Guide pratique pour investiguer les alertes de détection d’anomalie

Microsoft Defender for Cloud Apps fournit des détections et des alertes de sécurité pour les activités malveillantes. Le but de ce guide est de vous fournir des informations générales et pratiques de chaque alerte, pour vous aider lors de vos tâches d’examen et de correction. Ce guide contient des informations générales sur les conditions de déclenchement d’alertes. Toutefois, il est important de noter que, étant donné que les détections d’anomalies ne sont pas déterministes par nature, elles sont déclenchées uniquement lorsqu’il existe un comportement qui s’écarte de la norme. Enfin, certaines alertes peuvent être en préversion. Consultez régulièrement la documentation officielle pour connaître l’état d’alerte mis à jour.

MITRE ATT&CK

Pour expliquer et faciliter la cartographie de la relation entre les alertes Defender pour le cloud Apps et la matrice MITRE ATT&CK familière, nous avons catégorisé les alertes par leur tactique MITRE ATT&CK correspondante. Cette référence supplémentaire facilite la compréhension de la technique d’attaques suspectes potentiellement en cours d’utilisation lorsqu’une alerte Defender for Cloud Apps est déclenchée.

Ce guide fournit des informations sur l’examen et la correction des alertes Defender for Cloud Apps dans les catégories suivantes.

• Accès initial
• Exécution
• Persistance
• Élévation des privilèges
• Accès aux informations d’identification
• Collection
• Exfiltration
• Impact

Classifications des alertes de sécurité

Après une investigation appropriée, toutes les alertes Defender for Cloud Apps peuvent être classées comme l’un des types d’activité suivants :

• Vrai positif (TP) : Une alerte sur une activité malveillante confirmée.
• Vrai positif bénin (B-TP) : Une alerte sur les activités suspectes, mais pas malveillantes, comme un test d’intrusion ou une autre action suspecte autorisée.
• Faux positif (FP) : alerte sur une activité non malveillante.

Étapes d’examen général

Vous devez utiliser les recommandations générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.

• Passez en revue le score de priorité d’investigation de l’utilisateur et comparez-le au reste de l’organisation. Cela vous aidera à identifier les utilisateurs de votre organisation qui présentent le plus grand risque.
• Si vous identifiez un TP, passez en revue toutes les activités de l’utilisateur pour comprendre l’impact.
• Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez la source et l’étendue de l’impact. Par exemple, passez en revue les informations d’appareil utilisateur suivantes et comparez-les aux informations connues sur l’appareil :
  • Système d’exploitation et version
  • Navigateur et version
  • Adresse IP et emplacement

Alertes d’accès initiales

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de pénétrer pour la première fois dans votre organisation.

Activité depuis une adresse IP anonyme

Description

Activité à partir d'une adresse IP qui a été identifiée comme une adresse IP de proxy anonyme par Microsoft Threat Intelligence ou par votre organisation. Ces proxys peuvent être utilisés pour masquer l’adresse IP d’un appareil et peuvent être utilisés pour des activités malveillantes.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui réduit les incidents B-TP, tels que les adresses IP mal balisées qui sont couramment utilisées par des utilisateurs de l’organisation.

1. TP : Si vous êtes en mesure de confirmer que l’activité a été effectuée à partir d’une adresse IP anonyme ou TOR.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si un utilisateur est connu pour utiliser des adresses IP anonymes dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou de pénétration pour le compte de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Passez en revue toutes les activités et alertes de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission. Par exemple, si l’alerte a été suivie d’une autre alerte suspecte, telle qu’un téléchargement de fichier inhabituel (par l’utilisateur) ou une alerte de transfert de boîte de réception suspecte, cela indique souvent qu’un attaquant tente d’exfiltrer des données.

Activité à partir de pays peu fréquents

Activité à partir d’un pays/région qui peut indiquer une activité malveillante. Cette stratégie profile votre environnement et déclenche des alertes lorsque l’activité est détectée à partir d’un emplacement qui n’a pas été récemment ou n’a jamais été visité par un utilisateur de l’organisation.

