Journal du proxy
  Activités de vos applications de contrôle d’application à accès conditionnel.

Ensuite, vous souhaiterez paramétrer vos stratégies. Les stratégies suivantes peuvent être affinées en définissant des filtres, des seuils dynamiques (UEBA) pour faciliter l’apprentissage de leurs modèles de détection et des suppressions pour réduire les détections de faux positifs courants :

• Détection des anomalies
• Détection d’anomalies cloud discovery
• Détection d’activité basée sur des règles

Dans ce tutoriel, vous allez apprendre à paramétrer les détections d’activité utilisateur pour identifier les véritables compromissions et réduire la fatigue des alertes résultant de la gestion de grands volumes de détections de faux positifs :

• Configurer des plages d’adresses IP
• Régler les stratégies de détection des anomalies
• Optimiser les stratégies de détection des anomalies de découverte cloud
• Régler les stratégies de détection basées sur des règles
• Configurer des alertes
• Examiner et corriger

Phase 1 : Configurer des plages d’adresses IP

Avant de configurer des stratégies individuelles, il est recommandé de configurer des plages d’adresses IP afin qu’elles puissent être utilisées dans le réglage de tout type de stratégies de détection d’activité suspecte des utilisateurs.

Étant donné que les informations d’adresse IP sont essentielles pour presque toutes les investigations, la configuration d’adresses IP connues permet à nos algorithmes d’apprentissage automatique d’identifier les emplacements connus et de les considérer comme faisant partie des modèles Machine Learning. Par exemple, l’ajout de la plage d’adresses IP de votre VPN aidera le modèle à classer correctement cette plage d’adresses IP et à l’exclure automatiquement des détections de déplacement impossibles, car l’emplacement VPN ne représente pas l’emplacement réel de cet utilisateur.

Remarque : Les plages d’adresses IP configurées ne sont pas limitées aux détections et sont utilisées dans Defender for Cloud Apps dans des domaines tels que les activités dans le journal d’activité, l’accès conditionnel, etc. Gardez cela à l’esprit lors de la configuration des plages. Ainsi, par exemple, l’identification de vos adresses IP de bureau physiques vous permet de personnaliser la façon dont les journaux et les alertes sont affichés et examinés.

Passer en revue les alertes de détection d’anomalie prêtes à l’emploi

Defender for Cloud Apps comprend un ensemble d’alertes de détection d’anomalies pour identifier différents scénarios de sécurité. Ces détections sont automatiquement activées prêtes à l’emploi et commencent à profiler l’activité des utilisateurs et à générer des alertes dès que les connecteurs d’application appropriés sont connectés .

Commencez par vous familiariser avec les différentes stratégies de détection, hiérarchisez les principaux scénarios que vous estimez les plus pertinents pour votre organization et réglez les stratégies en conséquence.

Phase 2 : Optimiser les stratégies de détection d’anomalie

Plusieurs stratégies de détection d’anomalie intégrées sont disponibles dans Defender for Cloud Apps préconfigurées pour les cas d’usage de sécurité courants. Vous devez prendre le temps de vous familiariser avec les détections les plus populaires, telles que :

• Temps de trajet impossible
  Activités du même utilisateur dans des emplacements différents au cours d’une période plus courte que le temps de trajet prévu entre les deux emplacements.
• Activité à partir d’un pays peu fréquent
  Activité à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par l’utilisateur.
• Détection de programmes malveillants
  Analyse les fichiers dans vos applications cloud et exécute des fichiers suspects via le moteur de renseignement sur les menaces de Microsoft pour déterminer s’ils sont associés à des programmes malveillants connus.
• Activité de ransomware
  Chargements de fichiers vers le cloud susceptibles d’être infectés par un rançongiciel.
• Activité à partir d’adresses IP suspectes
  Activité à partir d’une adresse IP qui a été identifiée comme risquée par Microsoft Threat Intelligence.
• Transfert suspect de la boîte de réception
  Détecte les règles de transfert de boîte de réception suspectes définies dans la boîte de réception d’un utilisateur.
• Activités de téléchargement de fichiers multiples inhabituelles
  Détecte plusieurs activités de téléchargement de fichiers dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.
• Activités administratives inhabituelles
  Détecte plusieurs activités administratives dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.

Pour obtenir la liste complète des détections et leur action, consultez Stratégies de détection d’anomalies.

Remarque

Bien que certaines détections d’anomalies soient principalement axées sur la détection de scénarios de sécurité problématiques, d’autres peuvent aider à identifier et à examiner le comportement anormal de l’utilisateur qui peut ne pas nécessairement indiquer une compromission. Pour ces détections, nous avons créé un autre type de données appelé « comportements » qui est disponible dans l’expérience de chasse avancée Microsoft Defender XDR. Pour plus d’informations, consultez Comportements.

