Tutoriel : Examiner les utilisateurs à risque
Les équipes des opérations de sécurité sont mises au défi de surveiller l’activité des utilisateurs, suspecte ou non, dans toutes les dimensions de la surface d’attaque d’identité, à l’aide de plusieurs solutions de sécurité qui ne sont souvent pas connectées. Bien que de nombreuses entreprises disposent désormais d’équipes de chasse pour identifier de manière proactive les menaces dans leurs environnements, savoir ce qu’il faut rechercher sur la grande quantité de données peut être un défi. Microsoft Defender for Cloud Apps supprime la nécessité de créer des règles de corrélation complexes et vous permet de rechercher des attaques qui s’étendent sur votre cloud et votre réseau local.
Pour vous aider à vous concentrer sur l’identité de l’utilisateur, Microsoft Defender for Cloud Apps fournit l’analytique comportementale des entités utilisateur (UEBA) dans le cloud. UEBA peut être étendu à votre environnement local en l’intégrant à Microsoft Defender pour Identity, après quoi vous obtiendrez également du contexte autour de l’identité de l’utilisateur à partir de son intégration native à Active Directory.
Que votre déclencheur soit une alerte que vous voyez dans le tableau de bord Defender for Cloud Apps ou que vous disposiez d’informations provenant d’un service de sécurité tiers, démarrez votre enquête à partir du tableau de bord Defender for Cloud Apps pour découvrir en détail les utilisateurs à risque.
Dans ce tutoriel, vous allez apprendre à utiliser Defender for Cloud Apps pour examiner les utilisateurs à risque :
Comprendre le score de priorité d’investigation
Le score de priorité d’investigation est un score que Defender for Cloud Apps donne à chaque utilisateur pour vous indiquer à quel point l’utilisateur est risqué par rapport aux autres utilisateurs de votre organization. Utilisez le score de priorité d’investigation pour déterminer les utilisateurs à examiner en premier, en détectant à la fois les personnes malveillantes internes et les attaquants externes qui se déplacent latéralement dans votre organisation, sans avoir à s’appuyer sur des détections déterministes standard.
Chaque utilisateur Microsoft Entra a un score de priorité d’investigation dynamique, qui est constamment mis à jour en fonction du comportement et de l’impact récents générés à partir des données évaluées à partir de Defender pour Identity et Defender for Cloud Apps.
Defender for Cloud Apps crée des profils utilisateur pour chaque utilisateur, basés sur des analyses qui prennent en compte les alertes de sécurité et les activités anormales au fil du temps, les groupes de pairs, l’activité utilisateur attendue et l’effet que tout utilisateur spécifique peut avoir sur les ressources de l’entreprise ou de l’entreprise.
L’activité anormale par rapport à la base de référence d’un utilisateur est évaluée et notée. Une fois le scoring terminé, les calculs d’homologues dynamiques propriétaires de Microsoft et le Machine Learning sont exécutés sur les activités de l’utilisateur pour calculer la priorité d’investigation pour chaque utilisateur.
Comprenez immédiatement qui sont les utilisateurs les plus à risque réels en filtrant en fonction du score de priorité d’investigation, en vérifiant directement l’impact sur l’entreprise de chaque utilisateur et en examinant toutes les activités associées, qu’elles soient compromises, exfiltrées ou agissant comme des menaces internes.
Defender for Cloud Apps utilise les éléments suivants pour mesurer le risque :
Score d’alerte : le score d’alerte représente l’impact potentiel d’une alerte spécifique sur chaque utilisateur. Le scoring des alertes est basé sur la gravité, l’impact sur les utilisateurs, la popularité des alertes parmi les utilisateurs et toutes les entités dans le organization.
Score d’activité : le score d’activité détermine la probabilité qu’un utilisateur spécifique effectue une activité spécifique, en fonction de l’apprentissage comportemental de l’utilisateur et de ses pairs. Les activités identifiées comme les plus anormales reçoivent les scores les plus élevés.
Sélectionnez le score de priorité d’investigation pour une alerte ou une activité pour afficher la preuve qui explique comment Defender for Cloud Apps a noté l’activité.
Remarque
Nous mettons progressivement hors service l’alerte d’augmentation du score de priorité d’enquête de Microsoft Defender for Cloud Apps d’août 2024. Le score de priorité d’investigation et la procédure décrite dans cet article ne sont pas affectés par cette modification.
Pour plus d’informations, consultez Chronologie de dépréciation de l’augmentation du score de priorité d’investigation.
Phase 1 : Se connecter aux applications que vous souhaitez protéger
Connectez au moins une application à Microsoft Defender for Cloud Apps à l’aide des connecteurs d’API. Nous vous recommandons de commencer par connecter Microsoft 365.
Microsoft Entra ID applications sont automatiquement intégrées pour le contrôle d’application par accès conditionnel.
Phase 2 : Identifier les utilisateurs les plus à risque
Pour identifier les utilisateurs les plus risqués dans Defender for Cloud Apps :
Dans le portail Microsoft Defender, sous Ressources, sélectionnez Identités. Triez la table par priorité d’investigation. Ensuite, accédez un par un à leur page utilisateur pour les examiner.
Le numéro de priorité d’investigation, situé à côté du nom d’utilisateur, est une somme de toutes les activités risquées de l’utilisateur au cours de la dernière semaine.
Sélectionnez les trois points à droite de l’utilisateur, puis choisissez Afficher la page Utilisateur.
Passez en revue les informations de la page des détails de l’utilisateur pour obtenir une vue d’ensemble de l’utilisateur et voir s’il y a des moments où l’utilisateur a effectué des activités inhabituelles pour cet utilisateur ou qui ont été effectuées à un moment inhabituel.