La stratégie peut être étendue à un sous-ensemble d’utilisateurs ou exclure les utilisateurs connus pour se déplacer vers des emplacements distants.

Période d’apprentissage

La détection d’emplacements anormales nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée :

   1. Suspendez l’utilisateur, réinitialisez son mot de passe et identifiez le bon moment pour réactiver le compte en toute sécurité.
   2. Facultatif : créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents et de leurs gestionnaires, pour vérifier leur activité.

2. B-TP : Si un utilisateur est connu pour être à cet emplacement. Par exemple, lorsqu’un utilisateur voyage fréquemment et se trouve actuellement à l’emplacement spécifié.

   Action recommandée :

   1. Ignorez l’alerte et modifiez la stratégie pour exclure l’utilisateur.
   2. Créer un groupe d’utilisateurs pour les voyageurs fréquents, importer le groupe dans Defender for Cloud Apps et exclure les utilisateurs de cette alerte
   3. Facultatif : créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents et de leurs gestionnaires, pour vérifier leur activité.

Comprendre l’étendue de la violation

• Passez en revue les ressources qui ont pu faire l’objet d’une compromission, comme des téléchargements de données potentiels.

Activité à partir d’adresses IP suspectes

Activité à partir d’une adresse IP qui a été identifiée comme à risque par Microsoft Threat Intelligence ou par votre organisation. Ces adresses IP ont été identifiées comme impliquées dans des activités malveillantes, telles que l’exécution de pulvérisations de mots de passe, la commande botnet et le contrôle (C&C), et peuvent indiquer un compte compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou de pénétration pour le compte de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité et recherchez les activités à partir de la même adresse IP.
2. Passez en revue les ressources qui ont pu faire l’objet d’une compromission, comme des modifications administratives ou des téléchargements de données potentiels.
3. Créez un groupe pour les analystes de sécurité qui déclenchent volontairement ces alertes et les excluent de la stratégie.

Voyage impossible

Activité provenant du même utilisateur dans différents emplacements dans un délai plus court que le temps de déplacement prévu entre les deux emplacements. Cela peut indiquer une violation des identifiants. Toutefois, il est également possible que l’emplacement réel de l’utilisateur soit masqué, par exemple à l’aide d’un VPN.

Pour améliorer l’exactitude et l’alerte uniquement lorsqu’il existe une indication forte d’une violation, Defender for Cloud Apps établit une base de référence sur chaque utilisateur de l’organisation et alerte uniquement lorsque le comportement inhabituel est détecté. La politique de voyage impossible peut être adaptée à vos besoins.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui ignore les conditions B-TP évidentes, telles que lorsque les adresses IP des deux côtés du voyage sont considérées comme sécurisées, le voyage est approuvé et exclu du déclenchement de la détection de voyage impossible. Par exemple, les deux côtés sont considérés comme sécurisées s’ils sont étiquetés en tant que société. Toutefois, si l’adresse IP d’un seul côté du voyage est considérée comme sécurisée, la détection est déclenchée normalement.

1. TP : Si vous êtes en mesure de confirmer que l’emplacement dans l’alerte de voyage impossible est peu probable pour l’utilisateur.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (voyage d’utilisateur non détecté) : Si vous êtes en mesure de confirmer que l’utilisateur a récemment voyagé vers la destination mentionnée dans l’alerte. Par exemple, si le téléphone d’un utilisateur en mode avion reste connecté aux services tels qu’Exchange Online sur votre réseau de société tout en voyageant vers un autre emplacement. Lorsque l’utilisateur arrive au nouvel emplacement, le téléphone se connecte à Exchange Online pour déclencher l’alerte de voyage impossible.

   Action recommandée : ignorer l’alerte.

