Recommandations pour la surveillance et la détection des menaces
S’applique à cette recommandation de liste de contrôle Sécurité Power Platform Well-Architected :
| SE:08 | Mettez en œuvre une stratégie de surveillance globale qui repose sur des mécanismes modernes de détection des menaces qui peuvent être intégrés à la plateforme. Les mécanismes doivent alerter de manière fiable pour le tri et envoyer des signaux aux processus SecOps existants. |
|---|
Ce guide décrit les recommandations en matière de surveillance et de détection des menaces. La surveillance est fondamentalement un processus permettant d’obtenir des informations sur des événements qui se sont déjà produits. La surveillance de la sécurité est une pratique consistant à capturer des informations à différentes altitudes de la charge de travail (identité, flux, application, opérations) pour prendre conscience des activités suspectes. L’objectif est de prédire les incidents et de tirer les leçons des événements passés. Les données de surveillance constituent la base de l’analyse post-incident de ce qui s’est produit pour faciliter la réponse aux incidents et les enquêtes médico-légales.
La surveillance est une approche d’excellence opérationnelle appliquée à tous les piliers Power Platform bien architecturés. Ce guide fournit des recommandations uniquement du point de vue de la sécurité. Les concepts généraux de surveillance sont traités dans les Recommandations pour la conception et la création d’un système de surveillance.
Définitions
| Terme | Définition |
|---|---|
| Journaux d’audit | Enregistrement des activités d'un Système. |
| Informations de sécurité et gestion d'événements (SEM) | Une approche qui utilise des capacités intégrées de détection des menaces et de renseignement basées sur des données agrégées provenant de plusieurs sources. |
| Détection de menaces | Une stratégie pour détecter les écarts par rapport aux actions attendues en utilisant des données collectées, analysées et corrélées. |
| Renseignement sur les menaces | Une stratégie d’interprétation des données de détection des menaces pour détecter les activités ou menaces suspectes en examinant les modèles. |
| Prévention des menaces | Contrôles de sécurité placés dans une charge de travail à différentes altitudes pour protéger ses actifs. |
Stratégies de conception clés
L’objectif principal de la surveillance de la sécurité est la détection des menaces. L’objectif principal est de prévenir les failles de sécurité potentielles et de maintenir un environnement sécurisé. Toutefois, il est tout aussi important de reconnaître que toutes les menaces ne peuvent pas être bloquées de manière préventive. Dans de tels cas, la surveillance sert également de mécanisme permettant d’identifier la cause d’un incident de sécurité survenu malgré les efforts de prévention.
Le suivi peut être abordé sous différents angles :
Surveiller à différentes altitudes. L’observation depuis différentes altitudes est le processus d’obtention d’informations sur les flux d’utilisateurs, l’accès aux données, l’identité, la mise en réseau et même le système d’exploitation. Chacun de ces domaines offre des informations uniques qui peuvent vous aider à identifier les écarts par rapport aux comportements attendus établis par rapport à la référence de sécurité. À l’inverse, la surveillance continue d’un système et d’applications au fil du temps peut aider à établir cette posture de référence. Par exemple, vous pouvez généralement constater environ 1 000 tentatives de connexion dans votre système d’identité toutes les heures. Si votre surveillance détecte un pic de 50 000 tentatives de connexion sur une courte période, un attaquant pourrait tenter d’accéder à votre système.
Surveiller à différentes portées d’impact. Il est essentiel d’ observer l’application et la plateforme. Supposons qu’un utilisateur d’application obtienne accidentellement des privilèges élevés ou qu’une faille de sécurité se produise. Si l’utilisateur effectue des actions au-delà de sa portée désignée, l’impact peut être limité aux actions que d’autres utilisateurs peuvent effectuer.
Toutefois, si une entité interne compromet une base de données, l’étendue des dommages potentiels est incertaine.
Le rayon de l’explosion ou la portée de l’impact pourraient être considérablement différents, selon le scénario qui se produit.