Le score de l’utilisateur par rapport à l’organization représente le centile dans lequel l’utilisateur se trouve en fonction de son classement dans votre organization , c’est-à-dire le niveau qu’il figure dans la liste des utilisateurs que vous devez examiner, par rapport aux autres utilisateurs de votre organization. Le nombre est rouge si un utilisateur se trouve dans ou au-dessus du 90e centile des utilisateurs à risque dans votre organization.
La page des détails de l’utilisateur vous permet de répondre aux questions suivantes :
| Question | Détails |
|---|---|
| Qui est l’utilisateur ? | Recherchez des détails de base sur l’utilisateur et ce que le système sait à son sujet, y compris le rôle de l’utilisateur dans votre entreprise et son service. Par exemple, l’utilisateur est-il un ingénieur DevOps qui effectue souvent des activités inhabituelles dans le cadre de son travail ? Ou l’utilisateur est-il un employé mécontent qui vient d’être passé pour une promotion ? |
| L’utilisateur est-il risqué ? | Quel est le score de risque de l’employé et est-ce qu’il vaut la peine de l’examiner ? |
| Quel est le risque que l’utilisateur présente pour votre organization ? | Faites défiler vers le bas pour examiner chaque activité et alerte associée à l’utilisateur afin de commencer à comprendre le type de risque représenté par l’utilisateur. Dans la chronologie, sélectionnez chaque ligne pour approfondir l’activité ou alerter elle-même. Sélectionnez le nombre en regard de l’activité afin de comprendre la preuve qui a influencé le score lui-même. |
| Quel est le risque pour les autres actifs de votre organization ? | Sélectionnez l’onglet Chemins de mouvement latéral pour comprendre les chemins qu’un attaquant peut utiliser pour prendre le contrôle des autres ressources de votre organization. Par exemple, même si l’utilisateur que vous examinez a un compte non sensible, un attaquant peut utiliser des connexions au compte pour découvrir et tenter de compromettre les comptes sensibles dans votre réseau. Pour plus d’informations, consultez Utiliser des chemins de mouvement latéral. |
Remarque
Bien que les pages de détails utilisateur fournissent des informations sur les appareils, les ressources et les comptes pour toutes les activités, le score de priorité d’investigation inclut la somme de toutes les activités et alertes à risque au cours des 7 derniers jours.
Réinitialiser le score utilisateur
Si l’utilisateur a fait l’objet d’une enquête et qu’aucun soupçon de compromission n’a été trouvé, ou si vous souhaitez réinitialiser le score de priorité d’investigation de l’utilisateur pour une autre raison, de la façon suivante :
Dans le portail Microsoft Defender, sous Ressources, sélectionnez Identités.
Sélectionnez les trois points à droite de l’utilisateur examiné, puis sélectionnez Réinitialiser le score de priorité d’investigation. Vous pouvez également sélectionner Afficher la page utilisateur , puis réinitialiser le score de priorité d’investigation à partir des trois points de la page des détails de l’utilisateur.
Remarque
Seuls les utilisateurs avec un score de priorité d’investigation différent de zéro peuvent être réinitialisés.
Dans la fenêtre de confirmation, sélectionnez Réinitialiser le score.
Phase 3 : Examiner plus en détail les utilisateurs
Certaines activités peuvent ne pas être une cause d’alarme à elles-mêmes, mais peuvent être une indication d’un événement suspect lorsqu’elles sont agrégées à d’autres activités.
Lorsque vous examinez un utilisateur, vous souhaitez poser les questions suivantes sur les activités et les alertes que vous voyez :
Y a-t-il une justification commerciale pour cet employé d’effectuer ces activités ? Par exemple, si une personne du marketing accède à la base de code ou qu’une personne du développement accède à la base de données financière, vous devez effectuer un suivi auprès de l’employé pour vous assurer qu’il s’agit d’une activité intentionnelle et justifiée.
Pourquoi cette activité a-t-elle reçu un score élevé alors que d’autres ne l’ont pas fait ? Accédez au journal d’activité et définissez la priorité d’investigation sur Est défini pour comprendre quelles activités sont suspectes.
Par exemple, vous pouvez filtrer en fonction de la priorité d’investigation pour toutes les activités qui se sont produites dans une zone géographique spécifique. Ensuite, vous pouvez voir si d’autres activités étaient risquées, d’où l’utilisateur s’est connecté, et vous pouvez facilement pivoter vers d’autres explorations, telles que les activités cloud et locales récentes nonanomales, pour poursuivre votre investigation.
Phase 4 : Protéger votre organization
Si votre investigation vous mène à la conclusion qu’un utilisateur est compromis, procédez comme suit pour atténuer le risque.
Contacter l’utilisateur : à l’aide des informations de contact de l’utilisateur intégrées à Defender for Cloud Apps d’Active Directory, vous pouvez explorer chaque alerte et activité pour résoudre l’identité de l’utilisateur. Assurez-vous que l’utilisateur est familiarisé avec les activités.
Directement à partir du portail Microsoft Defender, dans la page Identités, sélectionnez les trois points de l’utilisateur examiné et choisissez s’il faut demander à l’utilisateur de se reconnecter, de suspendre l’utilisateur ou de confirmer que l’utilisateur est compromis.
Dans le cas d’une identité compromise, vous pouvez demander à l’utilisateur de réinitialiser son mot de passe, en veillant à ce que le mot de passe respecte les meilleures pratiques en matière de longueur et de complexité.
Si vous explorez une alerte et que vous déterminez que l’activité n’a pas dû déclencher d’alerte, dans le tiroir Activité, sélectionnez le lien Nous envoyer des commentaires afin que nous puissions être sûrs d’affiner notre système d’alerte en tenant compte de vos organization.
Après avoir corrigé le problème, fermez l’alerte.
Voir aussi
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.