Partage et échange d'informations

  • Article

La mission du Programme de sécurité gouvernemental (GSP) de Microsoft est d'instaurer la confiance grâce à la transparence. Depuis le début du programme en 2003, Microsoft a fourni une visibilité sur nos artefacts technologiques et de sécurité que les gouvernements et les organisations internationales peuvent utiliser pour se protéger eux-mêmes et protéger leurs citoyens. L'offre Partage et échange d'informations permet à Microsoft de partager et d'échanger des informations sur les menaces de sécurité, les vulnérabilités, les comportements anormaux, des informations sur les programmes malveillants et les problèmes de sécurité liés à des produits et services Microsoft.

Cette offre rassemble des groupes et des ressources de l'environnement Microsoft pour aider les administrations à protéger les citoyens, les infrastructures et les organisations.

L'offre de partage et d'échange d'informations (ISE) fournit

Nom Detail
Notification avancée des failles de sécurité
  • Notification des vulnérabilités effectuée 5 jours à l'avance avec les notes de publication et les tableaux des logiciels concernés
  • Préavis de 24 heures avec indice d'exploitabilité
    		•
    URL malveillantes
  • Flux de serveurs et de services potentiellement malveillants détectés par les analyseurs Bing
  • Mise à jour toutes les trois heures, pour un cycle de données de 5 jours
    		•
    Flux botnet CTIP
  • Document fourni par le programme de renseignement sur la veille des cybermenaces (CTIP) de l'unité chargée de la lutte contre la criminalité numérique (DCU).
  • Les données botnet sont adaptées à l'agence (ou au domaine de premier niveau de l'indicatif téléphonique international dans le cas des CERT)
  • 4 flux : Appareil infecté, Commande & Contrôle, IoT et Domaines
  • Livraison en quasi-temps réel, par heures ou par jour (dédupliqué)
    		•
    Nettoyer les métadonnées des fichiers
  • Nettoyer les données de code de hachage de fichier souvent utilisées pour la liste verte et la forensique
  • Mis à jour toutes les 3 heures.
  • Couvre tous les fichiers binaires Microsoft sur le centre de téléchargement Microsoft
    		•
    Partenariat
  • Échange d'informations par le biais d'un large éventail de forums
  • Accès au portail Digital Crimes Community (DCU)
  • Partage de données de veille des menaces avec l'unité chargée de la lutte contre la criminalité numérique (DCU)
  • Engagement direct avec les groupes d'ingénierie et les autres groupes de Microsoft Teams, y compris le Centre de réponse aux problèmes de sécurité Microsoft (MSRC) et Windows Defender pour la veille de sécurité.
    		•

    Diffusion des flux de données

    Les flux proposés dans le cadre de l'autorisation ISE relèvent de plusieurs groupes, dont le Centre de réponse aux problèmes de sécurité Microsoft (MSRC), la Digital Crimes Unit (DCU), Bing et les Product Release and Security Services (PRSS).

    L'équipe GSP fournit une application Web qui permet aux agences GSP d'accéder aux flux de données ISE à partir d'une seule interface. Toutes les communications contenant des données sensibles sont chiffrées.

    Data Feed delivery

    Descriptions d'utilisation des données

    Notification avancée de correctif de sécurité Le package d'avis répertorie tous les CVE (Vulnérabilités et risques courants) traités dans la version. Chaque CVE contient un ensemble d'informations, notamment la description des vulnérabilités (y compris les métriques), l'index d'exploitabilité et les logiciels affectés.

    Content for each CVE

    URL malveillantes Bing Le flux d'URL malveillante Bing contient des serveurs ou des services accessibles publiquement qui ont été identifiés comme potentiellement malveillants. Les nouveaux fichiers sont chargés toutes les trois heures ; les jeux de données complets sont générés en 5 jours. De nombreuses agences importent les fichiers JSON directement dans leurs outils existants d'analyse de veille des menaces.

    Geo map of IPs

    Threat types

    Nettoyer les métadonnées des fichiers (CFMD)

    Le flux Nettoyer les métadonnées des fichiers (CFMD) contient des signatures de chiffrement (codes de hachage SHA256) pour les fichiers contenus dans les produits Microsoft. Ceux-ci sont souvent utilisés dans d'examens forensiques des appareils potentiellement compromis et pour autoriser ou interdire l'exécution des fichiers dans les systèmes critiques.

    Clean File Metadata

    Flux botnet CTIP : flux de données infectés

    La DCU fournit des données sur les botnets de victimes compromises via le service de veille des menaces CTIP de la DCU (Flux de données sur les dispositifs infectés), afin de permettre des scénarios de protection du réseau pour les abonnés du CTIP et de faciliter la remédiation des systèmes compromis dans le but de réduire le nombre de systèmes infectés sur l'Internet. Parmi les autres flux figurent les listes de commande et contrôle (C2), IoT et de domaine, qui sont souvent utilisées pour restreindre le flux de trafic vers des réseaux de programme malveillant connus grâce aux pare-feu et des DNS de protection.

    CTIP data 1

    CTIP data 2

    Nous contacter

    Contactez votre représentant Microsoft local pour en savoir plus sur le Programme de sécurité du gouvernement.