Comprendre les alertes de sécurité

Effectué

Dans Microsoft Defender pour le Cloud, il existe différentes alertes pour de nombreux types de ressources différents. Defender pour le Cloud génère des alertes pour les ressources déployées sur Azure et pour les ressources déployées sur les environnements cloud hybride et locaux. Les alertes de sécurité sont déclenchées par des détections avancées et sont disponibles uniquement avec Defender pour le Cloud.

Répondre aux menaces actuelles

Les menaces ont fortement évolué au cours des 20 dernières années. Auparavant, les entreprises avaient uniquement à se soucier de la dégradation des sites web par des attaquants isolés qui cherchaient principalement à découvrir « jusqu’où ils pouvaient aller ». Les pirates d’aujourd’hui sont beaucoup plus évolués et organisés. Ils ont souvent des objectifs financiers et stratégiques spécifiques. Ils ont également davantage de ressources disponibles, car ils peuvent être financés par des États-nations ou encore par le crime organisé.

Ces évolutions ont conduit à un niveau inédit de professionnalisme dans les rangs des attaquants. Ces derniers ne s’intéressent plus à la dégradation de site web, Ils s’intéressent désormais au vol d’informations, aux comptes financiers et aux données privées qu’ils peuvent utiliser pour générer des liquidités sur le marché ouvert ou pour tirer profit d’une activité commerciale particulière, ou encore d’une position politique ou militaire. Les pirates qui violent les réseaux afin de nuire à l’infrastructure et aux personnes constituent une menace bien plus importante que ceux avec des objectifs financiers.

Face au problème, les organisations déploient souvent plusieurs solutions, axées sur la défense du périmètre de l’entreprise ou de points de terminaison, en recherchant des signatures d’attaques connues. Ces solutions ont tendance à générer un volume élevé d’alertes basse fidélité, qui nécessitent qu’un analyste les trie et les examine. La plupart des organisations ne disposent pas du temps et de l’expertise nécessaires pour répondre à ces alertes, qui restent alors bien souvent sans réponse.

En outre, les attaquants ont fait évoluer leurs méthodes pour compromettre les nombreuses défenses basées sur la signature et pour s’adapter aux environnements de cloud. De nouvelles approches sont nécessaires pour identifier plus rapidement les nouvelles menaces, et accélérer la détection et la réaction.

Définition des alertes de sécurité et des incidents de sécurité

Les alertes sont les notifications générées par Defender pour le cloud lorsqu’il détecte des menaces pesant sur des ressources. Defender pour le cloud hiérarchise et répertorie les alertes ainsi que les informations vous permettant d’investiguer rapidement le problème. Defender pour le cloud fournit également des suggestions sur la manière dont vous pouvez corriger les problèmes liés à une attaque.

Un incident de sécurité est une collection d’alertes apparentées, par opposition à une présentation individuelle des alertes. Defender pour le Cloud utilise la corrélation d’alerte intelligente Cloud pour mettre en corrélation des alertes différentes et des signaux de faible fidélité en incidents de sécurité.

Avec les incidents de sécurité, Defender pour le cloud vous offre une vue unique d’une campagne d’attaque et de toutes les alertes associées. Cette vue vous permet de comprendre rapidement quelles actions l’attaquant a effectuées et quelles ressources ont été impactées. Pour plus d’informations, consultez Corrélation des alertes intelligentes cloud.

Comment Defender pour le cloud détecte les menaces ?

Les chercheurs en sécurité de Microsoft sont constamment à l’affût des nouvelles menaces. Grâce à notre présence mondiale sur le cloud et localement, nous avons accès à un vaste jeu de télémétrie. Cette collection diverse et étendue de jeux de données nous permet de détecter de nouveaux modèles et de nouvelles tendances d’attaques dans nos produits locaux destinés au consommateur et aux entreprises, ainsi que dans nos services en ligne. Par conséquent, Defender pour le cloud peut rapidement mettre à jour ses algorithmes de détection, puisque les attaquants sont à l’origine d’attaques innovantes de plus en plus sophistiquées. Cette approche permet de faire face à des menaces en pleine mutation.

