Guide pratique pour investiguer les alertes de détection d’anomalie

Microsoft Defender for Cloud Apps fournit des détections et des alertes de sécurité pour les activités malveillantes. Le but de ce guide est de vous fournir des informations générales et pratiques de chaque alerte, pour vous aider lors de vos tâches d’examen et de correction. Ce guide contient des informations générales sur les conditions de déclenchement d’alertes. Cependant, il est important de noter que les détections d’anomalies étant par nature non déterministes, elles ne sont déclenchées que lorsqu’un comportement dévie de la norme. Enfin, certaines alertes peuvent être en prévisualisation, il est donc recommandé de consulter régulièrement la documentation officielle pour connaître le statut mis à jour des alertes.

MITRE ATT&CK

Pour expliquer et faciliter la compréhension de la relation entre les alertes de Defender for Cloud Apps et la matrice MITRE ATT&CK, nous avons catégorisé les alertes par leur tactique MITRE ATT&CK correspondante. Cette référence supplémentaire facilite la compréhension de la technique d’attaque suspectée potentiellement en cours d’utilisation lorsqu’une alerte de Defender for Cloud Apps est déclenchée.

Ce guide fournit des informations sur l’examen et la correction des alertes Defender for Cloud Apps dans les catégories suivantes.

• Accès initial
• Exécution
• Persistance
• Élévation des privilèges
• Accès aux informations d’identification
• Collection
• Exfiltration
• Impact

Classifications des alertes de sécurité

Après une investigation appropriée, toutes les alertes Defender for Cloud Apps peuvent être classées comme l’un des types d’activité suivants :

• Vrai positif (TP) : Une alerte sur une activité malveillante confirmée.
• Vrai positif bénin (B-TP) : Une alerte sur les activités suspectes, mais pas malveillantes, comme un test d’intrusion ou une autre action suspecte autorisée.
• Faux positif (FP) : Une alerte sur une activité non malveillante.

Passages d’investigation généraux

Vous devez utiliser les recommandations générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.

• Passez en revue le score de priorité d’investigation de l’utilisateur et comparez-le au reste de l’organisation. Cela vous aidera à identifier les utilisateurs de votre organisation qui présentent le plus grand risque.
• Si vous identifiez un TP, passez en revue toutes les activités de l’utilisateur pour comprendre l’impact.
• Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez la source et l’étendue de l’impact. Par exemple, passez en revue les informations d’appareil utilisateur suivantes et comparez-les aux informations connues sur l’appareil :
  • Système d’exploitation et version
  • Navigateur et version
  • Adresse IP et emplacement

Alertes d’accès initiales

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de s’implanter initialement dans votre organisation.

Activité depuis une adresse IP anonyme

Description

Activité à partir d'une adresse IP qui a été identifiée comme une adresse IP de proxy anonyme par Microsoft Threat Intelligence ou par votre organisation. Ces proxys peuvent être utilisés pour masquer l’adresse IP d’un appareil et peuvent être utilisés pour des activités malveillantes.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui réduit les incidents B-TP, tels que les adresses IP mal balisées qui sont couramment utilisées par des utilisateurs de l’organisation.

1. TP : Si vous êtes en mesure de confirmer que l’activité a été effectuée à partir d’une adresse IP anonyme ou TOR.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si un utilisateur est connu pour utiliser des adresses IP anonymes dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou de pénétration pour le compte de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Examinez toute l’activité de l’utilisateur et les alertes pour d’autres indicateurs de compromission. Par exemple, si l’alerte a été suivie d’une autre alerte suspecte, telle qu’un téléchargement de fichier inhabituel (par l’utilisateur) ou une alerte de transfert de boîte de réception suspecte, cela indique souvent qu’un attaquant tente d’exfiltrer des données.

Activité à partir de pays peu fréquents

Activité à partir d’un pays/région qui peut indiquer une activité malveillante. Cette politique profile votre environnement et déclenche des alertes lorsque de l’activité est détectée depuis un emplacement qui n’a pas été visité récemment ou jamais visité par un utilisateur de l’organisation.

La stratégie peut être étendue à un sous-ensemble d’utilisateurs ou exclure les utilisateurs connus pour se déplacer vers des emplacements distants.

Période d’apprentissage

La détection d’emplacements anormales nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour de nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée :

   1. Suspendez l’utilisateur, réinitialisez son mot de passe et identifiez le bon moment pour réactiver le compte en toute sécurité.
   2. Facultatif : créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents et de leurs gestionnaires, pour vérifier leur activité.

2. B-TP : Si un utilisateur est connu pour être à cet emplacement. Par exemple, lorsqu’un utilisateur voyage fréquemment et se trouve actuellement à l’emplacement spécifié.