Utilisez des outils de surveillance spécialisés. Il est essentiel d’investir dans outils spécialisés qui peut rechercher en permanence un comportement anormal pouvant indiquer une attaque. La plupart de ces outils ont capacités de renseignement sur les menaces qui peut effectuer une analyse prédictive basée sur un grand volume de données et de menaces connues. La plupart des outils ne sont pas apatrides et intègrent une compréhension approfondie de la télémétrie dans un contexte de sécurité.
Les outils doivent être intégrés à la plateforme ou au moins conscients de celle-ci pour obtenir des signaux profonds de la plateforme et faire des prédictions avec une haute fidélité. Ils doivent être capables de générer des alertes en temps opportun avec suffisamment d’informations pour effectuer un tri approprié. Utiliser trop d’outils divers peut conduire à de la complexité.
Utilisez la surveillance pour la réponse aux incidents. Des données agrégées, transformées en intelligence exploitable, permet des réactions rapides et efficaces aux incidents. Surveillance aide aux activités post-incident. L’objectif est de collecter suffisamment de données pour analyser et comprendre ce qui s’est passé. Le processus de surveillance capture des informations sur les événements passés pour améliorer les capacités réactives et potentiellement prédire les incidents futurs.
Les sections suivantes fournissent des pratiques recommandées qui intègrent les perspectives de surveillance précédentes.
Capturez des données pour garder une trace des activités
L’objectif est de maintenir un piste d’audit complète d’événements importants du point de vue de la sécurité. La journalisation est le moyen le plus courant de capturer les modèles d’accès. La journalisation doit être effectuée pour l’application et la plateforme.
Pour une piste d’audit, vous devez établir le quoi, quand, et qui qui est associé aux actions. Vous devez identifier les délais spécifiques pendant lesquels les actions sont effectuées. Faites cette évaluation dans votre modélisation des menaces. Pour contrecarrer une menace de répudiation, vous devez établir des systèmes de journalisation et d’audit solides qui aboutissent à un enregistrement des activités et des transactions.
Les sections suivantes décrivent des cas d’utilisation pour certaines altitudes courantes d’une charge de travail.
Flux d’utilisateurs de charge de travail
Votre charge de travail doit être conçue pour fournir une visibilité d’exécution lorsque des événements se produisent. Identifiez les points critiques de votre charge de travail et établissez une journalisation pour ces points. Il est important de reconnaître toute élévation des privilèges de l’utilisateur, les actions effectuées par l’utilisateur et si l’utilisateur a accédé à des informations sensibles de manière sécurisée magasin de données. Gardez une trace des activités de l’utilisateur et de la session utilisateur.
Pour faciliter ce suivi, le code doit être instrumenté via une journalisation structurée. Cela permet une interrogation et un filtrage faciles et uniformes des journaux.
Important
Vous devez appliquer une journalisation responsable pour maintenir la confidentialité et l’intégrité de votre système. Les secrets et les données sensibles ne doivent pas apparaître dans les journaux. Soyez conscient des fuites de données personnelles et des autres exigences de conformité lorsque vous capturez ces données de journal.
Surveillance identité et accès
Tenir à jour un enregistrement complet des modèles d’accès à l’application et des modifications apportées aux ressources de la plateforme. Disposez de journaux d’activité robustes et de mécanismes de détection des menaces, en particulier pour les activités liées à l’identité, car les attaquants tentent souvent de manipuler les identités pour obtenir un accès non autorisé.
Mettez en œuvre une journalisation complète en en utilisant tous les points de données disponibles. Par exemple, incluez l’adresse IP du client pour faire la différence entre l’activité régulière des utilisateurs et les menaces potentielles provenant d’emplacements inattendus. Tous les événements de journalisation doivent être horodatés par le serveur.
Enregistrez toutes les activités d’accès aux ressources, en indiquant qui fait quoi et quand. Les instances d’élévation de privilèges constituent un point de données important qui doit être enregistré. Les actions liées à la création ou à la suppression de compte par l’application doivent également être enregistrées. Cette recommandation s’étend aux secrets d’application. Surveillez qui accède aux secrets et quand ils sont alternés.
