Présentation des alertes de sécurité

Microsoft Defender pour Identity alertes de sécurité expliquent dans un langage clair et des graphiques, les activités suspectes identifiées sur votre réseau et les acteurs et ordinateurs impliqués dans les menaces. Les alertes sont classées par gravité, codées en couleur pour faciliter leur filtrage visuel et organisées par phase de menace. Chaque alerte est conçue pour vous aider à comprendre rapidement ce qui se passe exactement sur votre réseau. Les listes de preuves d’alertes contiennent des liens directs vers les utilisateurs et ordinateurs concernés, afin de faciliter vos investigations.

Dans cet article, vous allez découvrir la structure des alertes de sécurité Defender pour Identity et comment les utiliser.

• Structure des alertes de sécurité
• Classifications des alertes de sécurité
• Catégories d’alertes de sécurité
• Investigation avancée des alertes de sécurité
• Entités associées
• Defender pour Identity et NNR (Network Name Resolution)

Structure des alertes de sécurité

Chaque alerte de sécurité Defender pour Identity inclut un récit d’alerte. Il s’agit de la chaîne d’événements liés à cette alerte dans l’ordre chronologique, ainsi que d’autres informations importantes liées à l’alerte.

Dans la page d’alerte, vous pouvez :

• Gérer l’alerte : modifiez la status, l’affectation et la classification de l’alerte. Vous pouvez également ajouter un commentaire ici.

• Exporter : télécharger un rapport Excel détaillé à des fins d’analyse

• Lier une alerte à un autre incident : lier une alerte à un nouvel incident existant

  

Pour plus d’informations sur les alertes, consultez Examiner les alertes dans Microsoft Defender XDR.

Classifications des alertes de sécurité

Après examen approprié, toutes les alertes de sécurité Defender pour Identity peuvent être classées comme l’un des types d’activité suivants :

• True positive (TP) : action malveillante détectée par Defender pour Identity.

• Vrai positif bénin (B-TP) : action détectée par Defender pour Identity qui est réelle, mais non malveillante, telle qu’un test d’intrusion ou une activité connue générée par une application approuvée.

• Faux positif (FP) : fausse alarme, ce qui signifie que l’activité ne s’est pas produite.

L’alerte de sécurité est-elle un TP, B-TP ou FP

Pour chaque alerte, posez les questions suivantes pour déterminer la classification des alertes et vous aider à décider ce qu’il faut faire ensuite :

1. Quelle est la fréquence de cette alerte de sécurité spécifique dans votre environnement ?
2. L’alerte a-t-elle été déclenchée par les mêmes types d’ordinateurs ou d’utilisateurs ? Par exemple, des serveurs avec le même rôle ou des utilisateurs du même groupe/service ? Si les ordinateurs ou les utilisateurs étaient similaires, vous pouvez décider de l’exclure pour éviter d’autres alertes FP ultérieures.

Remarque

Une augmentation des alertes du même type réduit généralement le niveau suspect/d’importance de l’alerte. Pour les alertes répétées, vérifiez les configurations et utilisez les détails et les définitions des alertes de sécurité pour comprendre exactement ce qui se passe qui déclenche les répétitions.

Catégories d’alertes de sécurité

Les alertes de sécurité Defender pour Identity sont divisées en catégories ou phases suivantes, comme les phases observées dans une chaîne de destruction de cyberattaque classique. Apprenez-en davantage sur chaque phase et les alertes conçues pour détecter chaque attaque, à l’aide des liens suivants :

• Alertes de reconnaissance
• Alertes d’informations d’identification compromises
• Alertes de mouvement latéral
• Alertes de dominance de domaine
• Alertes d’exfiltration

Investigation avancée des alertes de sécurité

Pour obtenir plus de détails sur une alerte de sécurité, sélectionnez Exporter dans une page de détails d’alerte pour télécharger le rapport d’alerte Excel détaillé.

Le fichier téléchargé inclut des détails récapitulatives sur l’alerte sous le premier onglet, notamment :

• Titre
• Description
• Heure de début (UTC)
• Heure de fin (UTC)
• Gravité : faible/moyenne/élevée
• État : Ouvert/Fermé
• Heure de mise à jour de l’état (UTC)
• Afficher dans le navigateur

Toutes les entités impliquées, y compris les comptes, les ordinateurs et les ressources, sont répertoriées, séparées par leur rôle. Les détails sont fournis pour la source, la destination ou l’entité attaquée, en fonction de l’alerte.

La plupart des onglets incluent les données suivantes par entité :

• Nom

• Détails

• Type

• SamName

• Ordinateur source

• Utilisateur source (si disponible)

• Contrôleurs de domaine

• Ressource consultée : Heure, Ordinateur, Nom, Détails, Type, Service.

• Entités associées : ID, Type, Name, Unique Entity Json, Unique Entity Profile Json

• Toutes les activités brutes capturées par les capteurs Defender pour Identity liées à l’alerte (activités réseau ou événement), notamment :

  • Activités réseau
  • Activités d’événement

Certaines alertes ont des onglets supplémentaires, tels que des détails sur :

• Comptes attaqués lorsque l’attaque suspectée a utilisé la force brute.
• Serveurs DNS (Domain Name System) lorsque le suspect d’attaque a impliqué la reconnaissance de mappage réseau (DNS).

Par exemple :

Entités associées

Dans chaque alerte, le dernier onglet fournit les entités associées. Les entités associées sont toutes les entités impliquées dans une activité suspecte, sans la séparation du « rôle » qu’elles ont joué dans l’alerte. Chaque entité a deux fichiers Json, l’entité unique Json et le profil d’entité unique Json. Utilisez ces deux fichiers Json pour en savoir plus sur l’entité et pour vous aider à examiner l’alerte.

Fichier JSON d’entité unique

Inclut les données que Defender pour Identity a apprises à partir d’Active Directory sur le compte. Cela inclut tous les attributs tels que nom unique, SID, LockoutTime et PasswordExpiryTime. Pour les comptes d’utilisateur, inclut des données telles que Department, Mail et PhoneNumber. Pour les comptes d’ordinateur, inclut des données telles que OperatingSystem, IsDomainController et DnsName.

Fichier JSON de profil d’entité unique

Inclut toutes les données Defender pour Identity profilées sur l’entité. Defender pour Identity utilise les activités réseau et événementielles capturées pour en savoir plus sur les utilisateurs et les ordinateurs de l’environnement. Defender pour Identity présente des informations pertinentes par entité. Ces informations contribuent aux fonctionnalités d’identification des menaces de Defender pour Identity.

Comment puis-je utiliser les informations Defender pour Identity dans une enquête ?

Les enquêtes peuvent être aussi détaillées que nécessaire. Voici quelques idées de façons d’examiner l’utilisation des données fournies par Defender pour Identity.

• Vérifiez si tous les utilisateurs associés appartiennent au même groupe ou service.
• Les utilisateurs associés partagent-ils des ressources, des applications ou des ordinateurs ?
• Un compte est-il actif même si son PasswordExpiryTime est déjà passé ?

Defender pour Identity et NNR (Network Name Resolution)

Les fonctionnalités de détection de Defender pour Identity s’appuient sur la résolution de noms réseau (NNR) active pour résoudre les adresses IP sur les ordinateurs de votre organization. À l’aide de NNR, Defender pour Identity est en mesure de mettre en corrélation les activités brutes (contenant des adresses IP) et les ordinateurs concernés impliqués dans chaque activité. En fonction des activités brutes, Defender pour Identity profile les entités, y compris les ordinateurs, et génère des alertes.

Les données NNR sont essentielles pour détecter les alertes suivantes :

• Suspicion d’usurpation d’identité (pass-the-ticket)
• Suspicion d’attaque DCSync (réplication des services d’annuaire)
• Reconnaissance de mappage réseau (DNS)

Utilisez les informations NNR fournies sous l’onglet Activités réseau du rapport de téléchargement d’alerte pour déterminer si une alerte est un FP. Dans le cas d’une alerte FP , il est courant que le résultat de la certitude NNR soit donné avec un niveau de confiance faible.

Télécharger les données de rapport s’affiche en deux colonnes :

• Ordinateur source/de destination

  • Certitude : une certitude de faible résolution peut indiquer une résolution de noms incorrecte.

• Ordinateur source/de destination

  • Méthode de résolution : fournit les méthodes NNR utilisées pour résoudre l’adresse IP en ordinateur dans le organization.

Pour plus d’informations sur l’utilisation des alertes de sécurité Defender pour Identity, consultez Utilisation des alertes de sécurité.

Contenu connexe

• Examiner un utilisateur
• Examiner un ordinateur
• Utilisation des chemins de mouvement latéral
• Consultez le forum Defender pour Identity !