Identifier les menaces avancées avec l’analyse comportementale des utilisateurs et des entités (UEBA) dans Microsoft Sentinel

  • Article
  • 7 minutes pour lire

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

L’identification des menaces au sein de votre organisation, ainsi que de leur impact potentiel, qu’il s’agisse d’une entité compromise ou d’une personne malveillante, a toujours été un processus laborieux et chronophage. Le criblage des alertes, la connexion des points et la chasse active des menaces nécessitent du temps et des efforts considérables pour très peu de résultats, avec la possibilité que des menaces sophistiquées échappent tout simplement à la détection. En particulier, des menaces insaisissables, telles que des menaces persistantes zero-day, ciblées et avancées, peuvent être des plus dangereuses pour votre organisation, ce qui rend leur détection d’autant plus critique.

La capacité d’analyse comportementale des utilisateurs et des entités de Microsoft Sentinel élimine la pénibilité des charges de travail de vos analystes et l’incertitude liée aux résultats de leurs efforts. Elle leur apporte également une intelligence hautement fiable et actionnable, qui leur permet de se concentrer sur les tâches d’investigation et de correction.

Qu’est-ce que l’analyse du comportement des utilisateurs et des entités ?

Au fur et à mesure que Microsoft Sentinel collecte les journaux et les alertes de toutes ses sources de données connectées, il les analyse et établit des profils comportementaux de base des entités de votre organisation (telles que les utilisateurs, hôtes, adresses IP et applications), ainsi qu’un horizon des groupes de pairs. À l’aide de diverses techniques et de capacités de Machine Learning, Microsoft Sentinel peut ensuite identifier l’activité anormale et vous aider à déterminer si une ressource a été compromise. Outre cela, il peut déterminer la sensibilité relative de ressources particulières, identifier des groupes homologues de ressources et évaluer l’impact potentiel (« rayon d’impact ») de la compromission de toute ressource. Ces informations vous permettent de hiérarchiser efficacement l’investigation et la gestion de l’incident.

Architecture de l’analytique UEBA

Architecture d’analyse du comportement des entités

Analyse pilotée par la sécurité

Inspiré par le paradigme de Gartner pour les solutions UEBA, Microsoft Azure Sentinel offre une approche de l’extérieur vers l’intérieur, basée sur trois cadres de référence :

  • Cas d’usage : En hiérarchisant les vecteurs et scénarios d’attaque pertinents basés sur une recherche en matière de sécurité alignée sur l’infrastructure de tactiques, techniques et sous-techniques MITRE ATT&CK, ayant pour effet de classer les diverses entités en victimes, auteurs ou points pivots dans la chaîne de destruction, Microsoft Sentinel se concentre spécifiquement sur les journaux les plus précieux que chaque source de données peut fournir.

  • Sources de données : tout en prenant en charge avant tout les sources de données Azure, Microsoft Azure Sentinel sélectionne soigneusement des sources de données tierces pour fournir des données correspondant à nos scénarios de menaces.

  • Analyse : à l’aide de différents algorithmes d’apprentissage automatique (Machine Learning, ML), Microsoft Azure Sentinel identifie des activités anormales et présente des preuves de manière claire et concise sous la forme d’enrichissements contextuels, dont vous trouverez des exemples ci-dessous.

    Approche de l’extérieur vers l’intérieur de l’analyse du comportement

Microsoft Sentinel présente des artefacts qui aident vos analystes de sécurité à acquérir une compréhension claire des activités anormales en contexte, et par comparaison avec le profil de base de l’utilisateur. Les actions effectuées par un utilisateur (ou un hôte ou une adresse) sont évaluées dans leur contexte. Un résultat « true » indique une anomalie identifiée :

  • dans des emplacements géographiques, appareils et environnements ;
  • dans des horizons de temps et de fréquence (par rapport à l’historique de l’utilisateur) ;
  • par rapport au comportement d’homologues ;
  • par rapport au comportement de l’organisation. Contexte d’entité

Les informations d’entité utilisateur que Microsoft Sentinel utilise pour créer ses profils utilisateur proviennent de votre instance Azure Active Directory (et/ou de votre Active Directory local, désormais en préversion). Lorsque vous activez UEBA, il synchronise votre annuaire Azure Active Directory avec Microsoft Sentinel, en stockant les informations dans une base de données interne visible par le biais de la table IdentityInfo dans Log Analytics.

Maintenant en préversion, vous pouvez également synchroniser vos informations d’entité utilisateur Active Directory local en utilisant Microsoft Defender pour Identity.

Consultez Activer l’analytique du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel pour savoir comment activer UEBA et synchroniser les identités utilisateur.

Notation

À chaque activité est attribué un « score de priorité d’investigation », qui détermine la probabilité qu’un utilisateur spécifique effectue une activité spécifique, en fonction de l’apprentissage comportemental de l’utilisateur et de ses pairs. Les activités identifiées comme les plus anormales reçoivent les scores les plus élevés (sur une échelle de 0-10).

Pour voir comment cela fonctionne, découvrez la manière dont l’analyse comportementale est utilisée dans Microsoft Defender for Cloud Apps.

Apprenez en davantage sur les entités dans Microsoft Sentinel et consultez la liste complète des entités et identificateurs pris en charge.