Pour détecter les menaces réelles et réduire le nombre de faux positifs, Defender pour le cloud collecte, analyse et intègre automatiquement les données des journaux de vos ressources Azure et du réseau. Cela fonctionne également avec les solutions de partenaires connectées, comme les solutions de pare-feu et de protection de point de terminaison. Defender pour le cloud analyse ces informations, souvent des informations corrélées issues de plusieurs sources, pour identifier les menaces.

Defender pour le cloud emploie une analytique de sécurité avancée qui va bien au-delà des approches simplement basées sur la signature. Les innovations en matière de Big Data et de technologies Machine Learning sont mises à profit pour évaluer des événements dans toute la structure du cloud, et permettent ainsi de détecter des menaces qui seraient impossibles à identifier à l’aide de méthodes manuelles et de prédire l’évolution des attaques. Ces analyses de sécurité comprennent les éléments suivants :

  • Threat Intelligence intégrée : Microsoft dispose d’une multitude d’informations en matière de menaces à l’échelle mondiale. La télémétrie provient de plusieurs sources, telles qu’Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) et Microsoft Security Response Center (MSRC). Les chercheurs reçoivent également les informations sur les menaces partagées par les principaux fournisseurs de services cloud et flux provenant d’autres tiers. Defender pour le Cloud peut utiliser ces informations pour vous avertir des menaces émanant d’acteurs incorrects connus.

  • Analytique comportementale : L’analyse comportementale est une technique qui analyse et compare les données à une collection de modèles connus. Toutefois, ces modèles ne sont pas de simples signatures. Ils sont déterminés par le biais d’algorithmes de machine learning complexes appliqués à des jeux de données volumineux. Ils sont également déterminés à travers une analyse minutieuse des comportements malveillants par des experts. Defender pour le Cloud peut utiliser l’analyse comportementale pour identifier les ressources compromises en fonction de l’analyse des journaux d’ordinateur virtuel, des journaux de périphérique réseau virtuel, des journaux d’infrastructure et d’autres sources.

  • Détection des anomalies: Defender pour le Cloud utilise également la détection d’anomalie pour identifier les menaces. Contrairement à l’analyse comportementale (qui dépend de modèles connus dérivés de grands jeux de données), la détection d’anomalie est « personnalisée » et se concentre sur les lignes de base propres à vos déploiements. L’apprentissage automatique est appliqué pour déterminer l’activité normale de vos déploiements. Ensuite, des règles sont générées pour définir des conditions hors norme qui peuvent représenter un événement de sécurité.

Comment les alertes sont-elles classifiées ?

Defender pour le cloud affecte un degré de gravité aux alertes pour vous aider à hiérarchiser l’ordre dans lequel vous répondez à chaque alerte. Ainsi, quand une ressource est compromise, vous pouvez vous en occuper immédiatement. La gravité dépend du niveau de confiance que Defender pour le cloud accorde aux résultats ou à l’analytique utilisée pour émettre l’alerte, et de l’intention malveillante estimée de l’activité à l’origine de l’alerte.

  • Élevée : il est fort probable que votre ressource ait été compromise. Vous devez étudier le problème immédiatement. Defender pour le cloud a un niveau de confiance élevé quant à l’intention malveillante et aux résultats de recherche à l’origine de l’alerte. Par exemple, une alerte détecte l’exécution d’un outil malveillant connu, tel que Mimikatz, un outil courant utilisé pour le vol d’informations d’identification.

  • Moyenne : il s’agit probablement d’une activité suspecte qui est susceptible d’indiquer qu’une ressource est compromise. Le niveau de confiance de Defender pour le Cloud dans l’analyse et la recherche est moyen, tandis le niveau de confiance quant à l’intention malveillante est moyen ou élevé. Il s’agit généralement de détections basées sur des anomalies ou l’apprentissage automatique. Par exemple, une tentative de connexion depuis un emplacement anormal.

