Interruption automatique des attaques dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Microsoft Defender XDR met en corrélation des millions de signaux individuels pour identifier les campagnes de ransomware actives ou d’autres attaques sophistiquées dans l’environnement avec une confiance élevée. Pendant qu’une attaque est en cours, Defender XDR interrompt l’attaque en contenant automatiquement les ressources compromises que l’attaquant utilise via une interruption d’attaque automatique.
L’interruption automatique des attaques limite les mouvements latéraux dès le début et réduit l’impact global d’une attaque, des coûts associés à la perte de productivité. En même temps, cela laisse aux équipes des opérations de sécurité le contrôle total de l’investigation, de la correction et de la remise en ligne des ressources.
Cet article fournit une vue d’ensemble de l’interruption automatisée des attaques et inclut des liens vers les étapes suivantes et d’autres ressources.
Fonctionnement de l’interruption des attaques automatiques
L’interruption automatique des attaques est conçue pour contenir les attaques en cours, limiter l’impact sur les ressources d’une organisation et donner plus de temps aux équipes de sécurité pour corriger entièrement l’attaque. L’interruption d’attaque utilise toute l’étendue de nos signaux de détection et de réponse étendues (XDR), en tenant compte de l’ensemble de l’attaque pour agir au niveau de l’incident. Cette fonctionnalité est différente des méthodes de protection connues telles que la prévention et le blocage basées sur un seul indicateur de compromission.
Bien que de nombreuses plateformes SOAR (orchestration, automatisation et réponse) XDR et de sécurité vous permettent de créer vos actions de réponse automatique, l’interruption automatique des attaques est intégrée et utilise les insights des chercheurs en sécurité Microsoft et des modèles IA avancés pour contrer la complexité des attaques avancées. L’interruption automatique des attaques prend en compte l’ensemble du contexte des signaux provenant de différentes sources pour déterminer les ressources compromises.
L’interruption automatique des attaques s’effectue en trois étapes clés :
- Il utilise la capacité de Defender XDR à corréler les signaux provenant de nombreuses sources différentes en un seul incident à haute fiabilité par le biais d’insights provenant de points de terminaison, d’identités, d’outils de messagerie et de collaboration, et d’applications SaaS.
- Il identifie les ressources contrôlées par l’attaquant et utilisées pour répartir l’attaque.
- Il effectue automatiquement des actions de réponse sur les produits Microsoft Defender pertinents pour contenir l’attaque en temps réel en isolant les ressources affectées.
Cette fonctionnalité de changement de jeu limite la progression précoce d’un acteur de menace et réduit considérablement l’impact global d’une attaque, des coûts associés à la perte de productivité.
Établissement d’une confiance élevée lors de l’action automatique
Nous comprenons que l’action automatique est parfois accompagnée d’une hésitation de la part des équipes de sécurité, compte tenu de l’impact potentiel que cela peut avoir sur une organisation. Par conséquent, les fonctionnalités d’interruption d’attaque automatique dans Defender XDR sont conçues pour s’appuyer sur des signaux haute fidélité. Il utilise également la corrélation des incidents de Defender XDR avec des millions de signaux de produit Defender dans les e-mails, les identités, les applications, les documents, les appareils, les réseaux et les fichiers. Les insights de l’examen continu de milliers d’incidents par l’équipe de recherche de sécurité de Microsoft garantissent que l’interruption des attaques automatiques maintient un ratio signal/bruit (SNR) élevé.
Les enquêtes font partie intégrante de la surveillance de nos signaux et du paysage des menaces d’attaque pour garantir une protection de haute qualité et précise.
Conseil
Cet article décrit le fonctionnement de l’interruption des attaques. Pour configurer ces fonctionnalités, consultez Configurer les fonctionnalités d’interruption des attaques dans Microsoft Defender XDR.
Actions de réponse automatisées
L’interruption automatique des attaques utilise des actions de réponse XDR basées sur Microsoft. Voici quelques exemples d’actions suivantes :
Conteneur de l’appareil : en fonction de la capacité de Microsoft Defender pour point de terminaison, cette action est une rétention automatique d’un appareil suspect pour bloquer toute communication entrante/sortante avec ledit appareil.