3. FP (VPN sans catégorie) : Si vous êtes en mesure de confirmer que la plage d’adresses IP provient d’un VPN approuvé.

   Action recommandée : ignorer l’alerte et ajouter la plage d’adresses IP du VPN à Defender for Cloud Apps, puis l’utiliser pour baliser la plage d’adresses IP du VPN.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour comprendre les activités similaires dans le même emplacement et l’adresse IP.
2. Si vous constatez que l’utilisateur a effectué d’autres activités à risque, comme le téléchargement d’un grand volume de fichiers à partir d’un nouvel emplacement, cela serait très clairement le signe d’une éventuelle compromission.
3. Ajoutez des plages d’adresses IP et de VPN de société.
4. Créez un guide opérationnel à l’aide de Power Automate et contactez le gestionnaire de l’utilisateur pour voir si l’utilisateur voyage légitimement.
5. Envisagez de créer une base de données des voyageurs connus pour les rapports de voyages organisationnels à la minute et utilisez-la pour croiser les activités de voyage.

Nom d’application OAuth équivoque

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguisement d’une application malveillante en tant qu’application connue et approuvée afin que les attaquants puissent tromper les utilisateurs à télécharger leur application malveillante.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’application a un nom trompeur.

   Action recommandée : Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application.

Pour interdire l’accès à l’application, sous les onglets Google ou Salesforce de la page gouvernance des applications, sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. - Vous pouvez choisir de signaler aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification signale aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas les en informer, désélectionnez Avertir les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. - Nous vous recommandons d’avertir les utilisateurs que leur application est sur le point d’être exclue.

1. FP : Si vous souhaitez confirmer que l’application a un nom trompeur, mais qu’elle a une utilisation professionnelle légitime dans l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Suivez le tutoriel sur la façon d’examiner les applications OAuth risquées.

Nom d’éditeur équivoque pour une application OAuth

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguisement d’une application malveillante en tant qu’application connue et approuvée afin que les attaquants puissent tromper les utilisateurs à télécharger leur application malveillante.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’application a un nom d’éditeur trompeur.

   Action recommandée : Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application.

2. FP : Si vous souhaitez confirmer que l’application a un nom d’éditeur trompeur, mais qu’elle est un éditeur légitime.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Sous les onglets Google ou Salesforce de la page Gouvernance des applications, sélectionnez l’application pour ouvrir le tiroir de l’application, puis sélectionnez Activité associée. La page du journal d’activité est filtrée pour les activités effectuées par l’application. N’oubliez pas que certaines applications effectuent des activités qui sont inscrites comme ayant été effectuées par un utilisateur. Ces activités sont automatiquement filtrées dans les résultats dans le journal d’activité. Pour une investigation poussée avec le journal d’activité, consultez Journal d’activité.
2. Si vous suspectez qu’une application est suspecte, nous vous recommandons d’investiguer le nom et l’éditeur de l’application dans les différents App Stores. Lorsque vous vérifiez les magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications avec un faible nombre de téléchargements.
   • Applications avec une évaluation médiocre, un faible score ou des commentaires négatifs.
   • Applications avec un éditeur ou un site web suspect.
   • Applications qui n’ont pas été mises à jour récemment. Cela peut indiquer une application qui n’est plus prise en charge.
   • Applications avec des autorisations sans intérêt. Cela peut indiquer qu’une application est à risque.
3. Si vous pensez qu’une application est toujours suspecte, vous pouvez rechercher son nom, le nom de son éditeur et son URL en ligne.

Alertes d’exécution

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter d’exécuter un code malveillant dans votre organisation.

Plusieurs activités inhabituelles de suppression de stockage

Activités dans une session unique indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de stockage cloud ou de base de données à partir de ressources telles que des objets blob Azure, des compartiments AWS S3 ou Cosmos DB par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organisation.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que les suppressions n’étaient pas autorisées.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

2. FP : Si, après votre enquête, vous pouvez confirmer que l’administrateur a été autorisé à effectuer ces activités de suppression.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification.
3. Passez en revue les activités de cet utilisateur pour connaître les modifications apportées à d’autres services.

Activités de création de machines virtuelles multiples

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de création de machine virtuelle par rapport à la base de référence apprise. Plusieurs créations de machines virtuelles sur une infrastructure cloud enfreinte peuvent indiquer une tentative d’exécution d’opérations d’exploration de données de chiffrement à partir de votre organisation.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer l’exactitude et l’alerte uniquement lorsqu’il existe une indication forte d’une violation, cette détection établit une base de référence sur chaque environnement de l’organisation pour réduire les incidents B-TP, tels qu'un administrateur a légitimement créé plus d’ordinateurs virtuels que la base de référence établie, et n'alerter que lorsque le comportement inhabituel est détecté.

