Détection avancée des attaques multiphases dans Microsoft Sentinel

Important

Certaines détections de Fusion (voir celles indiquées ci-dessous) sont actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Microsoft Sentinel utilise Fusion, un moteur de corrélation basé sur des algorithmes évolutifs de Machine Learning, pour détecter automatiquement les attaques multiphases (également connues sous le nom de menaces persistantes avancées ou APT) en identifiant des combinaisons de comportements anormaux et d’activités suspectes observés à différentes étapes de la chaîne de destruction. Sur la base de ces découvertes, Microsoft Sentinel génère des incidents qui seraient autrement difficiles à intercepter. Ces incidents comprennent au moins deux alertes ou activités. Le système est conçu de façon à ce que ces incidents soient peu volumineux, soient détectés avec une haute fidélité, et présentent un niveau de gravité élevé.

Personnalisée pour votre environnement, cette technologie de détection, en plus de réduire la fréquence de faux positifs, peut détecter des attaques même si les informations sont limitées ou si certaines informations sont manquantes.

Étant donné que Fusion met en corrélation plusieurs signaux provenant de divers produits pour détecter les attaques multiphases avancées, les détections réussies de Fusion sont présentées en tant qu’incidents Fusion sur la page Incidents de Microsoft Sentinel et non en tant qu’alertes et sont stockées dans la table SecurityIncident dans Journaux et non dans la table SecurityAlerts.

Configurer Fusion

Fusion est activé par défaut dans Microsoft Sentinel, en tant que règle d’analyse appelée Détection d’attaques multiphases avancées. Vous pouvez afficher et modifier l’état de la règle, configurer des signaux source à inclure dans le modèle de ML de Fusion ou exclure des modèles de détection spécifiques qui peuvent ne pas être applicables à votre environnement à partir de la détection de Fusion. Découvrir comment configurer la règle Fusion.

Notes

Microsoft Sentinel utilise actuellement 30 jours de données historiques pour former les algorithmes de Machine Learning du moteur Fusion. Ces données sont toujours chiffrées à l’aide des clés de Microsoft à mesure qu’elles passent par le pipeline de Machine Learning. Cependant, les données de formation ne sont pas chiffrées à l’aide de clés gérées par le client (CMK) si vous avez activé CMK dans votre espace de travail Microsoft Sentinel. Pour désactiver Fusion, accédez à Microsoft Sentinel>Configuration>Analytique > Règles actives, cliquez avec le bouton droit sur la règle Détection des attaques multiphases avancées et sélectionnez Désactiver.

Dans les espaces de travail Microsoft Sentinel qui sont intégrés à la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender, Fusion est désactivé, car sa fonctionnalité est remplacée par le moteur de corrélation Microsoft Defender XDR.

Fusion pour les menaces émergentes

Important

• La détection basée sur Fusion pour les menaces émergentes est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Le volume des événements de sécurité continue de croître, et l’étendue et la sophistication des attaques augmentent encore. Nous pouvons définir les scénarios d’attaque connues, mais qu’en-est-il des menaces émergentes et inconnues dans votre environnement ?

Le moteur Fusion basé sur le ML de Microsoft Sentinel peut vous aider à identifier les menaces émergentes et inconnues dans votre environnement en appliquant une analyse de ML étendue et en mettant en corrélation un large éventail de signaux anormaux, tout en réduisant le niveau de fatigue des alertes.

Les algorithmes de ML du moteur Fusion se forment constamment contre les attaques existantes et appliquent une analyse en fonction de la façon de penser des analystes de sécurité. Il peut donc découvrir des menaces non détectées auparavant à partir de millions de comportements anormaux sur l’ensemble de la chaîne de destruction de votre environnement, ce qui vous permet d’avoir une longueur d’avance sur les attaquants.