   Action recommandée :

   1. Ignorez l’alerte et modifiez la stratégie pour exclure l’utilisateur.
   2. Créer un groupe d’utilisateurs pour les voyageurs fréquents, importer le groupe dans Defender for Cloud Apps et exclure les utilisateurs de cette alerte
   3. Facultatif : créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs détectés comme se connectant à partir d’emplacements peu fréquents et de leurs gestionnaires, pour vérifier leur activité.

Comprendre l’étendue de la violation

• Examinez quelle ressource pourrait avoir été compromise, comme des téléchargements de données potentiels.

Activité à partir d’adresses IP suspectes

Activité à partir d’une adresse IP qui a été identifiée comme à risque par Microsoft Threat Intelligence ou par votre organisation. Ces adresses IP ont été identifiées comme étant impliquées dans des activités malveillantes, telles que des attaques par pulvérisation de mots de passe, commande et contrôle de botnet (C&C), et pourraient indiquer un compte compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches. Par exemple, lorsqu’un analyste de sécurité effectue des tests de sécurité ou de pénétration pour le compte de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité et recherchez les activités à partir de la même adresse IP.
2. Examinez quelle ressource pourrait avoir été compromise, comme des téléchargements de données potentiels ou des modifications administratives.
3. Créez un groupe pour les analystes de sécurité qui déclenchent volontairement ces alertes et les excluent de la stratégie.

Voyage impossible

Activité provenant du même utilisateur dans différents emplacements dans un délai plus court que le temps de déplacement prévu entre les deux emplacements. Cela peut indiquer une violation des identifiants. Toutefois, il est également possible que l’emplacement réel de l’utilisateur soit masqué, par exemple à l’aide d’un VPN.

Pour améliorer la précision et déclencher des alertes uniquement lorsqu’il y a une forte indication de violation, Defender for Cloud Apps établit une base de référence pour chaque utilisateur de l’organisation et ne déclenche des alertes que lorsque le comportement inhabituel est détecté. La politique de voyage impossible peut être adaptée à vos besoins.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Cette détection utilise un algorithme d’apprentissage automatique qui ignore les conditions B-TP évidentes, telles que lorsque les adresses IP des deux côtés du voyage sont considérées comme sécurisées, le voyage est approuvé et exclu du déclenchement de la détection de voyage impossible. Par exemple, les deux côtés sont considérés comme sûrs s’ils sont étiquetés comme corporatifs. Toutefois, si l’adresse IP d’un seul côté du voyage est considérée comme sécurisée, la détection est déclenchée normalement.

1. TP : Si vous êtes en mesure de confirmer que l’emplacement dans l’alerte de voyage impossible est peu probable pour l’utilisateur.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (voyage d’utilisateur non détecté) : Si vous êtes en mesure de confirmer que l’utilisateur a récemment voyagé vers la destination mentionnée dans l’alerte. Par exemple, si le téléphone d’un utilisateur en mode avion reste connecté aux services tels qu’Exchange Online sur votre réseau de société tout en voyageant vers un autre emplacement. Lorsque l’utilisateur arrive au nouvel emplacement, le téléphone se connecte à Exchange Online pour déclencher l’alerte de voyage impossible.

   Action recommandée : ignorer l’alerte.

3. FP (VPN sans catégorie) : Si vous êtes en mesure de confirmer que la plage d’adresses IP provient d’un VPN approuvé.

   Action recommandée : ignorer l’alerte et ajouter la plage d’adresses IP du VPN à Defender for Cloud Apps, puis l’utiliser pour baliser la plage d’adresses IP du VPN.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour comprendre les activités similaires dans le même emplacement et l’adresse IP.
2. Si vous constatez que l’utilisateur a effectué d’autres activités à risque, comme le téléchargement d’un grand volume de fichiers à partir d’un nouvel emplacement, cela serait très clairement le signe d’une éventuelle compromission.
3. Ajoutez des plages d’adresses IP et de VPN de société.
4. Créez un guide opérationnel à l’aide de Power Automate et contactez le gestionnaire de l’utilisateur pour voir si l’utilisateur voyage légitimement.
5. Envisagez de créer une base de données des voyageurs connus pour les rapports de voyages organisationnels à la minute et utilisez-la pour croiser les activités de voyage.

Nom d’application OAuth équivoque

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguisement d’une application malveillante en tant qu’application connue et approuvée afin que les attaquants puissent tromper les utilisateurs à télécharger leur application malveillante.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’application a un nom trompeur.

   Action recommandée : Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application.

Pour interdire l’accès à l’application, sous les onglets Google ou Salesforce de la page gouvernance des applications, sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. - Vous pouvez choisir de signaler aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification informe les utilisateurs que l’application est désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas les en informer, désélectionnez Avertir les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. - Nous vous recommandons d’avertir les utilisateurs que leur application est sur le point d’être exclue.

