Utiliser des anomalies personnalisables pour détecter des menaces dans Microsoft Sentinel

Qu’est-ce que les anomalies personnalisables ?

Avec les attaquants et les défenseurs qui luttent constamment pour prendre l’avantage dans la course aux armements de la cybersécurité, les attaquants trouvent toujours des moyens d’échapper à la détection. Inévitablement, toutefois, les attaques entraînent toujours un comportement inhabituel dans les systèmes attaqués. Les anomalies personnalisables basées sur le machine learning de Microsoft Sentinel peuvent identifier ce comportement avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces :

• Signaux supplémentaires pour améliorer la détection : les analystes de sécurité peuvent utiliser les anomalies pour détecter les nouvelles menaces et rendre les détections existantes plus efficaces. Une seule anomalie n’est pas un signal fort de comportement malveillant, mais une combinaison de plusieurs anomalies à différents points de la chaîne de destruction envoie un message clair. Les analystes de sécurité peuvent rendre les alertes de détection existantes plus précises en les conditionnant sur l’identification du comportement anormal.

• Preuve au cours des investigations : les analystes de sécurité peuvent également utiliser les anomalies au cours des investigations pour vous aider à confirmer une violation, trouver de nouveaux chemins pour l’examiner et évaluer son impact potentiel. Ces gains d’efficacité réduisent le temps que les analystes de sécurité consacrent aux investigations.

• Le début des recherches proactives de menaces : les chasseurs de menaces peuvent utiliser les anomalies comme contexte pour déterminer si leurs requêtes présentent un comportement suspect non couvert. Lorsque le comportement est suspect, les anomalies pointent également vers des directions à suivre potentielles en vue d’une nouvelle chasse. Ces indices fournis par les anomalies réduisent le temps nécessaire à la détection d’une menace et son risque de nuire.

Les anomalies peuvent être des outils puissants, mais elles sont notoirement très bruyantes. Elles nécessitent généralement beaucoup de paramétrages fastidieux pour des environnements spécifiques ou un traitement complexe. Les modèles d’anomalies personnalisables sont paramétrés par l’équipe de science des données de Microsoft Sentinel pour fournir une valeur prête à l’emploi. Si vous devez les régler davantage, le processus est simple et ne nécessite aucune connaissance du Machine Learning. Les seuils et les paramètres de la plupart des anomalies peuvent être configurés et affinés par le biais de l’interface utilisateur de règles d’analyse qui vous est déjà familière. Les performances du seuil et des paramètres d’origine peuvent être comparées aux nouvelles valeurs de l’interface et être réglées en fonction des besoins au cours d’une phase de test ou d’évaluation. Une fois que l’anomalie atteint les objectifs de performance, l’anomalie avec le nouveau seuil ou les nouveaux paramètres peut être promue en production simplement en cliquant sur un bouton. Les anomalies personnalisables de Microsoft Sentinel vous permettent de tirer parti des anomalies sans avoir à effectuer un travail difficile.

Anomalies UEBA

Certaines des détections d’anomalies de Microsoft Sentinel proviennent de son moteurUEBA (User and Entity Behavior Analytics), qui détecte les anomalies en fonction du comportement historique de référence de chaque entité dans différents environnements. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services internet et bien plus encore.

Étapes suivantes

Dans ce document, vous avez appris à tirer parti des anomalies personnalisables dans Microsoft Sentinel.

• Découvrez comment afficher, créer, gérer et affiner les règles d’anomalie.
• Découvrez l’analytique du comportement des utilisateurs et des entités (UEBA).
• Consultez la liste des anomalies actuellement prises en charge.
• En savoir plus sur les autres types de règles d’analyse.