• TP : Si vous êtes en mesure de confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis assurez-vous de désactiver ou de supprimer les machines virtuelles compromises.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur a été autorisé à effectuer ces activités de création.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées ou modifiées par l’utilisateur et vérifiez qu’elles sont conformes aux stratégies de votre organisation.

Activité de création suspecte pour la région cloud (préversion)

Activités indiquant qu’un utilisateur a effectué une action inhabituelle de création dans une région AWS non courante par rapport à la base de référence apprise. La création de ressources dans des régions cloud rares peut indiquer une tentative d’exécution d’une activité malveillante telle que les opérations d’exploration de données de chiffrement à partir de votre organisation.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer l’exactitude et l’alerte uniquement lorsqu’il existe une indication forte d’une violation, cette détection établit une base de référence sur chaque environnement de l’organisation pour réduire les incidents B-TP.

• TP : Si vous êtes en mesure de confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis assurez-vous de désactiver ou de supprimer les ressources cloud compromises.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur a été autorisé à effectuer ces activités de création.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées et vérifiez qu’elles sont conformes aux stratégies de votre organisation.

Alertes de persistance

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de maintenir son emprise dans votre organisation.

Activité effectuée par utilisateur résilié

L’activité effectuée par un utilisateur arrêté peut indiquer qu’un employé arrêté qui a toujours accès aux ressources de société tente d’effectuer une activité malveillante. Defender for Cloud Apps profile les utilisateurs de l’organisation et déclenche une alerte lorsqu’un utilisateur terminé effectue une activité.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’utilisateur arrêté a toujours accès à certaines ressources de société et effectue des activités.

   Action recommandée : Désactivez l’utilisateur.

2. B-TP : si vous êtes en mesure de déterminer que l’utilisateur a été temporairement désactivé ou a été supprimé et réinscrit.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Référence croisée des enregistrements RH pour confirmer que l’utilisateur est arrêté.
2. Valide l’existence du compte d’utilisateur Microsoft Entra.

   Remarque

   Si vous utilisez Microsoft Entra Connecter, validez l’objet Active Directory local et confirmez un cycle de synchronisation réussi.

3. Identifiez toutes les applications auxquelles l’utilisateur arrêté avait accès et désaffectez les comptes.
4. Mettre à jour les procédures de désaffectation.

Modification suspecte du service de journalisation CloudTrail

Activités dans une seule session indiquant qu’un utilisateur a effectué des modifications suspectes dans le service de journalisation AWS CloudTrail. Cela peut indiquer une tentative de violation de votre organisation. Lors de la désactivation de CloudTrail, les modifications opérationnelles ne sont plus journalisées. Un attaquant peut effectuer des activités malveillantes tout en évitant un événement d’audit CloudTrail, comme la modification d’un compartiment S3 d’un compartiment privé à public.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et inversez l’activité CloudTrail.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a désactivé légitimement le service CloudTrail.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification au service CloudTrail.
2. Facultatif : Créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs et leurs gestionnaires pour vérifier leur activité.

Activité suspecte de suppression d’email (par l’utilisateur)

Activités dans une seule session indiquant qu’un utilisateur a effectué des suppressions suspectes d’e-mail. Le type de suppression était le type « suppression définitive », ce qui rend l’élément de messagerie supprimé et non disponible dans la boîte aux lettres de l’utilisateur. La suppression a été effectuée à partir d’une connexion qui inclut des préférences rares telles que l’isP, le pays/la région et l’agent utilisateur. Cela peut indiquer une tentative de violation de votre organisation, comme les attaquants qui tentent de masquer les opérations en supprimant les e-mails liés aux activités de courrier indésirable.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé légitimement une règle pour supprimer des messages.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte de transfert de boîte de réception suspecte suivie d’une alerte Voyage impossible. Rechercher :

  1. Nouvelles règles de transfert SMTP, comme suit :
     • Recherchez les noms de règles de transfert malveillantes. Les noms de règles peuvent varier de noms simples, tels que « Transférer tous les e-mails » et « Transférer automatiquement » ou des noms trompeurs, tels qu’un « à peine visible ». Les noms de règles de transfert peuvent même être vides, et le destinataire de transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées de l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
     • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
  2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».
  3. Augmentation des e-mails envoyés.