1. FP : Si vous souhaitez confirmer que l’application a un nom trompeur, mais qu’elle a une utilisation professionnelle légitime dans l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Suivez le tutoriel sur la façon d’examiner les applications OAuth risquées.

Nom d’éditeur équivoque pour une application OAuth

Cette détection identifie les applications avec des caractères, tels que des lettres étrangères, qui ressemblent à des lettres latines. Cela peut indiquer une tentative de déguisement d’une application malveillante en tant qu’application connue et approuvée afin que les attaquants puissent tromper les utilisateurs à télécharger leur application malveillante.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’application a un nom d’éditeur trompeur.

   Action recommandée : Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application.

2. FP : Si vous souhaitez confirmer que l’application a un nom d’éditeur trompeur, mais qu’elle est un éditeur légitime.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Sous les onglets Google ou Salesforce de la page Gouvernance des applications, sélectionnez l’application pour ouvrir le tiroir de l’application, puis sélectionnez Activité associée. Cela ouvre la page Journal d’activité filtrée pour les activités effectuées par l’application. N’oubliez pas que certaines applications effectuent des activités qui sont inscrites comme ayant été effectuées par un utilisateur. Ces activités sont automatiquement filtrées dans les résultats dans le journal d’activité. Pour une investigation poussée avec le journal d’activité, consultez Journal d’activité.
2. Si vous suspectez qu’une application est suspecte, nous vous recommandons d’investiguer le nom et l’éditeur de l’application dans les différents App Stores. Lorsque vous vérifiez les magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications avec un faible nombre de téléchargements.
   • Applications avec une évaluation médiocre, un faible score ou des commentaires négatifs.
   • Applications avec un éditeur ou un site web suspect.
   • Applications qui n’ont pas été mises à jour récemment. Cela peut indiquer une application qui n’est plus prise en charge.
   • Applications avec des autorisations sans intérêt. Cela peut indiquer qu’une application est à risque.
3. Si vous pensez qu’une application est toujours suspecte, vous pouvez rechercher son nom, le nom de son éditeur et son URL en ligne.

Alertes d’exécution

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter d’exécuter du code malveillant dans votre organisation.

Plusieurs activités inhabituelles de suppression de stockage

Activités dans une session unique indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de stockage cloud ou de base de données à partir de ressources telles que des objets blob Azure, des compartiments AWS S3 ou Cosmos DB par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organisation.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que les suppressions n’étaient pas autorisées.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

2. FP : Si, après votre enquête, vous pouvez confirmer que l’administrateur était autorisé à effectuer ces activités de suppression.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification.
3. Passez en revue les activités de cet utilisateur pour connaître les modifications apportées à d’autres services.

Activités de création de machines virtuelles multiples

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de création de machine virtuelle par rapport à la base de référence apprise. Plusieurs créations de machines virtuelles sur une infrastructure cloud enfreinte peuvent indiquer une tentative d’exécution d’opérations d’exploration de données de chiffrement à partir de votre organisation.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer la précision et déclencher des alertes uniquement lorsqu’il y a une forte indication de violation, cette détection établit une base de référence pour chaque environnement de l’organisation afin de réduire les incidents B-TP, tels qu’un administrateur ayant légitimement créé plus de machines virtuelles que la base de référence établie, et ne déclenche des alertes que lorsque le comportement inhabituel est détecté.

• TP: Si vous pouvez confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis assurez-vous de désactiver ou de supprimer les machines virtuelles compromises.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur était autorisé à effectuer ces activités de création.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées ou modifiées par l’utilisateur et vérifiez qu’elles sont conformes aux stratégies de votre organisation.

Activité de création suspecte pour la région cloud (préversion)

Activités indiquant qu’un utilisateur a effectué une action inhabituelle de création dans une région AWS non courante par rapport à la base de référence apprise. La création de ressources dans des régions cloud rares peut indiquer une tentative d’exécution d’une activité malveillante telle que les opérations d’exploration de données de chiffrement à partir de votre organisation.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Pour améliorer la précision et déclencher des alertes uniquement lorsqu’il y a une forte indication de violation, cette détection établit une base de référence pour chaque environnement de l’organisation afin de réduire les incidents B-TP.

• TP: Si vous pouvez confirmer que les activités de création n’ont pas été effectuées par un utilisateur légitime.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact. En outre, contactez l’utilisateur, confirmez ses actions légitimes, puis assurez-vous de désactiver ou de supprimer les ressources cloud compromises.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur était autorisé à effectuer ces activités de création.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission.
2. Passez en revue les ressources créées et vérifiez qu’elles sont conformes aux stratégies de votre organisation.

Alertes de persistance

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de maintenir son emprise dans votre organisation.

