Partage via


Alertes de sécurité - guide de référence

Cet article fournit des liens vers des pages répertoriant les alertes de sécurité que vous pouvez recevoir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender activés. Les alertes affichées dans votre environnement dépendent des ressources et des services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Cette page inclut également un tableau décrivant la chaîne de destruction Microsoft Defender pour le cloud alignée sur la version 9 de la matrice MITRE ATT&CK.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Pages d’alerte de sécurité par catégorie

Tactiques MITRE ATTA&CK

Comprendre l’intention d’une attaque facilite l’examen et le signalement de l’événement. Pour faciliter ces efforts, les alertes de Microsoft Defender pour le cloud incluent les tactiques MITRE avec de nombreuses alertes.

La série d’étapes qui décrit la progression d’une cyberattaque, de la reconnaissance à l’exfiltration de données, est souvent appelée « kill chain ».

les intentions de chaîne de destruction prises en charge de Defender pour le cloud sont basées sur la version 9 de la matrice MITRE ATT&CK et décrites dans le tableau ci-dessous.

Tactique ATT&CK Version Description
PreAttack La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée.
Accès initial V7, V9 La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. En général, les acteurs des menaces sont en mesure de prendre le contrôle après cette étape.
Persistance V7, V9 La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès.
Élévation des privilèges V7, V9 L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateur disposant d’autorisations pour accéder à des systèmes spécifiques ou exécuter des fonctions spécifiques nécessaires aux adversaires pour atteindre leur objectif peuvent également être considérés comme une escalade de privilèges.
Évasion de défense V7, V9 L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.
Accès aux informations d’identification V7, V9 L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.
Découverte V7, V9 La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.
LateralMovement V7, V9 Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des d’autres outils tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers d’autres systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à davantage d’informations d’identification, ou dans le but de causer un effet.
Exécution V7, V9 La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.
Collection V7, V9 La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
Commande et contrôle V7, V9 La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Exfiltration V7, V9 L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
Impact V7, V9 Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc.

Notes

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes