Tutoriel : Détection des activités suspectes des analytiques comportementales (UEBA)

  • Article

Microsoft Defender for Cloud Apps fournit des détections de classe optimales sur la chaîne de destruction d’attaques pour les utilisateurs compromis, les menaces internes, l’exfiltration, les rançongiciels, etc. Notre solution complète est obtenue en combinant plusieurs méthodes de détection, notamment des anomalies, des analyses comportementales (UEBA) et des détections d’activités basées sur des règles, pour fournir une vue d’ensemble de la façon dont vos utilisateurs utilisent des applications dans votre environnement.

Pourquoi est-il important de détecter le comportement suspect ? L’impact d’un utilisateur capable de modifier votre environnement cloud peut être significatif et avoir un effet direct sur votre capacité à faire fonctionner votre entreprise. Par exemple, les ressources d’entreprise clés telles que les serveurs exécutant votre site Web public ou le service que vous fournissez aux clients peuvent être compromises.

À l’aide de données capturées à partir de plusieurs sources, Defender for Cloud Apps analyse les données afin d’extraire les activités des applications et des utilisateurs dans votre organisation, ce qui donne à vos analystes de sécurité une visibilité sur l’utilisation du cloud. Les données collectées sont corrélées, standardisées et enrichies avec la veille des menaces, l’emplacement et de nombreuses autres informations pour fournir une vue précise et cohérente des activités suspectes.

Par conséquent, pour tirer pleinement parti de ces détections, commencez par vous assurer de configurer les sources suivantes :

Vous allez ensuite passer au réglage de vos stratégies. Les stratégies suivantes peuvent être ajustées en définissant des filtres, des seuils dynamiques (UEBA) pour vous aider à entraîner leurs modèles de détection et des suppressions pour réduire les détections de faux positifs courantes :

  • Détection des anomalies
  • Détection d’anomalie de Cloud Discovery
  • Détection d’activité basée sur des règles

Dans ce tutoriel, vous apprendrez comment régler les détections d’activité des utilisateurs afin d’identifier les véritables compromissions et de réduire la fatigue des alertes résultant de la gestion de grands volumes de détections de faux positifs :

Phase 1 : Configurer des plages d’adresses IP

Avant de configurer des stratégies individuelles, il est conseillé de configurer des plages d’adresses IP afin qu’elles soient disponibles pour être utilisées dans le réglage précis de n’importe quel type de stratégies de détection d’activité utilisateur suspectes.

Étant donné que les informations d’adresse IP sont cruciales pour presque toutes les enquêtes, la configuration des adresses IP connues aide nos algorithmes d’apprentissage automatique à identifier les emplacements connus et à les considérer comme faisant partie des modèles Machine Learning. Par exemple, l’ajout de la plage d’adresses IP de votre VPN permet au modèle de classer correctement cette plage d’adresses IP et de l’exclure automatiquement des détections de voyage impossibles, car l’emplacement VPN ne représente pas le véritable emplacement de cet utilisateur.

Remarque : Les plages d’adresses IP configurées ne sont pas limitées aux détections et sont utilisées dans Defender for Cloud Apps dans des domaines tels que les activités dans le journal d’activité, l’accès conditionnel, etc. Gardez cela à l’esprit lors de la configuration des plages. Par exemple, l’identification de vos adresses IP de bureau physique vous permet de personnaliser la façon dont les journaux et les alertes sont affichés et examinés.

Passer en revue les alertes de détection d’anomalies prêtes à l’emploi

Defender for Cloud Apps inclut un ensemble d’alertes de détection d’anomalies pour identifier différents scénarios de sécurité. Ces détections sont automatiquement activées de base et commencent à profiler l’activité de l’utilisateur et à générer des alertes dès que les connecteurs d’application appropriés sont connectés.

Commencez par vous familiariser avec les différentes stratégies de détection, hiérarchiser les principaux scénarios que vous pensez être les plus pertinents pour votre organisation et ajuster les stratégies en conséquence.

Phase 2 : Paramétrer des stratégies de détection d’anomalie

Plusieurs stratégies de détection d’anomalies prédéfinies sont disponibles dans Defender for Cloud Apps préconfigurées pour les cas d’usage de sécurité courants. Il est conseillé de prendre du temps pour vous familiariser avec les détections les plus populaires, telles que :

  • Voyage impossible
    Activités provenant du même utilisateur dans différents emplacements dans une période plus courte que le temps de déplacement prévu entre les deux emplacements.
  • Activité à partir de pays peu fréquents
    Une activité s’est produite à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par l’utilisateur.
  • Détection de programme malveillant
    Analyse les fichiers de vos applications cloud et exécute les fichiers suspects via le moteur de veille des menaces Microsoft pour déterminer s’ils sont associés à des programmes malveillants connus.
  • Activité de ransomware
    Chargements de fichier vers le cloud susceptibles d’être infectés par un rançongiciel.
  • Activité à partir d’adresses IP suspectes
    Activité à partir d’une adresse IP qui a été identifiée comme à risque par la Veille des menaces Microsoft.
  • Transfert de boîte de réception suspect
    Détecte les règles de transfert de boîte de réception suspect définies sur la boîte de réception d’un utilisateur.
  • Plusieurs activités inhabituelles de téléchargement de fichiers
    Détecte plusieurs activités de téléchargement de fichier dans une seule session en prenant en compte la base de référence apprise, ce qui peut indiquer une tentative de violation.
  • Activités administratives inhabituelles
    Détecte plusieurs activités administratives dans une seule session en prenant en compte la base de référence apprise, ce qui peut indiquer une tentative de violation.

Pour obtenir une liste complète des détections et de ce qu’elles font, consultez Stratégies de détection des anomalies.

Remarque

Bien que certaines des détections d’anomalies soient principalement axées sur la détection de scénarios de sécurité problématiques, d’autres peuvent aider à identifier et à examiner le comportement anormal de l’utilisateur qui peut ne pas nécessairement indiquer une compromission. Pour ces détections, nous avons créé un autre type de données appelé « comportements » qui est disponible dans l’expérience de repérage avancé de Microsoft Defender XDR. Pour en savoir plus, voir Comportements.

Une fois que vous connaissez les stratégies, vous devez prendre en compte la façon dont vous souhaitez les ajuster aux exigences spécifiques de votre organisation pour mieux cibler les activités que vous souhaiterez peut-être examiner plus en détail.

  1. Stratégies d’étendue pour des utilisateurs ou des groupes spécifiques

    Les stratégies d’étendue pour des utilisateurs spécifiques peuvent aider à réduire le bruit des alertes qui ne sont pas pertinentes pour votre organisation. Chaque stratégie peut être configurée pour inclure ou exclure des utilisateurs et des groupes spécifiques, comme dans les exemples suivants :

    • Simulateur d’attaques
      De nombreuses organisations utilisent un utilisateur ou un groupe pour simuler constamment des attaques. Évidemment, il n’est pas judicieux de recevoir constamment des alertes des activités de ces utilisateurs. Par conséquent, vous pouvez configurer vos stratégies pour exclure ces utilisateurs ou groupes. Cela permet également aux modèles Machine Learning d’identifier ces utilisateurs et d’affiner leurs seuils dynamiques en conséquence.
    • Détections ciblées
      Votre organisation peut être intéressée par l’examen d’un groupe spécifique d’utilisateurs VIP tels que des membres d’un groupe d’administrateurs ou d’un groupe CXO. Dans ce scénario, vous pouvez créer une stratégie pour les activités que vous souhaitez détecter et choisir d’inclure uniquement l’ensemble des utilisateurs ou groupes qui vous intéressent.

  2. Réglage des détections de connexion anormale

    Certaines organisations souhaitent voir les alertes résultant des activités de connexion ayant échoué, car elles peuvent indiquer qu’une personne tente de cibler un ou plusieurs comptes d’utilisateur. En revanche, les attaques par force brute sur les comptes d’utilisateur se produisent tout le temps dans le cloud et les organisations n’ont aucun moyen de les empêcher. Par conséquent, les grandes organisations décident généralement de recevoir uniquement des alertes pour les activités de connexion suspectes qui aboutissent à des activités de connexion réussies, car elles peuvent représenter de véritables compromissions.