Une fois que vous êtes familiarisé avec les stratégies, vous devez réfléchir à la façon dont vous souhaitez les ajuster en fonction des exigences spécifiques de votre organization afin de mieux cibler les activités que vous souhaiterez peut-être examiner plus en détail.

1. Stratégies d’étendue à des utilisateurs ou des groupes spécifiques

   Les stratégies d’étendue pour des utilisateurs spécifiques peuvent aider à réduire le bruit des alertes qui ne sont pas pertinentes pour votre organization. Chaque stratégie peut être configurée pour inclure ou exclure des utilisateurs et des groupes spécifiques, comme dans les exemples suivants :

   • Simulations d’attaque
     De nombreuses organisations utilisent un utilisateur ou un groupe pour simuler constamment des attaques. Évidemment, il n’est pas judicieux de recevoir constamment des alertes à partir des activités de ces utilisateurs. Par conséquent, vous pouvez configurer vos stratégies pour exclure ces utilisateurs ou groupes. Cela permet également aux modèles Machine Learning d’identifier ces utilisateurs et d’affiner leurs seuils dynamiques en conséquence.
   • Détections ciblées
     Votre organization peut être intéressé par l’examen d’un groupe spécifique d’utilisateurs d’adresses IP virtuelles, tels que les membres d’un administrateur ou d’un groupe CXO. Dans ce scénario, vous pouvez créer une stratégie pour les activités que vous souhaitez détecter et choisir d’inclure uniquement l’ensemble d’utilisateurs ou de groupes qui vous intéressent.

2. Régler les détections de connexion anormales

   Certaines organisations souhaitent voir les alertes résultant d’échecs d’activités de connexion , car elles peuvent indiquer qu’une personne tente de cibler un ou plusieurs comptes d’utilisateur. En revanche, les attaques par force brute sur les comptes d’utilisateur se produisent tout le temps dans le cloud et les organisations n’ont aucun moyen de les empêcher. Par conséquent, les grandes organisations décident généralement de recevoir uniquement des alertes pour les activités de connexion suspectes qui entraînent des activités de connexion réussies, car elles peuvent représenter de véritables compromissions.

   L’usurpation d’identité est une source clé de compromission et constitue un vecteur de menace majeur pour votre organization. Nos alertes de déplacement impossible, d’activité à partir d’adresses IP suspectes et de détections peu fréquentes de pays/régions vous aident à découvrir les activités qui suggèrent qu’un compte est potentiellement compromis.

3. Régler la sensibilité des déplacements impossiblesConfigurez le curseur de sensibilité qui détermine le niveau de suppressions appliquées aux comportements anormaux avant de déclencher une alerte de voyage impossible. Par exemple, les organisations intéressées par la haute fidélité doivent envisager d’augmenter le niveau de sensibilité. En revanche, si votre organization a de nombreux utilisateurs qui voyagent, envisagez de réduire le niveau de sensibilité pour supprimer les activités des emplacements courants d’un utilisateur appris à partir des activités précédentes. Vous pouvez choisir parmi les niveaux de sensibilité suivants :

   • Faible : suppressions de système, de locataire et d’utilisateur
   • Moyenne : suppressions système et utilisateur
   • Élevé : seules les suppressions système

   Où :

   Type de suppression	Description
   Système	Détections intégrées qui sont toujours supprimées.
   Client	Activités courantes basées sur l’activité précédente dans le client. Par exemple, la suppression d’activités d’un fai précédemment alerté dans votre organization.
   Utilisateur	Activités courantes basées sur l’activité précédente de l’utilisateur spécifique. Par exemple, la suppression d’activités à partir d’un emplacement couramment utilisé par l’utilisateur.

Phase 3 : Optimiser les stratégies de détection des anomalies cloud

À l’instar des stratégies de détection d’anomalies, il existe plusieurs stratégies intégrées de détection des anomalies de découverte cloud que vous pouvez affiner. Par exemple, la stratégie Exfiltration de données vers des applications non approuvées vous alerte lorsque des données sont exfiltrées dans une application non approuvée et sont préconfigurées avec des paramètres basés sur l’expérience Microsoft dans le domaine de la sécurité.

Toutefois, vous pouvez affiner les stratégies intégrées ou créer vos propres stratégies pour vous aider à identifier d’autres scénarios qui pourraient vous intéresser. Étant donné que ces stratégies sont basées sur les journaux de découverte du cloud, elles ont des fonctionnalités de réglage différentes plus axées sur le comportement anormal des applications et l’exfiltration des données.

1. Optimiser la surveillance de l’utilisation
   Définissez les filtres d’utilisation pour contrôler la base de référence, l’étendue et la période d’activité pour détecter les comportements anormaux. Par exemple, vous souhaiterez peut-être recevoir des alertes pour les activités anormales liées aux employés de niveau supérieur.

2. Régler la sensibilité des alertes
   Pour éviter la fatigue des alertes, configurez la sensibilité des alertes. Vous pouvez utiliser le curseur de sensibilité pour contrôler le nombre d’alertes à haut risque envoyées par 1 000 utilisateurs par semaine. Les sensibilités plus élevées nécessitent moins de variance pour être considérées comme une anomalie et générer plus d’alertes. En général, définissez une faible sensibilité pour les utilisateurs qui n’ont pas accès aux données confidentielles.

Phase 4 : Régler les stratégies de détection (activité) basées sur des règles

Les stratégies de détection basées sur des règles vous permettent de compléter les stratégies de détection des anomalies avec des exigences spécifiques à organization. Nous vous recommandons de créer des stratégies basées sur des règles à l’aide de l’un de nos modèles de stratégie d’activité (accédez à Modèles> decontrôle et définissez le filtre type sur Stratégie d’activité), puis de les configurer pour détecter les comportements qui ne sont pas normaux pour votre environnement. Par exemple, pour certains organization qui n’ont pas de présence dans un pays ou une région particulier, il peut être judicieux de créer une stratégie qui détecte les activités anormales de ce pays/région et alerte sur celles-ci. Pour d’autres, qui ont de grandes succursales dans ce pays/région, les activités en provenance de ce pays/région seraient normales et il n’aurait pas de sens de détecter de telles activités.

1. Régler le volume d’activité
   Choisissez le volume d’activité requis avant que la détection déclenche une alerte. À l’aide de notre exemple de pays/région, si vous n’avez pas de présence dans un pays ou une région, même une seule activité est importante et justifie une alerte. Toutefois, un échec de connexion unique peut être une erreur humaine et ne peut être intéressant que s’il y a de nombreuses défaillances sur une courte période.
2. Ajuster les filtres d’activité
   Définissez les filtres dont vous avez besoin pour détecter le type d’activité sur lequel vous souhaitez alerter. Par exemple, pour détecter l’activité d’un pays/d’une région, utilisez le paramètre Location .
3. Paramétrer les alertes
   Pour éviter la fatigue des alertes, définissez la limite d’alerte quotidienne.

Phase 5 : Configurer les alertes

Remarque

Depuis le 15 décembre 2022, les alertes/SMS (sms) sont dépréciés. Si vous souhaitez recevoir des alertes texte, vous devez utiliser Microsoft Power Automate pour l’automatisation des alertes personnalisées. Pour plus d’informations, consultez Intégrer à Microsoft Power Automate pour l’automatisation des alertes personnalisées.

Vous pouvez choisir de recevoir des alertes dans le format et le support qui conviennent le mieux à vos besoins. Pour recevoir des alertes immédiates à tout moment de la journée, vous préférerez peut-être les recevoir par e-mail.

Vous pouvez également avoir la possibilité d’analyser les alertes dans le contexte d’autres alertes déclenchées par d’autres produits dans votre organization pour vous donner une vue holistique d’une menace potentielle. Par exemple, vous pouvez mettre en corrélation les événements basés sur le cloud et locaux pour voir s’il existe d’autres preuves atténuantes susceptibles de confirmer une attaque.

En outre, vous pouvez également déclencher l’automatisation des alertes personnalisées à l’aide de notre intégration à Microsoft Power Automate. Par exemple, vous pouvez configurer un playbook pour créer automatiquement un problème dans ServiceNow ou envoyer un e-mail d’approbation pour exécuter une action de gouvernance personnalisée lorsqu’une alerte est déclenchée.

Utilisez les instructions suivantes pour configurer vos alertes :

1. Courrier électronique
   Choisissez cette option pour recevoir des alertes par e-mail.
2. SIEM
   Il existe plusieurs options d’intégration SIEM, notamment Microsoft Sentinel, Microsoft Graph API de sécurité et d’autres SIEM génériques. Choisissez l’intégration qui répond le mieux à vos besoins.
3. Automatisation de Power Automate
   Créez les playbooks d’automatisation dont vous avez besoin et définissez-les comme alerte de la stratégie à l’action Power Automate.

Phase 6 : Examiner et corriger

Bien, vous avez configuré vos stratégies et commencez à recevoir des alertes d’activité suspecte. Que devez-vous faire à leur sujet ? Pour commencer, vous devez prendre des mesures pour examiner l’activité. Par exemple, vous pouvez examiner les activités qui indiquent qu’un utilisateur a été compromis.

Pour optimiser votre protection, vous devez envisager de configurer des actions de correction automatique afin de réduire le risque pour votre organization. Nos stratégies vous permettent d’appliquer des actions de gouvernance conjointement aux alertes afin que le risque pour votre organization soit réduit avant même de commencer à examiner. Les actions disponibles sont déterminées par le type de stratégie, y compris les actions telles que la suspension d’un utilisateur ou le blocage de l’accès à la ressource demandée.

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.

En savoir plus

• Essayez notre guide interactif : Détecter les menaces et gérer les alertes avec Microsoft Defender for Cloud Apps