Règle suspecte de manipulation de boîte de réception

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que la suppression ou le déplacement de messages ou de dossiers, dans la boîte de réception d’un utilisateur peuvent être une tentative d’exfiltrer des informations de votre organisation. De même, ils peuvent indiquer une tentative de manipulation d’informations qu’un utilisateur voit ou d’utilisation de sa boîte de réception pour distribuer du courrier indésirable, des e-mails d’hameçonnage ou des programmes malveillants. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles suspectes de manipulation de boîte de réception sont détectées dans la boîte de réception d’un utilisateur. Ceci peut indiquer que le compte d’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer qu’une règle de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé légitimement la règle.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte de transfert de boîte de réception suspecte suivie d’une alerte Voyage impossible. Rechercher :
   • Nouvelles règles de transfert SMTP.
   • Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».
2. Collecter les informations d’adresse IP et d’emplacement de l’action.
3. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle pour détecter d’autres utilisateurs compromis.

Alertes d’élévation des privilèges

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter d’obtenir des autorisations de très haut niveau dans votre organisation.

Activité administrative inhabituelle (par l’utilisateur)

Activités indiquant qu’un attaquant a compromis un compte d’utilisateur et effectué des actions administratives qui ne sont pas courantes pour cet utilisateur. Par exemple, un attaquant peut essayer de modifier un paramètre de sécurité pour un utilisateur, une opération relativement rare pour un utilisateur commun. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un administrateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer qu’un administrateur a effectué légitimement le volume inhabituel d’activités administratives.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que Transfert de boîte de réception suspecte ou Voyage impossible.
2. Passez en revue d’autres modifications de configuration, telles que la création d’un compte d’utilisateur qui peut être utilisé pour la persistance.

Alertes d’accès aux identifiants

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des noms de comptes et des mots de passe dans votre organisation.

Plusieurs tentatives de connexion infructueuses

Les tentatives de connexion ayant échoué peuvent indiquer lors d’une tentative de violation d’un compte. Toutefois, les connexions ayant échoué peuvent également être un comportement normal. Par exemple, lorsqu’un utilisateur a entré un mot de passe incorrect par erreur. Pour obtenir l’exactitude et l’alerte uniquement lorsqu’il existe une indication forte d’une tentative de violation, Defender for Cloud Apps établit une base de référence sur les habitudes de connexion pour chaque utilisateur de l’organisation et alerte uniquement lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

Cette stratégie est basée sur l’apprentissage du comportement de connexion normal d’un utilisateur. Lorsqu’un écart par rapport à la norme est détecté, une alerte est déclenchée. Si la détection commence à voir que le même comportement se poursuit, l’alerte n’est déclenchée qu’une seule fois.

1. TP (Échec MFA) : si vous êtes en mesure de confirmer que MFA fonctionne correctement, cela peut être un signe d’une tentative d’attaque par force brute.

   Actions recommandées :

   1. Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.
   2. Recherchez l’application qui a effectué les authentifications ayant échoué et reconfigurez-la.
   3. Recherchez d’autres utilisateurs connectés autour du moment de l’activité, car ils peuvent également être compromis. Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP (échec MFA) : si vous êtes en mesure de confirmer que l’alerte est due à un problème avec MFA.

   Action recommandée : créez un guide opérationnel à l’aide de Power Automate pour contacter l’utilisateur et vérifiez s’il rencontre des problèmes avec MFA.

3. B-TP (application mal configurée) : si vous êtes en mesure de confirmer qu’une application mal configurée tente de se connecter à un service plusieurs fois avec des identifiants expirés.

   Action recommandée : ignorer l’alerte.

4. B-TP (Mot de passe modifié) : si vous êtes en mesure de confirmer qu’un utilisateur a récemment modifié son mot de passe, mais qu’il n’a pas affecté les identifiants entre les partages réseau.

   Action recommandée : ignorer l’alerte.

5. B-TP (test de sécurité) : si vous êtes en mesure de confirmer qu’un test de sécurité ou d’intrusion est effectué par des analystes de sécurité au nom de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte, suivi de l’une des alertes suivantes : Voyage impossible, Activité depuis une adresse IP anonyme ou Activité provenant d’un pays peu fréquent.
2. Passez en revue les informations d’appareil utilisateur suivantes et comparez-les aux informations connues sur l’appareil :
   • Système d’exploitation et version
   • Navigateur et version
   • Adresse IP et emplacement
3. Identifiez l’adresse IP source ou l’emplacement où la tentative d’authentification s’est produite.
4. Identifiez si l’utilisateur a récemment modifié son mot de passe et vérifiez que toutes les applications et appareils ont le mot de passe mis à jour.

Ajout inhabituel des identifiants à une application OAuth

Cette détection identifie l’ajout suspect des informations d’identification privilégiées à une application OAuth. Cela peut indiquer qu’un attaquant a compromis l’application et l’utilise pour une activité malveillante.

Période d’apprentissage

L’apprentissage de votre environnement de votre organisation nécessite une période de sept jours pendant laquelle vous pouvez vous attendre à un volume élevé d’alertes.

ISP inhabituel pour une application OAuth

La détection identifie une application OAuth qui se connecte à votre application cloud à partir d’un ISP rare pour l’application. Cela peut indiquer qu’un attaquant a tenté d’utiliser une application compromise légitime pour effectuer des activités malveillantes sur vos applications cloud.

Période d’apprentissage

La période d’apprentissage de cette détection est de 30 jours.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’était pas une activité légitime de l’application OAuth ou que cet ISP n’est pas utilisé par l’application OAuth légitime.

   Action recommandée : révoquez tous les jetons d’accès de l’application OAuth et examinez si un attaquant a accès à la génération de jetons d’accès OAuth.

2. FP : Si vous pouvez confirmer que l’activité a été effectuée légitimement par l’application OAuth authentique.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application OAuth.

2. Examinez si un attaquant a accès à la génération de jetons d’accès OAuth.

Alertes de collection

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de collecter des données présentant un intérêt pour leur objectif dans votre organisation.

Multiples activités de partage de rapports Power BI

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’activités de rapport de partage dans Power BI par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organisation.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimer l’accès au partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification métier pour partager ces rapports.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Examinez l’adresse IP à partir de laquelle ils sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou votre équipe Protection des données pour comprendre les recommandations relatives au partage de rapports en interne et en externe.

Partage de rapport Power BI suspect

Activités indiquant qu’un utilisateur a partagé un rapport Power BI qui peut contenir des informations sensibles identifiées à l’aide de NLP pour analyser les métadonnées du rapport. Le rapport a été partagé avec une adresse e-mail externe, publiée sur le web, ou un instantané a été remis à une adresse e-mail abonnée à l’extérieur. Cela peut indiquer une tentative de violation de votre organisation.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimer l’accès au partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification métier pour partager ces rapports.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Examinez l’adresse IP à partir de laquelle ils sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou votre équipe Protection des données pour comprendre les recommandations relatives au partage de rapports en interne et en externe.

Activité inhabituelle d’usurpation d’identité (par l’utilisateur)

Dans certains logiciels, il existe des options permettant aux autres utilisateurs d’emprunter l’identité d’autres utilisateurs. Par exemple, les services de courrier permettent aux utilisateurs d’autoriser d’autres utilisateurs à envoyer des e-mails en leur nom. Cette activité est couramment utilisée par les attaquants pour créer des e-mails de hameçonnage dans une tentative d’extraction d’informations sur votre organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et crée une activité lorsqu’une activité d’usurpation d’identité inhabituelle est détectée.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles ou plus d’activités que la base de référence établie.

   Action recommandée : ignorer l’alerte.

3. FP : Si vous êtes en mesure de confirmer que les applications, telles que Teams, empruntent légitimement l’identité de l’utilisateur.

   Action recommandée : passez en revue les actions et ignorez l’alerte si nécessaire.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités et alertes de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission.
2. Passez en revue les activités d’emprunt d’identité pour identifier les activités malveillantes potentielles.
3. Passez en revue la configuration de l’accès délégué.

Alertes d’exfiltration

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des données dans votre organisation.

Transfert de boîte de réception suspect

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que le transfert de tous les emails ou d’emails spécifiques vers un autre compte de messagerie peuvent être une tentative d’exfiltrage des informations de votre organisation. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles suspectes de manipulation de boîte de réception sont détectées dans la boîte de réception d’un utilisateur. Ceci peut indiquer que le compte d’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer qu’une règle de transfert de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé une règle de transfert dans un compte e-mail externe nouveau ou personnel pour des raisons légitimes.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte suivie d’une alerte Voyage impossible. Rechercher :

   1. Nouvelles règles de transfert SMTP, comme suit :
      • Recherchez les noms de règles de transfert malveillantes. Les noms de règles peuvent varier de noms simples, tels que « Transférer tous les e-mails » et « Transférer automatiquement » ou des noms trompeurs, tels qu’un « à peine visible ». Les noms de règles de transfert peuvent même être vides, et le destinataire de transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées de l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
      • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
   2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».

2. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle pour détecter d’autres utilisateurs compromis.

3. Passez en revue la liste des messages transférés à l’aide du suivi des messages Exchange Online.

Téléchargement de fichiers inhabituel (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel de téléchargements de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur l’organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités de téléchargement de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

3. FP (synchronisation logicielle) : si vous êtes en mesure de confirmer que le logiciel, tel que OneDrive, est synchronisé avec une sauvegarde externe qui a provoqué l’alerte.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de téléchargement et créez une liste de fichiers téléchargés.
2. Passez en revue la sensibilité des fichiers téléchargés avec le propriétaire de la ressource et validez le niveau d’accès.

Accès inhabituel aux fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’accès dans SharePoint ou OneDrive à des fichiers qui contiennent des données financières ou des données réseau par rapport à la base de référence apprise. Cela peut indiquer une tentative d’information sur l’organisation, que ce soit à des fins financières ou pour l’accès aux identifiants et le mouvement latéral. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

La période d’apprentissage dépend de l’activité de l’utilisateur. En règle générale, la période d’apprentissage est comprise entre 21 et 45 jours pour la plupart des utilisateurs.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités d’accès à des fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités d’accès et créez une liste de fichiers consultés.
2. Passez en revue la sensibilité des fichiers consultés avec le propriétaire de ressource et validez le niveau d’accès.

Activité inhabituelle de partage de fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de partage de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur l’organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de partage de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de partage et créez une liste de fichiers partagés.
2. Passez en revue la sensibilité des fichiers partagés avec le propriétaire de ressource et validez le niveau d’accès.
3. Créez une stratégie de fichier pour des documents similaires afin de détecter le partage futur de fichiers sensibles.

Alertes d’impact

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de manipuler, d’interrompre ou de détruire vos systèmes et vos données au sein de votre organisation.

Plusieurs activités de suppression de machine virtuelle

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de machine virtuelle par rapport à la base de référence apprise. Plusieurs suppressions d’ordinateurs virtuels peuvent indiquer une tentative de perturbation ou de destruction d’un environnement. Toutefois, il existe de nombreux scénarios normaux où les machines virtuelles sont supprimées.

TP, B-TP ou FP ?

Pour améliorer l’exactitude et l’alerte uniquement lorsqu’il existe une indication forte d’une violation, cette détection établit une base de référence sur chaque environnement de l’organisation pour réduire les incidents B-TP et avertit uniquement lorsqu’un comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

• TP : Si vous êtes en mesure de confirmer que les suppressions n’étaient pas autorisées.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur a été autorisé à effectuer ces activités de suppression.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte, suivi de l’une des alertes suivantes : Voyage impossible, Activité depuis une adresse IP anonyme ou Activité provenant d’un pays peu fréquent.