    L’usurpation d’identité est une source clé de compromission et constitue un vecteur de menace majeur pour votre organisation. Nos alertes de détection de déplacement impossible, activité provenant d’adresses IP suspectes et détections de pays/régions peut fréquents vous aident à découvrir les activités qui suggèrent qu’un compte est potentiellement compromis.

  3. Paramétrez la sensibilité du voyage impossibleConfigurez le curseur de sensibilité qui détermine le niveau de suppression appliqué au comportement anormal avant de déclencher une alerte de voyage impossible. Par exemple, les organisations qui s’intéressent à une haute fidélité doivent envisager d’augmenter le niveau de confidentialité. En revanche, si votre organisation a de nombreux utilisateurs qui voyagent, envisagez de réduire le niveau de confidentialité pour supprimer les activités des emplacements courants d’un utilisateur appris à partir des activités précédentes. Vous disposez des choix de niveau de confidentialité suivants :

    • Faible : Suppressions du système, du locataire et des utilisateurs
    • Moyen : suppressions système et utilisateur
    • Élevé : uniquement les suppressions système

    Où :

    Type de suppression Description
    Système Détections prédéfinies qui sont toujours supprimées.
    Locataire Activités courantes basées sur l’activité précédente dans le client. Par exemple, la suppression d’activités d’un ISP précédemment alerté au sein de votre organisation.
    Utilisateur Activités courantes basées sur l’activité précédente d’un utilisateur spécifique. Par exemple, la suppression d’activités à partir d’un emplacement couramment utilisé par l’utilisateur.

Phase 3 : Ajuster les stratégies de détection des anomalies Cloud Discovery

Comme pour les stratégies de détection des anomalies, il existe plusieurs stratégies de détection des anomalies cloud discovery prédéfinies que vous pouvez ajuster. Par exemple, la stratégie d’exfiltration de données vers des applications non approuvées vous avertit lorsque les données sont exfiltrées vers une application non approuvée et est préconfigurée avec des paramètres basés sur l’expérience Microsoft dans le champ de sécurité.

Toutefois, vous pouvez affiner les stratégies prédéfinies ou créer vos propres stratégies pour vous aider à identifier d’autres scénarios que vous souhaiterez peut-être examiner. Étant donné que ces stratégies sont basées sur des journaux de découverte cloud, elles disposent de différentes fonctions de réglage plus axées sur le comportement anormal des applications et l’exfiltration des données.

  1. Régler la surveillance de l’utilisation
    Définissez les filtres d’utilisation pour contrôler la période de référence, d’étendue et d’activité afin de détecter tout comportement anormal. Par exemple, vous souhaiterez peut-être recevoir des alertes pour les activités anormales relatives aux cadres.

  2. Ajuster la sensibilité des alertes
    Pour éviter la fatigue liée aux alertes, configurez la sensibilité des alertes. Vous pouvez utiliser le curseur de sensibilité pour contrôler le nombre d’alertes à haut risque envoyées par 1 000 utilisateurs par semaine. Les sensibilités plus élevées nécessitent moins de variance pour être considérées comme une anomalie et générer plus d’alertes. En général, définissez une faible sensibilité pour les utilisateurs qui n’ont pas accès aux données confidentielles.

Phase 4 : Régler les stratégies de détection basée sur des règles (activité)

Les stratégies de détection basées sur des règles vous permettent de compléter les stratégies de détection d’anomalies par des exigences spécifiques à l’organisation. Nous vous recommandons de créer des stratégies basées sur des règles à l’aide de l’un de nos modèles de stratégie d’activité (accédez aux modèles>de contrôle et définissez le type de filtre sur stratégie d’activité), puis de les configurer de manière à détecter les comportements qui ne sont pas normaux pour votre environnement. Par exemple, pour certaines organisations qui n’ont pas de présence dans un pays ou une région en particulier, il peut être judicieux de créer une stratégie qui détecte les activités anormales de ce pays/région et qui les alerte. Pour d’autres, qui ont de grandes branches dans ce pays/région, les activités de ce pays/région seraient normales et il n’aurait pas d’intérêt à détecter ces activités.