Bien qu’il soit important de consigner les actions réussies, l’enregistrement des échecs est nécessaire du point de vue de la sécurité. Documentez toutes les violations, comme un utilisateur tentant une action mais rencontrant un échec d’autorisation, des tentatives d’accès à des ressources inexistantes et d’autres actions qui semblent suspectes.
Surveillance du réseau
Votre conception de segmentation doit permettre aux points d’observation aux limites de surveiller ce qui les traverse et d’enregistrer ces données. Par exemple, surveillez les sous-réseaux dotés de groupes de sécurité réseau qui génèrent des journaux de flux. Surveillez également les journaux du pare-feu qui affichent les flux autorisés ou refusés.
Il existe des journaux d’accès pour les demandes de connexion entrantes. Ces journaux enregistrent les adresses IP sources qui lancent les requêtes, le type de requête (GET, POST) et toutes les autres informations faisant partie des requêtes.
La capture des flux DNS est une exigence importante pour de nombreuses organisations. Par exemple, les journaux DNS peuvent aider à identifier quel utilisateur ou quel appareil a lancé une requête DNS particulière. En corrélant l’activité DNS avec les journaux d’authentification des utilisateurs/appareils, vous pouvez suivre les activités de clients individuels. Cette responsabilité s’étend souvent à l’équipe chargée de la charge de travail, surtout si elle déploie tout ce qui intègre les requêtes DNS à ses opérations. L’analyse du trafic DNS est un aspect clé de l’observabilité de la sécurité de la plateforme.
Il est important de surveiller les requêtes DNS inattendues ou les requêtes DNS dirigées vers des points de terminaison de commande et de contrôle connus.
Compromis : Journalisation toutes activités peut causer large quantité de données. Mais impossible de capture seulement événements adverses car identifié seulement quand arrivé. Prenez des décisions stratégiques concernant le type d’événements à capturer et la durée de leur stockage. Si vous n’y faites pas attention, la gestion des données peut s’avérer fastidieuse. Il existe également un compromis sur le coût du stockage de ces données.
Capturer les modifications du système
Pour maintenir l’intégrité de votre système, vous devez disposer d’un enregistrement précis et à jour de l’état du système. S’il y a des changements, vous pouvez utiliser cet enregistrement pour résoudre rapidement tout problème qui survient.
Les processus de construction doivent également émettre de la télémétrie. Comprendre le contexte de sécurité des événements est essentiel. Savoir ce qui a déclenché le processus de création, qui l’a déclenché et quand il a été déclenché peut fournir des informations précieuses.
Suivez le moment où les ressources sont créées et quand elles sont mises hors service. Ces informations doivent être extraites de la plateforme. Ces informations fournissent des informations précieuses pour la gestion des ressources et la responsabilité.
Surveiller la dérive dans la configuration des ressources. Documentez toute modification apportée à une ressource existante. Gardez également une trace des modifications qui ne sont pas terminées dans le cadre d’un déploiement sur un parc de ressources. Les journaux doivent capturer les détails du changement et l’heure exacte à laquelle il s’est produit.
Ayez une vue complète, du point de vue des correctifs, pour savoir si le système est à jour et sécurisé. Surveillez les processus de mise à jour de routine pour vérifier qu’ils se déroulent comme prévu. Un processus de mise à jour de correctifs de sécurité qui ne se termine pas doit être considéré comme une vulnérabilité. Vous devez également conserver un inventaire qui enregistre les niveaux de correctifs et tout autre détail requis.
La détection des modifications s’applique également au système d’exploitation. Cela implique de savoir si des services sont ajoutés ou désactivés. Il comprend également la surveillance de l’ajout de nouveaux utilisateurs au système. Il existe des outils conçus pour cibler un système d’exploitation. Ils facilitent la surveillance sans contexte dans le sens où ils ne ciblent pas les fonctionnalités de la charge de travail. Par exemple, la surveillance de l’intégrité des fichiers est un outil essentiel qui vous permet de suivre les modifications apportées aux fichiers système.