Pages d’entité

Vous trouverez désormais des informations sur les pages d’entité dans Examiner les entités avec des pages d’entités dans Microsoft Sentinel.

Interrogation des données d’analyse du comportement

Une requête de mots clés KQL nous permet d’interroger la table d’analyse du comportement.

Par exemple, si vous souhaitez rechercher tous les cas d’un utilisateur n’ayant pas réussi à se connecter à une ressource Azure, où il s’agissait de la première tentative de l’utilisateur de se connecter à partir d’un pays donné, alors que les connexions à partir de ce pays sont rares, même émanant de pairs de l’utilisateur, nous pouvons utiliser la requête suivante :

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

Métadonnées de pairs de l’utilisateur – table et bloc-notes

Les métadonnées de pairs de l’utilisateur fournissent un contexte important pour les détections de menaces, l’investigation sur un incident et la chasse de menace potentielle. Les analystes de la sécurité peuvent observer les activités normales des pairs d’un utilisateur pour déterminer si les activités de l’utilisateur sont inhabituelles par rapport à celles de ses pairs.

Microsoft Sentinel calcule et classe les pairs d’un utilisateur sur la base de l’appartenance à un groupe de sécurité Azure AD, de la liste de diffusion, etc. de l’utilisateur et stocke les pairs classés de 1 à 20 dans la table UserPeerAnalytics. La capture d’écran ci-dessous montre le schéma de la table UserPeerAnalytics, avec les huit premiers pairs classés de l’utilisateur Kendall Collins. Microsoft Sentinel utilise l’algorithme TF-IDF (Term Frequency-Inverse Document Frequency, fréquence de terme-fréquence inverse dans le document) afin de normaliser la pondération pour le calcul du classement : plus le groupe est petit, plus le poids est élevé.

Capture d’écran d’une table de métadonnées de pairs d’utilisateur

Vous pouvez utiliser le notebook Jupyter fourni dans le référentiel GitHub de Microsoft Sentinel pour visualiser les métadonnées des pairs des utilisateurs. Pour obtenir des instructions détaillées sur l’utilisation du bloc-notes, consultez le bloc-notes Analyse guidée – Métadonnées de sécurité utilisateur.

Analyse d’autorisation – table et bloc-notes

L’analyse d’autorisation permet de déterminer l’impact potentiel de la compromission d’une ressource d’organisation par un attaquant. Cet impact est également appelé « rayon d’impact » de la ressource. Les analystes de la sécurité peuvent utiliser ces informations pour hiérarchiser les investigations et la gestion des incidents.

Microsoft Sentinel détermine les droits d’accès direct et transitif aux ressources Azure détenus par un utilisateur donné en évaluant les abonnements Azure auxquels l’utilisateur peut accéder directement ou via des groupes ou des principaux de service. Ces informations, ainsi que la liste complète d’appartenance de groupe de sécurité Azure AD de l’utilisateur, sont ensuite stockées dans la table UserAccessAnalytics. La capture d’écran ci-dessous montre un exemple de ligne dans la table UserAccessAnalytics pour l’utilisateur Alex Johnson. L’entité source est le compte d’utilisateur ou de principal de service, et l’entité cible est la ressource à laquelle l’entité source a accès. Les valeurs de niveau d’accès et de type d’accès dépendent du modèle de contrôle d’accès de l’entité cible. Vous pouvez voir qu’Alex dispose d’un accès contributeur à l’abonnement Azure du Locataire Contoso Hotels. Le modèle de contrôle d’accès de l’abonnement est RBAC Azure.

Capture d’écran du tableau d’analyse de l’accès utilisateur

Vous pouvez utiliser le notebook Jupyter (le même que celui mentionné ci-dessus) à partir du référentiel GitHub de Microsoft Sentinel pour visualiser les données d’analyse des autorisations. Pour obtenir des instructions détaillées sur l’utilisation du bloc-notes, consultez le bloc-notes Analyse guidée – Métadonnées de sécurité utilisateur.

Requêtes de chasse et d’exploration

Microsoft Sentinel offre un ensemble prêt à l’emploi de requêtes de chasse, de requêtes d’exploration, ainsi que le classeur Analyse comportementale des utilisateurs et des entités, qui est basé sur la table BehaviorAnalytics. Ces outils présentent des données enrichies, axées sur des cas d’usage spécifiques, qui indiquent un comportement anormal.

Pour plus d'informations, consultez les pages suivantes :

Alors que les outils de défense hérités deviennent obsolètes, les organisations peuvent avoir un patrimoine numérique si vaste et si perméable qu’il devient ingérable d’obtenir une image complète du risque et de la posture que leur environnement peuvent rencontrer. Les acteurs malveillants s’appuient fortement sur des initiatives réactives, comme les analytiques et les règles, pour apprendre à y échapper. C’est là qu’intervient UEBA, en fournissant des méthodologies et des algorithmes de scoring des risques pour déterminer ce qui se passe vraiment.

Étapes suivantes

Ce document vous a montré les capacités d’analyse comportementale des entités de Microsoft Sentinel. Pour obtenir des conseils pratiques sur l’implémentation et pour utiliser les insights que vous avez acquises, consultez les articles suivants :

Pour plus d’informations, consultez également les informations de référence UEBA Microsoft Sentinel.