Activité de rançongiciel

Un rançongiciel est une cyberattaque dans laquelle un attaquant verrouille les victimes de leurs appareils ou les empêche d’accéder à leurs fichiers jusqu’à ce que la victime paie une rançon. Les rançongiciels peuvent être répartis par un fichier partagé malveillant ou un réseau compromis. Defender for Cloud Apps utilise l’expertise en recherche de sécurité, la veille des menaces et les modèles comportementaux appris pour identifier l’activité des rançongiciels. Par exemple, un taux élevé de téléchargements de fichiers ou de suppressions de fichiers peut représenter un processus de chiffrement courant parmi les opérations de rançongiciel.

Cette détection établit une base de référence des modèles de travail normaux de chaque utilisateur de votre organisation, par exemple quand l’utilisateur accède au cloud et ce qu’il fait généralement dans le cloud.

Les stratégies de détection des menaces automatisées de Defender for Cloud Apps commencent à s’exécuter en arrière-plan à partir du moment où vous vous connectez. À l’aide de notre expertise en recherche de sécurité pour identifier les modèles comportementaux qui reflètent l’activité des rançongiciels dans notre organisation, Defender for Cloud Apps offre une couverture complète contre les attaques de rançongiciel sophistiquées.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par l’utilisateur.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : l’utilisateur a effectué légitimement plusieurs activités de suppression et de chargement de fichiers similaires pendant une courte période.

   Action recommandée : après avoir examiné le journal d’activité et confirmé que les extensions de fichier ne sont pas suspectes, ignorez l’alerte.

3. FP (Extension de fichier rançongiciel commune) : si vous êtes en mesure de confirmer que les extensions des fichiers concernés correspondent à une extension de rançongiciel connue.

   Action recommandée : contactez l’utilisateur et confirmez que les fichiers sont sécurisés, puis ignorez l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission, tels que le téléchargement en masse des fichiers ou leur suppression en masse.
2. Si vous utilisez Microsoft Defender for Endpoint, passez en revue les alertes d’ordinateur de l’utilisateur pour voir si des fichiers malveillants ont été détectés.
3. Recherchez dans le journal d’activité les activités de chargement et de partage de fichiers malveillants.

Activités inhabituelles de suppression de fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué une activité inhabituelle de suppression de fichiers par rapport à la base de référence apprise. Cela peut indiquer une attaque par rançongiciel. Par exemple, un attaquant peut chiffrer les fichiers d’un utilisateur et supprimer tous les fichiers d’origine, en laissant uniquement les versions chiffrées qui peuvent être utilisées pour forcer la victime à payer une rançon. Defender for Cloud Apps crée une base de référence basée sur le comportement normal de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de suppression de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de suppression et créez une liste de fichiers supprimés. Si nécessaire, récupérez les fichiers supprimés.
2. De manière facultative, créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs et leurs gestionnaires pour vérifier l’activité.

Le score de priorité d’investigation a augmenté (préversion)

Les activités anormales et les activités déclenchées reçoivent des scores en fonction de la gravité, de l’impact utilisateur et de l’analyse comportementale de l’utilisateur. L’analyse est effectuée en fonction d’autres utilisateurs dans les clients.

En cas d’augmentation significative et anormale du score de priorité d’investigation d’un utilisateur donné, l’alerte est déclenchée.

Cette alerte permet de détecter les violations potentielles caractérisées par les activités qui ne déclenchent pas nécessairement des alertes spécifiques, mais s’accumulent à un comportement suspect pour l’utilisateur.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour toute augmentation de score.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que les activités de l’utilisateur ne sont pas légitimes.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si vous êtes en mesure de confirmer que l’utilisateur a effectivement considérablement dévié du comportement habituel, mais qu’il n’y a pas de violation potentielle.

3. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles ou plus d’activités que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités et alertes de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission.

Voir aussi

Enquêter sur les utilisateurs à risque