Vous devez configurer des alertes pour ces changements, en particulier si vous ne prévoyez pas qu’ils se produisent souvent.
Important
Lors du déploiement en production, assurez-vous que les alertes sont configurées pour détecter toute activité anormale détectée sur les ressources de l’application et le processus de génération.
Dans vos plans de tests, inclure la validation de la journalisation et des alertes comme cas de test prioritaires.
Stocker, regrouper et analyser les données
Les données collectées lors de ces activités de surveillance doivent être stockées dans des puits de données où elles peuvent être analysées en profondeur examiné, normalisé et corrélé. Les données de sécurité doivent être conservées en dehors des propres magasins de données du système. Les récepteurs de surveillance, qu’ils soient localisés ou centraux, doivent survivre aux sources de données. Le les éviers ne peuvent pas être éphémères parce que les puits sont la source des systèmes de détection d’intrusion.
Les journaux réseau peuvent être verbeux et occuper de l’espace de stockage. Explorez différents niveaux de systèmes de stockage. Les bûches peuvent naturellement passer à un stockage plus froid au fil du temps. Cette approche est avantageuse, car les anciens journaux de flux ne sont généralement pas utilisés activement et ne sont nécessaires qu’à la demande. Cette méthode garantit une gestion efficace du stockage tout en garantissant que vous pouvez accéder aux données historiques lorsque vous en avez besoin.
Les flux de votre charge de travail sont généralement un composite de plusieurs sources de journalisation. Les données de surveillance doivent être analysé intelligemment à travers toutes ces sources. Par exemple, votre pare-feu bloquera uniquement le trafic qui l’atteint. Si vous disposez d’un groupe de sécurité réseau qui a déjà bloqué certains trafics, ce trafic n’est pas visible pour le pare-feu. Pour reconstruire la séquence d’événements, vous devez agréger les données de tous les composants du flux, puis agréger les données de tous les flux. Ces données sont particulièrement utiles dans un scénario de réponse post-incident lorsque vous essayez de comprendre ce qui s’est passé. Un chronométrage précis est essentiel. Pour des raisons de sécurité, tous les systèmes doivent utiliser une source de temps réseau afin d’être toujours synchronisés.
Détection centralisée des menaces avec journaux corrélés
Vous pouvez utiliser un système tel que les informations de sécurité et gestion d’événement (SIEM) pour consolider les données de sécurité dans un emplacement central où il peut être corrélé entre divers services. Ces systèmes ont détection des menaces intégrée mécanismes. Ils peuvent se connecter à des flux externes pour obtenir des données de renseignement sur les menaces. Microsoft, par exemple, publie des données de renseignements sur les menaces que vous pouvez utiliser. Vous pouvez également acheter des flux de renseignements sur les menaces auprès d’autres fournisseurs, comme Anomali et FireEye. Ces flux peuvent fournir des informations précieuses et améliorer votre posture de sécurité. Pour obtenir des informations sur les menaces de Microsoft, consultez Insider de la sécurité.
Un système SIEM peut générer des alertes basé sur des données corrélées et normalisées. Ces alertes constituent une ressource importante lors d’un processus de réponse à incident.
Les systèmes SIEM sont généralement gérés par les équipes centrales d’une organisation. Si votre organisation n’en dispose pas, envisagez de le défendre. Cela pourrait alléger le fardeau de l’analyse et de la corrélation manuelles des journaux pour permettre une gestion de la sécurité plus efficace et efficiente.
Certaines options rentables sont proposées par Microsoft. De nombreux produits Microsoft Defender offrent la fonctionnalité d’alerte d’un système SIEM, mais sans fonctionnalité d’agrégation de données.
En combinant plusieurs outils plus petits, vous pouvez émuler certaines fonctions d’un système SIEM. Cependant, vous devez savoir que ces solutions de fortune pourraient ne pas être en mesure d’effectuer une analyse de corrélation. Ces alternatives peuvent être utiles, mais elles ne remplacent peut-être pas complètement les fonctionnalités d’un système SIEM dédié.