Activité effectuée par utilisateur résilié

L’activité effectuée par un utilisateur arrêté peut indiquer qu’un employé arrêté qui a toujours accès aux ressources de société tente d’effectuer une activité malveillante. Defender for Cloud Apps profile les utilisateurs de l’organisation et déclenche une alerte lorsqu’un utilisateur terminé effectue une activité.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’utilisateur arrêté a toujours accès à certaines ressources de société et effectue des activités.

   Action recommandée : Désactivez l’utilisateur.

2. B-TP : si vous êtes en mesure de déterminer que l’utilisateur a été temporairement désactivé ou a été supprimé et réinscrit.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Référence croisée des enregistrements RH pour confirmer que l’utilisateur est arrêté.
2. Valide l’existence du compte d’utilisateur Microsoft Entra.

   Remarque

   Si vous utilisez Microsoft Entra Connecter, validez l’objet Active Directory local et confirmez un cycle de synchronisation réussi.

3. Identifiez toutes les applications auxquelles l’utilisateur arrêté avait accès et désaffectez les comptes.
4. Mettre à jour les procédures de désaffectation.

Modification suspecte du service de journalisation CloudTrail

Activités dans une seule session indiquant qu’un utilisateur a effectué des modifications suspectes dans le service de journalisation AWS CloudTrail. Cela peut indiquer une tentative de violation de votre organisation. Lors de la désactivation de CloudTrail, les modifications opérationnelles ne sont plus journalisées. Un attaquant peut effectuer des activités malveillantes tout en évitant un événement d’audit CloudTrail, comme la modification d’un compartiment S3 d’un compartiment privé à public.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et inversez l’activité CloudTrail.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a désactivé légitimement le service CloudTrail.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission et voir qui a apporté la modification au service CloudTrail.
2. Facultatif : Créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs et leurs gestionnaires pour vérifier leur activité.

Activité suspecte de suppression d’email (par l’utilisateur)

Activités dans une seule session indiquant qu’un utilisateur a effectué des suppressions suspectes d’e-mail. Le type de suppression était le type « suppression définitive », ce qui rend l’élément de courrier électronique supprimé et non disponible dans la boîte aux lettres de l’utilisateur. La suppression a été effectuée depuis une connexion incluant des préférences inhabituelles telles que le fournisseur de services Internet (ISP), le pays/région et l’agent utilisateur. Cela peut indiquer une tentative de violation de votre organisation, comme les attaquants qui tentent de masquer les opérations en supprimant les e-mails liés aux activités de courrier indésirable.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé légitimement une règle pour supprimer des messages.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

• Examinez toute l’activité de l’utilisateur pour d’autres indicateurs de compromission tels que l’alerte Transfert de boîte de réception suspect suivie d’une alerte Voyage impossible. Rechercher :

  1. Nouvelles règles de transfert SMTP, comme suit :
     • Recherchez les noms de règles de transfert malveillantes. Les noms de règles peuvent varier de noms simples, tels que « Transférer tous les e-mails » et « Transférer automatiquement » ou des noms trompeurs, tels qu’un « à peine visible ». Les noms de règles de transfert peuvent même être vides, et le destinataire de transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées de l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
     • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
  2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».
  3. Augmentation des e-mails envoyés.

Règle suspecte de manipulation de boîte de réception

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que la suppression ou le déplacement de messages ou de dossiers de la boîte de réception d’un utilisateur, peuvent être une tentative d’exfiltrer des informations de votre organisation. De même, ils peuvent indiquer une tentative de manipulation d’informations qu’un utilisateur voit ou d’utilisation de sa boîte de réception pour distribuer du courrier indésirable, des e-mails d’hameçonnage ou des programmes malveillants. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles suspectes de manipulation de boîte de réception sont détectées dans la boîte de réception d’un utilisateur. Cela pourrait indiquer que le compte de l’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer qu’une règle de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé légitimement la règle.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toute l’activité de l’utilisateur pour d’autres indicateurs de compromission tels que l’alerte Transfert de boîte de réception suspect suivie d’une alerte Voyage impossible. Rechercher :
   • Nouvelles règles de transfert SMTP.
   • Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».
2. Collecter les informations d’adresse IP et d’emplacement de l’action.
3. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle pour détecter d’autres utilisateurs compromis.

Alertes d’élévation des privilèges

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter d’obtenir des autorisations de niveau supérieur dans votre organisation.

Activité administrative inhabituelle (par l’utilisateur)

Activités indiquant qu’un attaquant a compromis un compte utilisateur et a effectué des actions administratives qui ne sont pas courantes pour cet utilisateur. Par exemple, un attaquant peut essayer de modifier un paramètre de sécurité pour un utilisateur, une opération relativement rare pour un utilisateur commun. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un administrateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer qu’un administrateur a effectué légitimement le volume inhabituel d’activités administratives.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toute l’activité de l’utilisateur pour d’autres indicateurs de compromission tels que Transfert de boîte de réception suspect ou Voyage impossible.
2. Passez en revue d’autres modifications de configuration, telles que la création d’un compte d’utilisateur qui peut être utilisé pour la persistance.

