Tutoriel : Détecter l’activité suspecte des utilisateurs avec l’analytique comportementale (UEBA)

  • Article

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection au niveau des incidents, d’investigation et de réponse puissantes. Pour plus d’informations, consultez Applications Microsoft Defender pour le cloud dans Microsoft 365 Defender.

Microsoft Defender for Cloud Apps fournit des détections de premier ordre tout au long de la chaîne de destruction des attaques pour les utilisateurs compromis, les menaces internes, l’exfiltration, les ransomwares, etc. Notre solution complète combine plusieurs méthodes de détection, notamment la détection d’anomalie, l’analyse comportementale (UEBA) et des détections d’activités basées sur les règles, pour fournir une vue d’ensemble de l’usage que font vos utilisateurs des applications de votre environnement.

Pourquoi est-il important de détecter les comportements suspects ? L’impact d’un utilisateur capable de modifier votre environnement cloud peut être significatif, y compris sur votre capacité à gérer votre activité. Des ressources clés de l’entreprise, comme les serveurs qui font tourner votre site web ou le service que vous fournissez aux clients, peuvent être compromises.

À l’aide de données capturées à partir de plusieurs sources, Defender pour cloud Apps analyse les données pour extraire les activités des applications et des utilisateurs dans votre organization ce qui donne à vos analystes de sécurité une visibilité sur l’utilisation du cloud. Les données collectées sont corrélées, standardisées et enrichies avec le renseignement sur les menaces, l’emplacement et bien d’autres informations pour fournir une vue précise et cohérente des activités suspectes.

Pour tirer pleinement parti des avantages de ces détections, veillez à configurer les sources suivantes :

Ensuite, vous devez paramétrer vos stratégies. Les stratégies suivantes peuvent être ajustées en définissant des filtres et des seuils dynamiques (UEBA) pour faciliter l’apprentissage de leurs modèles de détection, ainsi que des suppressions pour réduire les détections courantes de faux positifs :

  • Détection d’anomalie
  • Détection d’anomalie Cloud Discovery
  • Détection d’activité basée sur les règles

Dans ce tutoriel, vous allez apprendre à régler les détections d’activité utilisateur pour identifier les vraies compromissions et réduire la multiplication des alertes due à la gestion de gros volumes de détections de faux positifs :

Phase 1 : Configuration des plages d’adresses IP

Avant de configurer des stratégies individuelles, il est recommandé de configurer des plages d’adresses IP de sorte qu’elles puissent être utilisées pour ajuster n’importe quel type de stratégie de détection des activités suspectes des utilisateurs.

Dans la mesure où les informations d’adresse IP sont essentielles pour la quasi-totalité des investigations, la configuration des adresses IP connues aide nos algorithmes Machine Learning à identifier les emplacements connus et à les prendre en compte dans le cadre des modèles Machine Learning. Par exemple, en ajoutant la plage d’adresses IP de votre VPN, vous permettrez au modèle de la classer correctement et de l’exclure automatiquement des détections de voyage impossible, car l’emplacement VPN ne représente pas l’emplacement réel de cet utilisateur.

Remarque : les plages d’adresses IP configurées ne sont pas limitées aux détections et sont utilisées dans Defender for Cloud Apps dans des domaines tels que les activités du journal d’activité, l’accès conditionnel, etc. Gardez cela à l’esprit lors de la configuration des plages. Par exemple, l’identification des adresses IP physiques de votre bureau vous permet de personnaliser la façon dont les journaux et les alertes sont affichés et examinés.

Vérification des alertes de détection d’anomalie prêtes à l’emploi

Defender pour cloud Apps comprend un ensemble d’alertes de détection d’anomalies pour identifier différents scénarios de sécurité. Ces détections, prêtes à l’emploi et automatiquement activées, commencent à profiler l’activité des utilisateurs et à générer des alertes dès que les connecteurs d’application concernés sont connectés.

Commencez par vous familiariser avec les différentes stratégies de détection, traitez en priorité les grands scénarios les plus pertinents pour votre organisation et paramétrez les stratégies en conséquence.