Détecter les abus
Soyez proactif en matière de détection des menaces et soyez vigilant aux signes d’abus, comme les attaques d’identité par force brute sur un composant SSH ou un RDP point de terminaison. Même si les menaces externes peuvent générer beaucoup de bruit, surtout si l’application est exposée à Internet, les menaces internes sont souvent plus préoccupantes. Une attaque inattendue par force brute provenant d’une source réseau fiable ou une mauvaise configuration par inadvertance, par exemple, doit faire l’objet d’une enquête immédiate.
Suivez vos pratiques de durcissement. La surveillance ne remplace pas le renforcement proactif de votre environnement. Une plus grande surface est sujette à davantage d’attaques. Renforcez les contrôles autant que la pratique. Détectez et désactivez les comptes inutilisés, utilisez un pare-feu IP et bloquez les points de terminaison qui ne sont pas requis avec les politiques de prévention contre la perte de données, par exemple.
La détection basée sur les signatures peut inspecter un système en détail. Il s’agit de rechercher des signes ou des corrélations entre des activités susceptibles d’indiquer une attaque potentielle. Un mécanisme de détection pourrait identifier certaines caractéristiques révélatrices d’un type spécifique d’attaque. Il n’est pas toujours possible de détecter directement le mécanisme de commande et de contrôle d’une attaque. Cependant, il existe souvent des indices ou des modèles associés à un processus de commande et de contrôle particulier. Par exemple, une attaque peut être indiquée par un certain débit du point de vue des requêtes, ou elle peut fréquemment accéder à des domaines ayant des terminaisons spécifiques.
Détectez les modèles d’accès anormaux des utilisateurs afin de pouvoir identifier et étudier les écarts par rapport aux modèles attendus. Cela implique de comparer le comportement actuel des utilisateurs avec le comportement passé pour détecter les anomalies. Bien qu’il ne soit peut-être pas possible d’effectuer cette tâche manuellement, vous pouvez utiliser des outils de renseignement sur les menaces pour le faire. Investissez dans des outils d’analyse du comportement des utilisateurs et des entités (UEBA) qui collectent le comportement des utilisateurs à partir des données de surveillance et les analysent. Ces outils peuvent souvent effectuer une analyse prédictive qui mappe les comportements suspects aux types d’attaques potentiels.
Détectez les menaces pendant les étapes préalables et post-déploiement. Pendant la phase de pré-déploiement, intégrez l’analyse des vulnérabilités dans les pipelines et prenez les mesures nécessaires en fonction des résultats. Après le déploiement, continuez à effectuer une analyse des vulnérabilités. Vous pouvez utiliser des outils tels que Microsoft Defender pour conteneurs, qui analyse les images de conteneurs. Incluez les résultats dans les données collectées. Pour plus d’informations sur les pratiques de développement sécurisées, consultez Recommandations pour des pratiques de déploiement sécurisées.
Facilitation de Power Platform
Les sections suivantes décrivent les mécanismes que vous pouvez utiliser pour surveiller et détecter les menaces dans Power Platform.
Microsoft Sentinel
Solution Microsoft Sentinel pour Microsoft Power Platform permet aux clients de détecter diverses activités suspectes, comme :
- Power Apps exécution à partir de zones géographiques non autorisées
- Destruction de données suspectes par Power Apps
- Suppression massive de Power Apps
- Attaques de phishing effectuées via Power Apps
- Power Automate flux d’activité des salariés qui partent
- Microsoft Power Platform Connecteurs ajoutés dans l’environnement
- Mettre à jour ou supprimer les stratégies de protection contre la perte de données Microsoft Power Platform
Pour plus d’informations, consultez la solution Microsoft Sentinel pour Microsoft Power Platform présentation.
Journalisation des activités Microsoft Purview
La journalisation des activités, Power Apps, Power Automate, des connecteurs et de prévention contre la perte de données et administrative Power Platform est suivie et affichée à partir du portail de conformité Microsoft Purview.
Pour en savoir plus, consultez :
- Journalisation des activités Power Apps
- Journalisation des activités Power Automate
- Journalisation des activités Power Pages
- Power Platform Journalisation des activités du connecteur
- Journalisation des activités de protection contre la perte de données
- Power Platform journalisation des activités des actions administratives
- Journalisation des activités de Microsoft Dataverse et des applications pilotées par modèle
Audits Dataverse
Les audits de base de données enregistrent les modifications apportées aux enregistrements des clients dans un environnement avec une base de données Dataverse. Les audits Dataverse enregistrent également l’accès des utilisateurs via une application ou via le Kit de développement logiciel (SDK) dans un environnement. Cet audit est activé au niveau de l’environnement et une configuration supplémentaire est requise pour les tables et colonnes individuelles. Pour en savoir plus, consultez Gérer les audits Dataverse.
Analyser la télémétrie avec Application Insights
Application Insights, une fonctionnalité d’Azure Monitor, est largement utilisée dans le paysage d’entreprise pour la surveillance et les diagnostics. Les données qui ont déjà été collectées auprès d’un locataire ou d’un environnement spécifique sont transmises à vôtre propre environnement Application Insights. Les données sont stockées dans les journaux Azure Monitor par Application Insights et peuvent être visualisées dans les volets Performances et Échecs sous Examiner dans le volet de gauche. Les données sont exportées vers votre environnement Application Insights dans le schéma standard défini par Application Insights. Les personnes de support, de développeur et d’administrateur peuvent utiliser cette fonctionnalité pour trier et résoudre des problèmes.
Vous pouvez aussi :
- Mettre en place un environnement Application Insights pour recevoir la télémétrie sur les diagnostics et les performances capturés par la plateforme Dataverse.
- Vous abonner pour recevoir la télémétrie sur les opérations que les applications effectuent sur votre base de données Dataverse et dans les applications basées sur des modèles. Cette télémétrie fournit des informations que vous pouvez utiliser pour diagnostiquer et résoudre les problèmes liés aux erreurs et aux performances.
- Configurer flux de cloud Power Automate à intégrer à Application Insights.
- Écrivez des événements et des activités depuis les Power Apps applications Canvas vers Application Insights.
Pour en savoir plus, consultez Présentation de intégration avec Application Insights.
Identité
Surveillez les événements à risque liés à l’identité sur les identités potentiellement compromises et corrigez ces risques. Examinez les événements à risque signalés de la manière suivante :
Utilisez les Microsoft Entra ID rapports. Pour plus d’informations, consultez les sections Qu’est-ce que la protection de l’identité ? et Protection de l’identité.
Utilisez les membres de l’API de détection des risques Identity Protection pour obtenir un accès programmatique aux détections de sécurité via Microsoft Graph. Pour plus d’informations, consultez riskDetection et riskyUser.
Microsoft Entra ID utilise des algorithmes adaptatifs Machine Learning, des heuristiques et des informations d’identification compromises connues (paires nom d’utilisateur et mot de passe) pour détecter les actions suspectes liées à vos comptes d’utilisateurs. Ces paires de nom d’utilisateur et de mot de passe sont découvertes en surveillant le public et le dark web et en travaillant avec des chercheurs en sécurité, les forces de l’ordre, les équipes de sécurité de Microsoft et d’autres.
Azure Pipelines
DevOps prône la gestion du changement des charges de travail via l’intégration continue et la livraison continue (CI/CD). Assurez-vous d’ajouter une validation de sécurité dans les pipelines. Suivez les instructions décrites dans Sécurisation d’Azure Pipelines.
Voir aussi
- Qu’est Microsoft Sentinel ?
- Intégration des renseignements sur les menaces dans Microsoft Sentinel
- Identifiez les menaces avancées avec l’analyse du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel
Liste de contrôle de sécurité
Référez-vous à l’ensemble complet des recommandations.