Alertes d’accès aux identifiants

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de voler des noms de compte et des mots de passe de votre organisation.

Plusieurs tentatives de connexion infructueuses

Les tentatives de connexion échouées pourraient indiquer une tentative de violation d’un compte. Toutefois, les connexions ayant échoué peuvent également être un comportement normal. Par exemple, lorsqu’un utilisateur a entré un mot de passe incorrect par erreur. Pour obtenir une précision et déclencher des alertes uniquement lorsqu’il y a une forte indication de tentative de violation, Defender for Cloud Apps établit une base de référence des habitudes de connexion pour chaque utilisateur de l’organisation et ne déclenchera des alertes que lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

Cette politique est basée sur l’apprentissage du comportement normal de connexion d’un utilisateur. Lorsqu’un écart par rapport à la norme est détecté, une alerte est déclenchée. Si la détection commence à voir que le même comportement se poursuit, l’alerte n’est déclenchée qu’une seule fois.

1. TP (Échec MFA) : si vous êtes en mesure de confirmer que MFA fonctionne correctement, cela peut être un signe d’une tentative d’attaque par force brute.

   Actions recommandées :

   1. Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.
   2. Recherchez l’application qui a effectué les authentifications ayant échoué et reconfigurez-la.
   3. Recherchez d’autres utilisateurs connectés au moment de l’activité car ils pourraient également être compromis. Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP (échec MFA) : si vous êtes en mesure de confirmer que l’alerte est due à un problème avec MFA.

   Action recommandée : Créez un playbook à l’aide de Power Automate pour contacter l’utilisateur et vérifier s’il rencontre des problèmes avec MFA.

3. B-TP (application mal configurée) : si vous êtes en mesure de confirmer qu’une application mal configurée tente de se connecter à un service plusieurs fois avec des identifiants expirés.

   Action recommandée : ignorer l’alerte.

4. B-TP (Mot de passe changé) : Si vous pouvez confirmer qu’un utilisateur a récemment changé son mot de passe, mais que cela n’a pas impacté les informations d’identification sur les partages de réseau.

   Action recommandée : ignorer l’alerte.

5. B-TP (test de sécurité) : si vous êtes en mesure de confirmer qu’un test de sécurité ou d’intrusion est effectué par des analystes de sécurité au nom de l’organisation.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toute l’activité de l’utilisateur pour d’autres indicateurs de compromission tels que l’alerte suivie de l’une des alertes suivantes : Voyage impossible, Activité depuis une adresse IP anonyme, ou Activité depuis un pays inhabituel.
2. Passez en revue les informations d’appareil utilisateur suivantes et comparez-les aux informations connues sur l’appareil :
   • Système d’exploitation et version
   • Navigateur et version
   • Adresse IP et emplacement
3. Identifiez l’adresse IP source ou l’emplacement où la tentative d’authentification s’est produite.
4. Identifiez si l’utilisateur a récemment modifié son mot de passe et vérifiez que toutes les applications et appareils ont le mot de passe mis à jour.

Ajout inhabituel d’informations d’identification à une application OAuth

Cette détection identifie l’ajout suspect des informations d’identification privilégiées à une application OAuth. Cela peut indiquer qu’un attaquant a compromis l’application et l’utilise pour une activité malveillante.

Période d’apprentissage

L’apprentissage de l’environnement de votre organisation nécessite une période de sept jours pendant laquelle vous pouvez vous attendre à un volume élevé d’alertes.

ISP inhabituel pour une application OAuth

La détection identifie une application OAuth qui se connecte à votre application cloud à partir d’un ISP rare pour l’application. Cela pourrait indiquer qu’un attaquant a tenté d’utiliser une application légitime compromise pour effectuer des activités malveillantes sur vos applications cloud.

Période d’apprentissage

La période d’apprentissage de cette détection est de 30 jours.

TP, B-TP ou FP ?

1. TP : Si vous pouvez confirmer que l’activité n’était pas une activité légitime de l’application OAuth ou que cet ISP n’est pas utilisé par l’application OAuth légitime.

   Action recommandée : révoquez tous les jetons d’accès de l’application OAuth et examinez si un attaquant a accès à la génération de jetons d’accès OAuth.

2. FP : Si vous pouvez confirmer que l’activité a été effectuée légitimement par l’application OAuth authentique.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application OAuth.

2. Examinez si un attaquant a accès à la génération de jetons d’accès OAuth.

Alertes de collection

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de collecter des données d’intérêt pour atteindre son objectif depuis votre organisation.

Multiples activités de partage de rapports Power BI

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel d’activités de rapport de partage dans Power BI par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation de votre organisation.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimer l’accès au partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification métier pour partager ces rapports.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Regardez l’adresse IP à partir de laquelle ils se sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou votre équipe Protection des données pour comprendre les recommandations relatives au partage de rapports en interne et en externe.

Partage de rapport Power BI suspect

Activités indiquant qu’un utilisateur a partagé un rapport Power BI qui pourrait contenir des informations sensibles identifiées à l’aide du traitement du langage naturel (NLP) pour analyser les métadonnées du rapport. Le rapport a été partagé avec une adresse e-mail externe, publiée sur le web, ou un instantané a été remis à une adresse e-mail abonnée à l’extérieur. Cela peut indiquer une tentative de violation de votre organisation.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Supprimer l’accès au partage à partir de Power BI. Si vous êtes en mesure de confirmer que le compte est compromis, suspendez l’utilisateur, marquez l’utilisateur comme compromis et réinitialisez son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur avait une justification métier pour partager ces rapports.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour mieux comprendre les autres activités effectuées par l’utilisateur. Regardez l’adresse IP à partir de laquelle ils se sont connectés et les détails de l’appareil.
2. Contactez votre équipe Power BI ou votre équipe Protection des données pour comprendre les recommandations relatives au partage de rapports en interne et en externe.

Activité inhabituelle d’usurpation d’identité (par l’utilisateur)

Dans certains logiciels, il existe des options permettant aux autres utilisateurs d’emprunter l’identité d’autres utilisateurs. Par exemple, les services de courrier permettent aux utilisateurs d’autoriser d’autres utilisateurs à envoyer des e-mails en leur nom. Cette activité est couramment utilisée par les attaquants pour créer des e-mails de hameçonnage dans une tentative d’extraction d’informations sur votre organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et crée une activité lorsqu’une activité d’usurpation d’identité inhabituelle est détectée.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles ou plus d’activités que la base de référence établie.

   Action recommandée : ignorer l’alerte.

3. FP : Si vous êtes en mesure de confirmer que les applications, telles que Teams, empruntent légitimement l’identité de l’utilisateur.

   Action recommandée : passez en revue les actions et ignorez l’alerte si nécessaire.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités et alertes de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission.
2. Passez en revue les activités d’emprunt d’identité pour identifier les activités malveillantes potentielles.
3. Passez en revue la configuration de l’accès délégué.

Alertes d’exfiltration

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de voler des données de votre organisation.

Transfert de boîte de réception suspect

Activités indiquant qu’un attaquant a obtenu l’accès à la boîte de réception d’un utilisateur et a créé une règle suspecte. Les règles de manipulation, telles que le transfert de tous les courriels ou de courriels spécifiques vers un autre compte de messagerie, peuvent être une tentative d’exfiltrer des informations de votre organisation. Defender for Cloud Apps profile votre environnement et déclenche des alertes lorsque des règles suspectes de manipulation de boîte de réception sont détectées dans la boîte de réception d’un utilisateur. Cela pourrait indiquer que le compte de l’utilisateur est compromis.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer qu’une règle de transfert de boîte de réception malveillante a été créée et que le compte a été compromis.

   Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et supprimez la règle de transfert.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a créé une règle de transfert dans un compte e-mail externe nouveau ou personnel pour des raisons légitimes.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte suivie d’une alerte Voyage impossible. Rechercher :

   1. Nouvelles règles de transfert SMTP, comme suit :
      • Recherchez les noms de règles de transfert malveillantes. Les noms de règles peuvent varier de noms simples, tels que « Transférer tous les e-mails » et « Transférer automatiquement » ou des noms trompeurs, tels qu’un « à peine visible ». Les noms de règles de transfert peuvent même être vides, et le destinataire de transfert peut être un seul compte de messagerie ou une liste entière. Les règles malveillantes peuvent également être masquées de l’interface utilisateur. Une fois détecté, vous pouvez utiliser ce billet de blog utile sur la suppression des règles masquées des boîtes aux lettres.
      • Si vous détectez une règle de transfert non reconnue vers une adresse e-mail interne ou externe inconnue, vous pouvez supposer que le compte de boîte de réception a été compromis.
   2. Nouvelles règles de boîte de réception, telles que « supprimer tout », « déplacer des messages vers un autre dossier » ou celles avec des conventions d’affectation de noms obscures, par exemple « ... ».

2. Passez en revue les activités effectuées à partir de l’adresse IP utilisée pour créer la règle pour détecter d’autres utilisateurs compromis.

3. Passez en revue la liste des messages transférés à l’aide du suivi des messages Exchange Online.

Téléchargement de fichiers inhabituel (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel de téléchargements de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur l’organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités de téléchargement de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

3. FP (synchronisation logicielle) : si vous êtes en mesure de confirmer que le logiciel, tel que OneDrive, est synchronisé avec une sauvegarde externe qui a provoqué l’alerte.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de téléchargement et créez une liste de fichiers téléchargés.
2. Passez en revue la sensibilité des fichiers téléchargés avec le propriétaire de la ressource et validez le niveau d’accès.

Accès inhabituel aux fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’accès dans SharePoint ou OneDrive à des fichiers qui contiennent des données financières ou des données réseau par rapport à la base de référence apprise. Cela peut indiquer une tentative d’information sur l’organisation, que ce soit à des fins financières ou pour l’accès aux identifiants et le mouvement latéral. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

La période d’apprentissage dépend de l’activité de l’utilisateur. En règle générale, la période d’apprentissage est comprise entre 21 et 45 jours pour la plupart des utilisateurs.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous pouvez confirmer que l’utilisateur a effectué légitimement plus d’activités d’accès à des fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités d’accès et créez une liste de fichiers consultés.
2. Passez en revue la sensibilité des fichiers consultés avec le propriétaire de ressource et validez le niveau d’accès.

Activité inhabituelle de partage de fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué un nombre inhabituel d’actions de partage de fichiers à partir d’une plateforme de stockage cloud par rapport à la base de référence apprise. Cela peut indiquer une tentative d’obtenir des informations sur l’organisation. Defender for Cloud Apps crée une base de référence basée sur le comportement de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de partage de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de partage et créez une liste de fichiers partagés.
2. Passez en revue la sensibilité des fichiers partagés avec le propriétaire de ressource et validez le niveau d’accès.
3. Créez une stratégie de fichier pour des documents similaires afin de détecter le partage futur de fichiers sensibles.

Alertes d’impact

Cette section décrit les alertes indiquant qu’un acteur malveillant pourrait tenter de manipuler, interrompre ou détruire vos systèmes et données dans votre organisation.

Plusieurs activités de suppression de machine virtuelle

Activités dans une seule session indiquant qu’un utilisateur a effectué un nombre inhabituel de suppressions de machine virtuelle par rapport à la base de référence apprise. Plusieurs suppressions d’ordinateurs virtuels peuvent indiquer une tentative de perturbation ou de destruction d’un environnement. Toutefois, il existe de nombreux scénarios normaux où les machines virtuelles sont supprimées.

TP, B-TP ou FP ?

Pour améliorer la précision et déclencher des alertes uniquement lorsqu’il y a une forte indication de violation, cette détection établit une base de référence pour chaque environnement de l’organisation afin de réduire les incidents B-TP et ne déclenche des alertes que lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

• TP : Si vous êtes en mesure de confirmer que les suppressions n’étaient pas autorisées.

  Action recommandée : suspendez l’utilisateur, réinitialisez son mot de passe et analysez tous les appareils pour détecter les menaces malveillantes. Passez en revue toutes les activités de l’utilisateur pour obtenir d’autres indicateurs de compromission et explorez l’étendue de l’impact.

• B-TP : Si, après votre enquête, vous pouvez confirmer que l’administrateur était autorisé à effectuer ces activités de suppression.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Contactez l’utilisateur et confirmez l’activité.
2. Passez en revue toutes les activités de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission, tels que l’alerte, suivi de l’une des alertes suivantes : Voyage impossible, Activité depuis une adresse IP anonyme ou Activité provenant d’un pays peu fréquent.

Activité de rançongiciel

Un rançongiciel est une cyberattaque dans laquelle un attaquant verrouille les victimes de leurs appareils ou les empêche d’accéder à leurs fichiers jusqu’à ce que la victime paie une rançon. Les rançongiciels peuvent être répartis par un fichier partagé malveillant ou un réseau compromis. Defender for Cloud Apps utilise l’expertise en recherche de sécurité, la veille des menaces et les modèles comportementaux appris pour identifier l’activité des rançongiciels. Par exemple, un taux élevé de téléchargements de fichiers ou de suppressions de fichiers peut représenter un processus de cryptage qui est courant parmi les opérations de ransomware.

Cette détection établit une base de référence des modèles de travail normaux de chaque utilisateur de votre organisation, par exemple quand l’utilisateur accède au cloud et ce qu’il fait généralement dans le cloud.

Les stratégies de détection des menaces automatisées de Defender for Cloud Apps commencent à s’exécuter en arrière-plan à partir du moment où vous vous connectez. À l’aide de notre expertise en recherche de sécurité pour identifier les modèles comportementaux qui reflètent l’activité des rançongiciels dans notre organisation, Defender for Cloud Apps offre une couverture complète contre les attaques de rançongiciel sophistiquées.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous pouvez confirmer que l’activité n’a pas été effectuée par l’utilisateur.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP (comportement inhabituel) : l’utilisateur a effectué légitimement plusieurs activités de suppression et de chargement de fichiers similaires pendant une courte période.

