Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour détecter les activités malveillantes, chaque services en ligne de Microsoft journalise de manière centralisée les événements de sécurité et d’autres données, et effectue diverses techniques analytiques pour détecter les activités anormales ou suspectes. Les fichiers journaux sont collectés à partir de serveurs et d’appareils d’infrastructure Microsoft services en ligne et stockés dans des bases de données centralisées et consolidées.
Microsoft adopte une approche basée sur les risques pour détecter les activités malveillantes. Nous utilisons les données d’incident et le renseignement sur les menaces pour définir et hiérarchiser nos détections.
L’emploi d’une équipe de personnes hautement expérimentées, compétentes et qualifiées est l’un des piliers les plus importants de la réussite dans la phase de détection et d’analyse. Microsoft emploie plusieurs équipes de service qui incluent des employés ayant des compétences sur tous les composants de la pile, y compris le réseau, les routeurs, les pare-feu, les équilibreurs de charge, les systèmes d’exploitation et les applications.
Les mécanismes de détection de sécurité dans Microsoft services en ligne incluent également des notifications et des alertes lancées par différentes sources. Microsoft services en ligne équipes de réponse de sécurité sont les principaux orchestrateurs du processus d’escalade des incidents de sécurité. Ces équipes reçoivent toutes les escalades et sont responsables de l’analyse et de la confirmation de la validité de l’incident de sécurité.
L’un des principaux piliers de la détection est la notification :
- Chaque équipe de service est chargée d’enregistrer toute action ou événement au sein du service en fonction des exigences de l’équipe de sécurité du service en ligne. Tous les journaux créés par les différentes équipes de service sont traités par une solution SIEM (Security Information and Event Management) avec des règles de sécurité et de détection prédéfinies. Ces règles évoluent en fonction des recommandations de l’équipe de sécurité, des informations tirées des incidents de sécurité précédents, pour déterminer s’il y a une activité suspecte ou malveillante.
- Si un client détermine qu’un incident de sécurité est en cours, il peut ouvrir un dossier de support auprès de Microsoft, qui est affecté à l’équipe de communication Microsoft et transformé en escalade vers toutes les équipes appropriées.
Les équipes de service Azure, Dynamics 365 et Microsoft 365 utilisent également les informations obtenues dans l’analyse des tendances par le biais de la surveillance et de la journalisation de la sécurité pour détecter les anomalies dans les systèmes d’information microsoft services en ligne susceptibles d’indiquer une attaque ou un incident de sécurité. Microsoft services en ligne systèmes agrègent la sortie de ces journaux dans l’environnement de production dans des serveurs de journalisation centralisés. À partir de ces serveurs de journalisation centralisés, les journaux sont examinés pour repérer les tendances dans l’environnement de production. Les données agrégées dans les serveurs centralisés sont transmises en toute sécurité dans un service de journalisation pour l’interrogation avancée, la création et la détection des activités anormales et malveillantes. Le service utilise également le Machine Learning pour détecter les anomalies avec la sortie du journal.
Pendant la phase d’escalade et en fonction de la nature de l’incident de sécurité, les équipes de réponse de sécurité peuvent faire appel à un ou plusieurs experts en la matière de différentes équipes chez Microsoft :
- Équipe sécurité et conformité des services en ligne
- Microsoft Threat Intelligence Center (MSTIC)
- Microsoft Security Response Center (MSRC)
- Corporate, External, and Legal Affairs (CELA)
- Sécurité Azure
- Ingénierie Microsoft 365 et autres.
Avant qu’une escalade vers une équipe de réponse de sécurité ne se produise, l’équipe de service est chargée de déterminer et de définir le niveau de gravité de l’incident de sécurité en fonction de critères définis tels que :
- Confidentialité
- Impact
- Portée
- Nombre de locataires affectés
- Région
- Service
- Détails de l’incident
- Réglementations spécifiques du secteur d’activité ou du marché des clients.
La hiérarchisation des incidents est déterminée à l’aide de facteurs distincts, y compris, mais sans s’y limiter, l’impact fonctionnel de l’incident, l’impact informationnel de l’incident et la possibilité de récupération de l’incident.
Après avoir reçu une escalade concernant un incident de sécurité, l’équipe de sécurité organise une équipe virtuelle (v-team) composée de membres de l’équipe de réponse de sécurité du service en ligne Microsoft, des équipes de service et de l’équipe de communication des incidents. L’équipe virtuelle doit ensuite confirmer la légitimité de l’incident de sécurité et éliminer les faux positifs. L’exactitude des informations fournies par les indicateurs déterminés pendant la phase de préparation est essentielle. En analysant ces informations par catégorie d’attaque vectorielle, l’équipe virtuelle peut déterminer si l’incident de sécurité est un problème légitime.
Au début de l’enquête, l’équipe de réponse aux incidents de sécurité enregistre toutes les informations sur l’incident conformément à nos stratégies de gestion des cas. À mesure que le cas progresse, nous suivons les actions en cours et suivons les normes de gestion des preuves pour la collecte, la conservation et la sécurisation de ces données tout au long du cycle de vie des incidents.
Voici quelques exemples de ces actions :
- Un résumé, qui est une brève description de l’incident et de son impact potentiel
- Gravité et priorité de l’incident, qui sont dérivées en évaluant l’impact potentiel
- Liste de tous les indicateurs identifiés qui ont conduit à la détection de l’incident
- Liste des incidents associés
- Liste de toutes les actions effectuées par l’équipe virtuelle
- Toute preuve recueillie, qui sera également conservée pour l’analyse post-mortem et les futures enquêtes judiciaires
- Étapes et actions suivantes recommandées
Après la confirmation de l’incident de sécurité, les principaux objectifs de l’équipe de réponse de sécurité et de l’équipe de service appropriée sont de contenir l’attaque, de protéger le ou les services attaqués et d’éviter un impact global plus important. Dans le même temps, les équipes d’ingénierie appropriées travaillent à déterminer la cause racine et à préparer le premier plan de récupération.
Dans la phase suivante, l’équipe de réponse de sécurité identifie le ou les clients affectés par l’incident de sécurité, le cas échéant. La portée de l’effet peut prendre un certain temps pour déterminer, en fonction de la région, du centre de données, du service, de la batterie de serveurs, du serveur, etc. La liste des clients concernés est compilée par l’équipe de service et l’équipe de communication Microsoft correspondante, qui gère ensuite le processus de notification client dans le cadre d’obligations contractuelles et de conformité.
Articles connexes
- Gestion des incidents de sécurité Microsoft
- Gestion des incidents de sécurité Microsoft : préparation
- Gestion des incidents de sécurité Microsoft : confinement, éradication et récupération
- Gestion des incidents de sécurité Microsoft : activité post-incident
- Comment enregistrer un ticket de support d’événement de sécurité
- Notification de violation Azure et Dynamics 365 dans le cadre du RGPD