  1. Ajuster le volume d’activité
    Choisissez le volume d’activité requis avant que la détection déclenche une alerte. Partant de notre exemple de pays/région, si vous n’avez pas de présence dans un pays ou une région, même une seule activité est importante et justifie une alerte. Toutefois, une défaillance de connexion unique peut venir d’une erreur humaine et ne peut présenter d’intérêt que s’il y a de nombreux échecs dans une courte période.
  2. Ajuster les filtres d’activité
    Définissez les filtres dont vous avez besoin pour détecter le type d’activité sur lequel vous souhaitez alerter. Par exemple, pour détecter l’activité à partir d’un pays/région, utilisez le paramètre Emplacement.
  3. Ajustez les alertes
    Pour éviter la fatigue liée aux alertes, définissez la limite d’alerte quotidienne.

Phase 5 : configurer des alertes

Remarque

Depuis le 15 décembre 2022, les alertes/SMS (SMS) sont déconseillés. Si vous souhaitez recevoir des alertes textuelles, vous devez utiliser Microsoft Power Automate pour l’automatisation des alertes personnalisées. Pour plus d’informations, consultez Intégrer à Microsoft Power Automate pour l’automatisation des alertes personnalisées.

Vous pouvez choisir de recevoir des alertes au format et au moyen qui conviennent le mieux à vos besoins. Pour recevoir des alertes immédiates à tout moment de la journée, vous pouvez préférer les recevoir par e-mail.

Vous souhaiterez peut-être également pouvoir analyser les alertes dans le contexte d’autres alertes déclenchées par d’autres produits de votre organisation pour vous donner une vue holistique d’une menace potentielle. Par exemple, vous souhaiterez peut-être mettre en corrélation les événements basés sur le cloud et les événements locaux pour voir s’il existe d’autres preuves d’atténuation susceptibles de confirmer une attaque.

En outre, vous pouvez également déclencher une automatisation des alertes personnalisées à l’aide de notre intégration à Microsoft Power Automate. Par exemple, vous pouvez configurer un guide opérationnel automatiquement, créer un problème dans ServiceNow ou envoyer un e-mail d’approbation pour exécuter une action de gouvernance personnalisée lorsqu’une alerte est déclenchée.

Appuyez-vous sur les indications suivantes pour configurer vos alertes :

  1. E-mail
    Choisissez cette option pour recevoir des alertes par e-mail.
  2. SIEM
    Il existe plusieurs options d’intégration SIEM, notamment Microsoft Sentinel, l’API Microsoft Graph Security et d’autres SIEM génériques. Choisissez l’intégration qui correspond le mieux à vos besoins.
  3. Automatisation de Power Automate
    Créez les guides opérationnels d’automatisation dont vous avez besoin et définissez-les en tant qu’alerte de la stratégie sur l’action Power Automate.

Phase 6 : examiner et corriger

Bien. Vous avez configuré vos stratégies et vous commencez à recevoir des alertes d’activités suspectes. Que devez-vous faire à ce sujet ? Pour commencer, vous devez prendre des mesures pour examiner l’activité. Par exemple, vous souhaiterez peut-être examiner les activités qui indiquent qu’un utilisateur a été compromis.

Pour optimiser votre protection, vous devez envisager de configurer des actions de correction automatiques pour réduire le risque pour votre organisation. Nos stratégies vous permettent d’appliquer des actions de gouvernance conjointement aux alertes afin que le risque pour votre organisation soit réduit même avant de commencer tout examen. Les actions disponibles sont déterminées par le type de stratégie, notamment les actions telles que la suspension d’un utilisateur ou le blocage de l’accès à la ressource demandée.

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.

En savoir plus