   Action recommandée : Après avoir examiné le journal d’activité et confirmé que les extensions de fichiers ne sont pas suspectes, rejetez l’alerte.

3. FP (Extension de fichier de ransomware commun) : Si vous pouvez confirmer que les extensions des fichiers affectés correspondent à une extension de ransomware connue.

   Action recommandée : contactez l’utilisateur et confirmez que les fichiers sont sécurisés, puis ignorez l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue le journal d’activité pour obtenir d’autres indicateurs de compromission, tels que le téléchargement en masse des fichiers ou leur suppression en masse.
2. Si vous utilisez Microsoft Defender for Endpoint, passez en revue les alertes d’ordinateur de l’utilisateur pour voir si des fichiers malveillants ont été détectés.
3. Recherchez dans le journal d’activité les activités de chargement et de partage de fichiers malveillants.

Activités inhabituelles de suppression de fichiers (par l’utilisateur)

Activités indiquant qu’un utilisateur a effectué une activité inhabituelle de suppression de fichiers par rapport à la base de référence apprise. Cela peut indiquer une attaque par rançongiciel. Par exemple, un attaquant peut chiffrer les fichiers d’un utilisateur et supprimer tous les fichiers d’origine, en laissant uniquement les versions chiffrées qui peuvent être utilisées pour forcer la victime à payer une rançon. Defender for Cloud Apps crée une base de référence basée sur le comportement normal de l’utilisateur et déclenche une alerte lorsque le comportement inhabituel est détecté.

Période d’apprentissage

Établir le modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour les nouveaux emplacements.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. FP : Si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement plus d’activités de suppression de fichiers que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les activités de suppression et créez une liste de fichiers supprimés. Si nécessaire, récupérez les fichiers supprimés.
2. De manière facultative, créez un guide opérationnel à l’aide de Power Automate pour contacter les utilisateurs et leurs gestionnaires pour vérifier l’activité.

Le score de priorité d’investigation a augmenté (préversion)

Les activités anormales et les activités déclenchées reçoivent des scores en fonction de la gravité, de l’impact utilisateur et de l’analyse comportementale de l’utilisateur. L’analyse est effectuée en fonction d’autres utilisateurs dans les clients.

En cas d’augmentation significative et anormale du score de priorité d’investigation d’un utilisateur donné, l’alerte est déclenchée.

Cette alerte permet de détecter les violations potentielles caractérisées par les activités qui ne déclenchent pas nécessairement des alertes spécifiques, mais s’accumulent à un comportement suspect pour l’utilisateur.

Période d’apprentissage

L’établissement d’un modèle d’activité d’un nouvel utilisateur nécessite une période d’apprentissage initiale de sept jours pendant laquelle les alertes ne sont pas déclenchées pour toute augmentation de score.

TP, B-TP ou FP ?

1. TP : Si vous êtes en mesure de confirmer que les activités de l’utilisateur ne sont pas légitimes.

   Action recommandée : Suspendre l’utilisateur, marquer l’utilisateur comme compromis et réinitialiser son mot de passe.

2. B-TP : Si vous êtes en mesure de confirmer que l’utilisateur a effectivement considérablement dévié du comportement habituel, mais qu’il n’y a pas de violation potentielle.

3. FP (comportement inhabituel) : si vous êtes en mesure de confirmer que l’utilisateur a effectué légitimement les activités inhabituelles ou plus d’activités que la base de référence établie.

   Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités et alertes de l’utilisateur pour obtenir des indicateurs supplémentaires de compromission.

Chronologie de dépréciation

Nous supprimons progressivement l’alerte Augmentation du score de priorité d’enquête de Microsoft Defender for Cloud Apps pour août 2024.

Après une analyse et une réflexion approfondies, nous avons décidé de la supprimer en raison du taux élevé de faux positifs associés à cette alerte, qui, selon nous, ne contribuait pas efficacement à la sécurité globale de votre organisation.

Nos recherches ont démontré que cette fonctionnalité n’ajoutait pas une valeur significative et n’était pas alignée sur notre objectif stratégique de fournir des solutions de sécurité fiables et de haute qualité.

Nous nous engageons à améliorer continuellement nos services et à nous assurer qu’ils répondent à vos besoins et attentes.

Pour ceux qui souhaitent continuer d’utiliser cette alerte, nous vous suggérons de plutôt utiliser la requête de repérage avancée suivante comme modèle suggéré. Modifiez la requête en fonction de vos besoins.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Voir aussi

Enquêter sur les utilisateurs à risque