Désactiver l’utilisateur : en fonction de la fonctionnalité de Microsoft Defender pour Identity, cette action est une suspension automatique d’un compte compromis afin d’éviter des dommages supplémentaires tels que les mouvements latéraux, l’utilisation de boîtes aux lettres malveillantes ou l’exécution de programmes malveillants.
Contenir l’utilisateur : en fonction de la fonctionnalité de Microsoft Defender pour point de terminaison, cette action de réponse contient automatiquement des identités suspectes temporairement afin de bloquer tout mouvement latéral et chiffrement à distance lié à la communication entrante avec les appareils intégrés de Defender pour point de terminaison.
Pour plus d’informations, consultez Actions de correction dans Microsoft Defender XDR.
Actions de réponse automatisées pour SAP avec Microsoft Sentinel
Si vous utilisez la plateforme d’opérations de sécurité unifiée et que vous avez déployé la solution Microsoft Sentinel pour les applications SAP, vous pouvez également déployer une interruption automatique des attaques pour SAP.
Par exemple, déployez une interruption des attaques pour QUE SAP contienne des ressources compromises en verrouillant les utilisateurs SAP suspects en cas d’attaque de manipulation de processus financier.
Une fois le risque atténué, les administrateurs Microsoft Defender peuvent déverrouiller manuellement les utilisateurs qui ont été automatiquement verrouillés par la réponse d’interruption d’attaque. La possibilité de déverrouiller manuellement les utilisateurs est disponible à partir du centre de notifications Microsoft Defender, et uniquement pour les utilisateurs qui ont été verrouillés par une interruption d’attaque.
Pour utiliser l’interruption des attaques pour SAP, déployez un nouvel agent de connecteur de données ou assurez-vous que votre agent utilise la version 90847355 ou une version ultérieure, puis attribuez et appliquez les rôles Azure et SAP requis. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
- Mettez à jour l’agent de connecteur de données SAP de Microsoft Sentinel, en particulier Mettre à jour votre système pour l’interruption automatique des attaques.
Pendant que vous configurez l’interruption des attaques dans le portail Azure et votre système SAP, l’interruption d’attaque automatique elle-même apparaît uniquement dans la plateforme unifiée des opérations de sécurité dans le portail Microsoft Defender.
Identifier quand une interruption d’attaque se produit dans votre environnement
La page d’incident Defender XDR reflète les actions automatiques d’interruption des attaques dans le récit de l’attaque et l’état indiqué par une barre jaune (Figure 1). L’incident affiche une balise d’interruption dédiée, met en surbrillance l’état des ressources contenues dans le graphique de l’incident et ajoute une action au Centre de notifications.
Figure 1. Vue d’incident montrant la barre jaune où l’interruption d’attaque automatique a pris des mesures
L’expérience utilisateur de Defender XDR inclut désormais des signaux visuels supplémentaires pour garantir la visibilité de ces actions automatiques. Vous pouvez les trouver dans les expériences suivantes :
Dans la file d’attente des incidents :
- Une balise intitulée Interruption des attaques apparaît en regard des incidents affectés
Sur la page de l’incident :
- Une balise intitulée Interruption d’attaque
- Bannière jaune en haut de la page qui met en évidence l’action automatique effectuée
- L’état actuel de la ressource est affiché dans le graphique de l’incident si une action est effectuée sur une ressource, par exemple, un compte désactivé ou un appareil contenu
Via l’API :
Une chaîne (interruption d’attaque) est ajoutée à la fin des titres des incidents avec un niveau de confiance élevé susceptible d’être automatiquement interrompu. Par exemple :
Attaque de fraude financière BEC lancée à partir d’un compte compromis (interruption d’attaque)
Pour plus d’informations, consultez afficher les détails et les résultats de l’interruption des attaques.
Prochaines étapes
- Configuration de l’interruption automatique des attaques dans Microsoft Defender XDR
- Afficher les détails et les résultats
- Recevoir des notifications par e-mail pour les actions de réponse
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour