Générer des rapports de renseignement sur les menaces

Effectué

Procéder au triage et à l’examen des alertes de sécurité peut prendre beaucoup de temps, même pour le plus compétent des analystes de sécurité. Pour de nombreuses personnes, il est difficile de savoir où commencer.

Defender pour le cloud utilise l’analytique pour connecter les informations entre des alertes de sécurité distinctes. À l’aide de ces connexions, Defender pour le cloud peut fournir une vue unique d’une campagne d’attaque et de ses alertes associées pour vous aider à comprendre les actions de l’attaquant et les ressources affectées.

Les incidents apparaissent sur la page Alertes de sécurité. Sélectionnez un incident pour afficher les alertes associées et obtenir plus d’informations.

Sur la page vue d’ensemble de Defender pour le Cloud, sélectionnez la vignette Alertes de sécurité. Les incidents et les alertes sont répertoriés. Notez que l’icône des incidents de sécurité est différente de celle des alertes de sécurité.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Pour afficher les détails, sélectionnez un incident. La page Incident de sécurité affiche plus de détails.

Screenshot of Defender for Cloud Security Alert Incident details.

Le volet gauche de la page de l’incident de sécurité affiche des informations générales sur l’incident de sécurité : titre, gravité, état, durée d’activité, description et ressource affectée. En regard de la ressource affectée, vous pouvez voir les balises Azure correspondantes. Utilisez-les pour déduire le contexte organisationnel de la ressource lors de l’examen de l’alerte.

Le volet droit comprend l’onglet Alertes avec les alertes de sécurité corrélées dans le cadre de cet incident.

Pour basculer vers l’onglet Entreprendre une action, sélectionnez l’onglet ou le bouton au bas du volet droit. Utilisez cet onglet pour entreprendre d’autres actions telles que :

  • Atténuer la menace : fournit des étapes de correction manuelle pour cet incident de sécurité

  • Empêcher les attaques futures : fournit des recommandations de sécurité pour aider à réduire la surface d’attaque, améliorer la posture de sécurité et empêcher les attaques futures

  • Déclencher une réponse automatisée : permet de déclencher une application logique en guide de réponse à cet incident de sécurité

  • Supprimer les alertes similaires : permet de supprimer les alertes futures ayant des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation.

Pour atténuer les menaces dans l’incident, suivez les étapes de correction fournies avec chaque alerte.

Générer des rapports de renseignement sur les menaces

La protection contre les menaces de Defender pour le Cloud fonctionne en surveillant les informations de sécurité provenant de vos ressources Azure, du réseau et des solutions partenaires connectées. Elle analyse ces informations, souvent issues de plusieurs sources, pour identifier les menaces.

Lorsque Defender pour le Cloud identifie une menace, il déclenche une alerte de sécurité contenant des informations détaillées sur l’événement, notamment des suggestions de correction. Defender pour le Cloud fournit des rapports d’informations sur les menaces contenant des informations sur les menaces détectées afin d’aider les équipes de réponse aux incidents à examiner et à corriger les menaces. Le rapport inclut des informations, telles que :

  • Identité ou associations des attaquants (si cette information est disponible)

  • Objectifs des attaquants

  • Campagnes d’attaque actuelles et historiques (si cette information est disponible)

  • Tactiques, outils et procédures des attaquants

  • Indicateurs de compromission (IoC) associés, tels que les URL et les hachages de fichier

  • Victimologie, c’est-à-dire la prévalence industrielle et géographique, afin de vous aider à déterminer si vos ressources Azure sont exposées au risque

  • Informations d’atténuation et de correction

Defender pour le cloud propose trois types de rapports sur les menaces, qui peuvent varier en fonction de l’attaque. Les rapports disponibles sont les suivants :

  • Rapport sur le groupe d’activités : fournit des informations détaillées sur les attaquants, leurs objectifs et leurs tactiques.

  • Rapport sur la campagne : se concentre sur les détails des campagnes d’attaque spécifiques.

  • Rapport de synthèse sur la menace : couvre tous les éléments des deux rapports précédents.

Ce type d'informations est utile pendant le processus de réponse aux incidents, au cours duquel des examens sont effectués en continu afin d'identifier la source de l'attaque, les motivations de l'attaquant et les mesures à prendre pour éviter que le problème se reproduise.

Pour accéder au rapport d’informations sur les menaces

Pour générer le rapport :

À partir de la barre latérale de Defender pour le Cloud, ouvrez la page Alertes de sécurité.

Sélectionnez une alerte. La page des détails des alertes s’ouvre et affiche des détails supplémentaires sur l’alerte. Vous trouverez ci-dessous la page des détails de l’alerte Des indicateurs de ransomware ont été détectés.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Sélectionnez le lien du rapport et un fichier PDF s’ouvre dans votre navigateur par défaut.