Fusion pour les menaces émergentes prend en charge la collecte et l’analyse des données à partir des sources suivantes :

• Détections d’anomalies prêtes à l’emploi
• Alertes des produits Microsoft :
  • Protection de l'identifiant Microsoft Entra
  • Microsoft Defender pour le cloud
  • Microsoft Defender pour IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Identity
  • Microsoft Defender pour Office 365
• Alertes à partir de règles d’analytique planifiées. Les règles d’analyse doivent contenir une chaîne de destructions (tactiques) et des informations de mappage d’entité pour pouvoir être utilisées par Fusion.

Vous n’avez pas besoin de connecter toutes les sources de données mentionnées ci-dessus pour que Fusion fonctionne sur les menaces émergentes. Toutefois, plus le nombre de sources de données que vous avez connectées est important, plus la couverture est large et Fusion trouvera alors plus de menaces.

Lorsque les corrélations du moteur Fusion entraînent la détection d’une menace émergente, un incident de gravité élevée intitulé « Activités d’attaques multiphases potentielles détectées par Fusion » est généré dans la table incidents de votre espace de travail Microsoft Sentinel.

Fusion pour ransomware

Le moteur Fusion de Microsoft Sentinel génère un incident lorsqu’il détecte plusieurs alertes de types différents à partir des sources de données suivantes et détermine qu’elles peuvent être associées à une activité de ransomware :

• Microsoft Defender pour le cloud
• Microsoft Defender for Endpoint
• Connecteur Microsoft Defender pour Identity
• Microsoft Defender for Cloud Apps
• Règles d’analyse planifiée de Microsoft Sentinel. Fusion prend uniquement en compte les règles analytiques planifiées avec des informations de tactique et des entités mappées.

De tels incidents Fusion sont nommés Alertes multiples possiblement liées à l’activité Ransomware détectée et sont générés lorsque des alertes connexes sont détectées pendant un délai d’exécution spécifique et sont associées aux étapes Exécution et Évasion défense sur une attaque.

Par exemple, Microsoft Sentinel génère un incident pour les éventuelles activités de Ransomware si les alertes suivantes sont déclenchées sur le même hôte dans un délai d’exécution spécifique :

Alerte	Source	severity
Événements d'erreur et d'avertissement Windows	Règles d’analyse planifiée de Microsoft Sentinel	information
Le ransomware « GandCrab » a été évité	Microsoft Defender pour le cloud	moyenne
Le programme malveillant « Emotet » a été détecté	Microsoft Defender for Endpoint	information
La Porte dérobée « Tofsee » a été détectée	Microsoft Defender pour le cloud	low
Le programme malveillant « Parite » a été détecté	Microsoft Defender for Endpoint	information

Détections de Fusion basées sur un scénario

La section suivante répertorie les types d'attaques multiphases basées sur des scénarios, regroupées par classification des menaces, que Microsoft Sentinel détecte à l’aide du moteur de corrélation Fusion.

Pour activer ces scénarios de détection d’attaques par Fusion, les sources de données associées doivent être ingérées dans votre espace de travail Log Analytics. Sélectionnez les liens dans le tableau ci-dessous pour en savoir plus sur chaque scénario et ses sources de données associées.

Notes

Certains de ces scénarios sont en PRÉVERSION. Cela est spécifié.