  • Basse : cela peut être un positif sans gravité ou une attaque bloquée.

    • Defender pour le cloud n’est pas suffisamment sûr que l’intention est malveillante et l’activité peut être inoffensive. Par exemple, l’effacement des journaux est une action qui peut se produire lorsqu’un pirate tente de masquer ses traces mais, dans de nombreux cas, il s’agit d’une opération de routine effectuée par les administrateurs.

    • Defender pour le Cloud n’indique généralement pas les attaques bloquées, sauf s’il s’agit d’un cas qu’il peut être intéressant d’examiner.

  • Information : vous voyez les alertes d’information seulement lorsque vous explorez en profondeur un incident de sécurité, ou si vous utilisez l’API REST avec un ID d’alerte spécifique. Un incident est généralement constitué de nombreuses alertes, dont certaines peuvent apparaître individuellement à titre d’information seulement, mais mériter un examen plus approfondi dans le contexte des autres alertes.

Surveillance et évaluations continues

Defender pour le Cloud bénéficie de la recherche de la sécurité et des équipes de science des données de Microsoft qui surveillent continuellement les changements dans le paysage des menaces. Cela inclut les initiatives suivantes :

  • Analyse des informations sur les menaces : les informations sur les menaces incluent des mécanismes, des indicateurs, des implications et des conseils pratiques sur les menaces, nouvelles ou existantes. Ces informations sont partagées avec la communauté dédiée à la sécurité, et Microsoft surveille en permanence le flux des informations sur les menaces provenant de sources internes et externes.

  • Partage de signal : les informations fournies par les équipes de sécurité sur le portefeuille complet de services cloud et locaux, de serveurs et d’appareils de point de terminaison client de Microsoft sont partagées et analysées.

  • Spécialistes de la sécurité Microsoft : engagement continu avec les équipes Microsoft travaillant dans des domaines de la sécurité spécialisés, tels que la forensique et la détection d’attaques web.

  • Réglage de la détection : des algorithmes sont exécutés sur les jeux de données client réels, et les chercheurs en sécurité collaborent avec les clients pour valider les résultats. Les vrais et les faux positifs sont utilisés pour affiner les algorithmes d’apprentissage automatique.

Comprendre les types d'alertes

La liste de référence d’alertes actuelle contient plus de 500 types d’alertes. La liste de référence peut être consultée dans : Alertes de sécurité - un guide de référence

Chaque type d’alerte a une description, une gravité et une tactique MITRE ATT&CK

Tactiques MITRE ATTA&CK

Comprendre l’intention d’une attaque facilite l’examen et le signalement de l’événement. Pour faciliter ces efforts, les alertes Defender pour le Cloud comprennent les tactiques MITRE avec de nombreuses alertes. La série d’étapes qui décrit la progression d’une cyberattaque, de la reconnaissance à l’exfiltration de données, est souvent appelée « kill chain ».

Les intentions de la chaîne d'élimination prises en charge par Defender pour le Cloud sont basées sur la version 7 de la matrice ATT&CK de MITRE et décrites dans le tableau ci-dessous.

Tactique Description
PreAttack La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée.
InitialAccess La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée. Cette phase concerne les hôtes de calcul et les ressources telles que les comptes d'utilisateurs, certificats, etc. Les acteurs des menaces sont généralement capables de contrôler la ressource après cette phase.
Persistance La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès.
PrivilegeEscalation L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges.
DefenseEvasion L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.
CredentialAccess L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.
Découverte La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’aligner sur ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.
LateralMovement Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et le cloud, et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des d’autres outils tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers d’autres systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à d’autres informations d’identification, ou dans le but de causer un effet.
Exécution La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.
Collection La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
Exfiltration L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
CommandAndControl La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Impact Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc.