Partager via


Comprendre les concepts de veille des menaces

S’applique à :

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Plusieurs événements malveillants complexes, attributs et informations contextuelles comprennent des attaques de cybersécurité avancées. L’identification et le choix des activités considérées comme suspectes peuvent être une tâche difficile. Votre connaissance des attributs connus et des activités anormales propres à votre secteur d’activité est fondamentale pour savoir quand qualifier un comportement observé de suspect.

Avec Microsoft Defender XDR, vous pouvez créer des alertes de menace personnalisées qui peuvent vous aider à suivre les activités d’attaque possibles dans votre organization. Vous pouvez signaler des événements suspects pour rassembler des indices et éventuellement arrêter une chaîne d’attaque. Ces alertes de menace personnalisées s’affichent uniquement dans votre organization et marquent les événements que vous définissez pour le suivi.

Avant de créer des alertes de menace personnalisées, il est important de connaître les concepts qui sous-tendent les définitions d’alerte et les indicateurs de compromission (ICS) et la relation entre eux.

Définitions d’alerte

Les définitions d’alerte sont des attributs contextuels qui peuvent être utilisés collectivement pour identifier les premiers indices sur une éventuelle attaque de cybersécurité. Ces indicateurs sont généralement une combinaison d’activités, de caractéristiques et d’actions effectuées par un attaquant pour atteindre l’objectif d’une attaque. La surveillance de ces combinaisons d’attributs est essentielle pour obtenir un point de vue par rapport aux attaques et éventuellement interférer avec la chaîne d’événements avant que l’objectif d’un attaquant ne soit atteint.

Indicateurs de compromission (IOC)

Les E/S sont des événements malveillants connus individuellement qui indiquent qu’un réseau ou un appareil a déjà été violé. Contrairement aux définitions d’alerte, ces indicateurs sont considérés comme des preuves d’une violation. Ils sont souvent vus après qu’une attaque a déjà été menée et que l’objectif a été atteint, comme l’exfiltration. Le suivi des ICS est également important pendant les enquêtes judiciaires. Bien qu’il puisse ne pas être en mesure d’intervenir avec une chaîne d’attaque, la collecte de ces indicateurs peut être utile pour créer de meilleures défenses pour d’éventuelles attaques futures.

Relation entre les définitions d’alerte et les ICS

Dans le contexte de Microsoft Defender XDR et de Microsoft Defender pour point de terminaison, les définitions d’alerte sont des conteneurs pour les E/S et définissent l’alerte, y compris les métadonnées déclenchées pour une correspondance CIO spécifique. Diverses métadonnées sont fournies dans le cadre des définitions d’alerte. Des métadonnées telles que le nom de définition d’alerte de l’attaque, la gravité et la description sont fournies, ainsi que d’autres options.

Chaque IOC définit la logique de détection concrète en fonction de son type, de sa valeur et de son action, qui détermine la façon dont elle est mise en correspondance. Il est lié à une définition d’alerte spécifique qui définit la façon dont une détection est affichée en tant qu’alerte sur la console Microsoft Defender XDR.

Voici un exemple de CIO :

  • Type : Sha1
  • Valeur : 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Action : égal à

Les E/S ont une relation plusieurs-à-un avec des définitions d’alerte, de sorte qu’une définition d’alerte peut avoir plusieurs E/S qui lui correspondent.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.