Phase 2 : Paramétrage des stratégies de détection d’anomalie

Plusieurs stratégies intégrées de détection des anomalies sont disponibles dans Defender pour les applications cloud, préconfigurées pour les cas d’usage courants en matière de sécurité. Prenez le temps de vous familiariser avec les détections les plus utilisées :

  • Voyage impossible
    Activités d’un même utilisateur se trouvant à différents emplacements au cours d’une période plus courte que le temps de trajet attendu entre les deux.
  • Activité à partir de pays peu fréquents
    Activité à partir d’un emplacement qui n’a pas été visité récemment ou qui n’a jamais été visité par l’utilisateur.
  • Détection de logiciel malveillant
    Analyse les fichiers de vos applications cloud et traite les fichiers suspects avec le moteur de renseignement sur les menaces de Microsoft afin de déterminer s’ils sont associés à des programmes malveillants connus.
  • Activité ransomware
    Chargement sur le cloud de fichiers susceptibles d’être infectés par un ransomware.
  • Activité à partir d'adresses IP suspectes
    Activité provenant d’une adresse IP identifiée comme à risque par Microsoft Threat Intelligence.
  • Transfert de boîte de réception suspect
    Détecte les règles de transfert de boîte de réception suspect définies dans la boîte de réception d’un utilisateur.
  • Activités inhabituelles de téléchargement de plusieurs fichiers
    Détecte les activités de téléchargement de plusieurs fichiers au cours d’une même session par rapport à la base de référence apprise, susceptibles d’indiquer une tentative de violation.
  • Activités administratives inhabituelles
    Détecte les activités administratives multiples au cours d’une même session par rapport à la base de référence apprise, susceptibles d’indiquer une tentative de violation.

Pour connaître la liste complète des détections et leur rôle, consultez Stratégies de détection d’anomalie.

Notes

Bien que certaines détections d’anomalies soient principalement axées sur la détection de scénarios de sécurité problématiques, d’autres peuvent aider à identifier et à examiner le comportement anormal de l’utilisateur qui peut ne pas nécessairement indiquer une compromission. Pour ces détections, nous avons créé un autre type de données appelé « comportements » qui est disponible dans l’expérience de chasse avancée Microsoft 365 Defender. Pour plus d’informations, consultez Comportements.

Après avoir pris connaissance des stratégies, réfléchissez à la façon dont vous souhaitez les adapter aux besoins spécifiques de votre organisation afin de mieux cibler les activités à approfondir.

  1. Étendre les stratégies à des utilisateurs ou à des groupes spécifiques

    Des stratégies couvrant des utilisateurs spécifiques contribuent à réduire le bruit provenant d’alertes non pertinentes pour votre organisation. Chaque stratégie peut être configurée de façon à inclure ou exclure des utilisateurs et des groupes spécifiques, comme dans les exemples suivants :

    • Simulations d’attaques
      De nombreuses organisations ont recours à un utilisateur ou à un groupe pour simuler en permanence des attaques. Il n’est évidemment pas judicieux de recevoir constamment des alertes provenant des activités de ces utilisateurs. Par conséquent, vous pouvez configurer vos stratégies de façon à exclure ces utilisateurs ou ces groupes. Par ailleurs, les modèles Machine Learning peuvent ainsi identifier ces utilisateurs et ajuster leurs seuils dynamiques en conséquence.
    • Détections ciblées
      Votre organisation souhaite peut être examiner un groupe spécifique d’utilisateurs VIP, comme les membres d’un groupe d’administrateurs ou de CXO. Dans ce scénario, vous pouvez créer une stratégie pour les activités que vous souhaitez détecter et choisir d’inclure uniquement l’ensemble d’utilisateurs ou de groupes qui vous intéresse.

  2. Paramétrer les détections d’anomalie de connexion

    Certaines organisations souhaitent voir les alertes résultant d’activités d’échec de connexion, susceptibles d’indiquer que quelqu’un tente de cibler un ou plusieurs comptes d’utilisateur. En revanche, des attaques par force brute sur des comptes d’utilisateur se produisent tout le temps dans le cloud, sans que les entreprises aient le moyen de les empêcher. C’est pourquoi les grandes organisations décident généralement de ne recevoir des alertes que pour les activités de connexion suspecte ayant abouti, car ces dernières peuvent représenter de vraies compromissions.

    L’usurpation d’identité est une grande source de compromission, qui constitue un vecteur de menace majeur pour l’organisation. Nos alertes de déplacement impossibles, d’activité à partir d’adresses IP suspectes et de détections de pays/régions peu fréquentes vous aident à découvrir les activités qui suggèrent qu’un compte est potentiellement compromis.

  3. Régler la sensibilité des déplacements impossiblesConfigurez le curseur de sensibilité qui détermine le niveau de suppression appliqué au comportement anormal avant de déclencher une alerte de déplacement impossible. Par exemple, les organisations intéressées par la haute fidélité peuvent augmenter le niveau de sensibilité. À l’inverse, si votre organisation comprend de nombreux utilisateurs itinérants, envisagez de réduire le niveau de sensibilité pour supprimer les activités des emplacements courants de l’utilisateur, qui ont été appris des activités précédentes. Vous avez le choix entre les niveaux de sensibilité suivants :

    • Faible : Suppression du système, du locataire et de l’utilisateur
    • Moyenne : Suppression du système et de l’utilisateur
    • Élevée : Suppression du système uniquement

    Où :

    Type de suppression Description
    Système Détections intégrées qui sont toujours supprimées.
    Locataire Activités courantes selon l’historique d’activité dans le locataire. Par exemple, la suppression d’activités d’un fournisseur de services Internet ayant déjà fait l’objet d’une alerte au sein de votre organisation.
    Utilisateur Activités courantes selon l’historique d’activité de l’utilisateur. Par exemple, la suppression d’activités provenant d’un emplacement couramment utilisé par l’utilisateur.

Phase 3 : Paramétrage des stratégies de détection d’anomalie Cloud Discovery

Comme pour les stratégies de détection d’anomalie, il existe plusieurs stratégies intégrées de détection d’anomalie Cloud Discovery qui peuvent être ajustées. Par exemple, la stratégie d’exfiltration des données vers des applications non approuvées, qui envoie une alerte lorsque des données sont exfiltrées vers une application non approuvée, est préconfigurée avec des paramètres qui s’appuient sur l’expérience de Microsoft dans le domaine de la sécurité.

Toutefois, vous pouvez ajuster les stratégies intégrées ou créer vos propres stratégies pour mieux identifier d’autres scénarios qui vous intéressent. Comme elles se basent sur des journaux Cloud Discovery, ces stratégies offrent des possibilités de paramétrage différentes, plus axées sur le comportement anormal des applications et sur l’exfiltration des données.

  1. Paramétrer l’analyse de l’utilisation
    Définissez les filtres d’utilisation pour contrôler la base de référence, la portée et la période d’activité de la détection des comportements anormaux. Par exemple, vous pouvez recevoir des alertes en cas d’activité anormale liée aux employés membres de la direction.

  2. Paramétrer la sensibilité des alertes
    Pour empêcher la multiplication des alertes, configurez leur sensibilité. Vous pouvez utiliser le curseur de sensibilité pour contrôler le nombre d’alertes à haut risque envoyées par 1 000 utilisateurs par semaine. Plus la sensibilité est élevée, plus l’écart nécessaire pour être considéré comme une anomalie est faible et plus il y a d’alertes générées. En règle générale, définissez une faible sensibilité pour les utilisateurs qui n’ont pas accès à des données confidentielles.

Phase 4 : Paramétrage des stratégies (d’activité) de détection basées sur les règles

Les stratégies de détection basée sur les règles offrent la possibilité de compléter les stratégies de détection d’anomalie avec des exigences propres à l’organisation. Nous recommandons, pour créer des stratégies de ce type, d’utiliser l’un de nos modèles de stratégie d’activité (accédez à Contrôle>Modèles et définissez le filtre Type sur Stratégie d’activité), puis de le configurer de façon à détecter les comportements qui ne sont pas normaux pour votre environnement. Par exemple, pour certains organization qui n’ont pas de présence dans un pays ou une région particulier, il peut être judicieux de créer une stratégie qui détecte les activités anormales de ce pays/région et qui en alerte. Pour d’autres, qui ont de grandes succursales dans ce pays/région, les activités de ce pays/région seraient normales et il n’aurait pas de sens de détecter de telles activités.

  1. Paramétrer le volume d’activité
    Choisissez le volume d’activité nécessaire pour que la détection déclenche une alerte. À l’aide de notre exemple de pays/région, si vous n’avez aucune présence dans un pays ou une région, même une seule activité est importante et justifie une alerte. Toutefois, un seul échec de connexion peut provenir d’une erreur humaine et ne présenter d’intérêt que si de nombreux échecs surviennent sur une courte période.
  2. Paramétrer les filtres d’activité
    Définissez les filtres dont vous avez besoin pour détecter le type d’activité sur lequel vous souhaitez recevoir une alerte. Par exemple, pour détecter l’activité d’un pays ou d’une région, utilisez le paramètre Emplacement .
  3. Paramétrer les alertes
    Pour empêcher la multiplication des alertes, définissez la limite journalière d’alertes.

Phase 5 : Configuration des alertes

Notes

Depuis le 15 décembre 2022, les alertes/SMS (sms) sont dépréciés. Si vous souhaitez recevoir des alertes texte, vous devez utiliser Microsoft Power Automate pour l’automatisation des alertes personnalisées. Pour plus d’informations, consultez Intégrer à Microsoft Power Automate pour l’automatisation des alertes personnalisées.

Vous pouvez choisir de recevoir des alertes dans le format et sur le support les plus adaptés à vos besoins. Pour recevoir des alertes immédiates à tout moment de la journée, vous pouvez les recevoir par e-mail.

Vous souhaiterez peut-être également analyser les alertes dans le contexte d’autres alertes déclenchées par d’autres produits de votre organisation afin d’obtenir une vision globale d’une menace potentielle. Par exemple, vous pouvez mettre en corrélation des événements cloud et locaux pour voir s’il existe d’autres preuves d’atténuation susceptibles de confirmer une attaque.

Il est également possible de déclencher l’automatisation des alertes personnalisées grâce à notre intégration avec Microsoft Power Automate. Par exemple, vous pouvez configurer un playbook de façon à créer automatiquement un problème dans ServiceNow ou à envoyer un e-mail d’approbation pour exécuter une action de gouvernance personnalisée lorsqu’une alerte est déclenchée.

Suivez les instructions suivantes pour configurer vos alertes :

  1. E-mail
    Choisissez cette option pour recevoir des alertes par e-mail.
  2. SIEM
    Il existe plusieurs options d’intégration SIEM, notamment Microsoft Sentinel, l’API de sécurité Microsoft Graph et d’autres CARTES SIM génériques. Choisissez celle qui répond le mieux à vos besoins.
  3. Automatisation Power Automate
    Créez les playbooks d’automatisation dont vous avez besoin et définissez-les comme alertes de la stratégie pour l’action Power Automate.

Phase 6 : Examen et correction

Maintenant que vous avez configuré vos stratégies, vous commencez à recevoir des alertes d’activité suspecte. Qu’en faire ? Pour commencer, vous devez prendre les mesures nécessaires pour examiner l’activité. Vous pouvez par exemple examiner les activités qui indiquent qu’un utilisateur a été compromis.

Pour optimiser votre protection, envisagez de configurer des actions de correction automatique afin de réduire le risque pour votre organisation. Nos stratégies vous permettent d’appliquer des actions de gouvernance conjointement avec les alertes de sorte à limiter ce risque même avant de commencer l’examen. Les actions disponibles, notamment la suspension d’un utilisateur ou le blocage de l’accès à la ressource demandée, sont déterminées par le type de stratégie.

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.

En savoir plus