Classification des menaces	Scénarios
Abus de ressource de calcul	(PRÉVERSION) Plusieurs activités de création de machine virtuelle suite à une connexion suspecte à Microsoft Entra
Accès aux informations d’identification	(PRÉVERSION) Plusieurs mots de passe réinitialisés par l’utilisateur après une connexion suspecte (PRÉVERSION) Connexion suspecte coïncidant avec la réussite d’une connexion à Palo Alto VPN par IP avec plusieurs connexions Microsoft Entra ayant échoué
Collecte des informations d’identification	Exécution de l’outil contre le vol d’informations d’identification suite à une connexion suspecte Activité suspecte de vol d’informations d’identification suite à une connexion suspecte
Minage de cryptomonnaie	Activité de minage de cryptomonnaie suite à une connexion suspecte
Destruction de données	Suppression de fichiers en masse suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Suppression de fichiers en masse suite à une connexion réussie à Microsoft Entra à partir d’une adresse IP bloquée par une appliance de pare-feu Cisco (PRÉVERSION) Suppression de fichiers en masse suite à une connexion réussie à un VPN Palo Alto par IP avec plusieurs connexions Microsoft Entra ayant échoué (PRÉVERSION) Activité suspecte de suppression d’e-mails suite à une connexion suspecte à Microsoft Entra
Exfiltration de données	(PRÉVERSION) Activités de transfert de courriers suite à une nouvelle activité de compte d’administrateur qui n’a pas été vue récemment Téléchargement de fichiers en masse suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Téléchargement de fichiers en masse suite à une connexion réussie à Microsoft Entra à partir d’une adresse IP bloquée par une appliance de pare-feu Cisco (PRÉVERSION) Téléchargement de fichiers en masse coïncidant avec l’opération de fichier SharePoint à partir d’une adresse IP auparavant invisible Partage de fichiers en masse suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Activités multiples de partage de rapport Power BI suite à une connexion suspecte à Microsoft Entra Exfiltration de boîte aux lettres Office 365 suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Opération de fichier SharePoint à partir d’une adresse IP auparavant invisible suite à la détection d’un programme malveillant (PRÉVERSION) Ensemble de règles de manipulation de boîte de réception suspectes suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Partage suspect de rapport Power BI suite à une connexion suspecte à Microsoft Entra
Déni de service	(PRÉVERSION) Plusieurs activités de suppression de machine virtuelle suite à une connexion suspecte à Microsoft Entra
Mouvement latéral	Emprunt d’identité Office 365 suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Ensemble de règles de manipulation de boîte de réception suspectes suite à une connexion suspecte à Microsoft Entra
Activité administrative malveillante	Activité administrative d’application cloud suspecte suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Activités de transfert de courriers suite à une nouvelle activité de compte d’administrateur qui n’a pas été vue récemment
Exécution malveillante avec un processus légitime	(PRÉVERSION) PowerShell a effectué une connexion réseau suspecte,suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks (PRÉVERSION) Exécution suspecte de WMI à distancesuivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks Ligne de commande PowerShell suspecte suite à une connexion suspecte
Logiciel malveillant C2 ou téléchargement	(PRÉVERSION) Modèle de balise détecté par Fortinet suite à l’échec de plusieurs connexions à un service par un utilisateur (PRÉVERSION) Modèle de balise détecté par Fortinet suite à une connexion suspecte à Microsoft Entra (PRÉVERSION) Demande réseau pour le service d’anonymisation TOR suivi du trafic anormal signalé par le pare-feu Palo Alto Networks (PRÉVERSION) Connexion sortante à l’adresse IP avec un historique des tentatives d’accès non autorisées suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks
Persistance	(PRÉVERSION) Consentement d’application rare suite à une connexion suspecte
Ransomware	Exécution d’un rançongiciel suite à une connexion suspecte à Microsoft Entra
Exploitation à distance	(PRÉVERSION) Utilisation suspecte de l’infrastructure d’attaque suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks
Piratage des ressources	(PRÉVERSION) Déploiement suspect de ressource/groupe de ressources par un appelant auparavant invisible suite à une connexion suspecte à Microsoft Entra

Étapes suivantes

Obtenir plus d’informations sur la détection d’attaques multiphases avancées Fusion :

• En savoir plus sur les détections d’attaques basées sur un scénario Fusion.
• Découvrir comment configurer les règles Fusion.

Maintenant que vous en savez plus sur la détection avancée des attaques multiphases, il peut vous être utile de suivre le guide de démarrage suivant pour savoir comment bénéficier d’une visibilité sur vos données et sur les menaces potentielles : Bien démarrer avec Microsoft Sentinel.

Si vous êtes prêt à examiner les incidents créés pour vous, consultez le tutoriel suivant : Examiner les incidents avec Microsoft Sentinel.