Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender met en corrélation des millions de signaux individuels pour identifier les campagnes de ransomware actives ou d’autres attaques sophistiquées dans l’environnement avec une grande confiance. Pendant qu’une attaque est en cours, Defender interrompt l’attaque en contenant automatiquement les ressources compromises que l’attaquant utilise par le biais d’une interruption d’attaque automatique.
L’interruption automatique des attaques limite les mouvements latéraux dès le début et réduit l’impact global d’une attaque, des coûts associés à la perte de productivité. En même temps, cela laisse aux équipes des opérations de sécurité le contrôle total de l’investigation, de la correction et de la remise en ligne des ressources.
Cet article fournit une vue d’ensemble de l’interruption automatisée des attaques et inclut des liens vers les étapes suivantes et d’autres ressources.
Conseil
Cet article décrit le fonctionnement de l’interruption des attaques. Pour configurer ces fonctionnalités, consultez Configurer les fonctionnalités d’interruption des attaques dans Microsoft Defender.
Fonctionnement de l’interruption des attaques automatiques
L’interruption automatique des attaques est conçue pour contenir les attaques en cours, limiter l’impact sur les ressources d’un organization et fournir plus de temps aux équipes de sécurité pour corriger entièrement l’attaque. L’interruption d’attaque utilise toute l’étendue de nos signaux de détection et de réponse étendues (XDR), en tenant compte de l’ensemble de l’attaque pour agir au niveau de l’incident. Cette fonctionnalité est différente des méthodes de protection connues telles que la prévention et le blocage basées sur un seul indicateur de compromission.
Bien que de nombreuses plateformes SOAR (orchestration, automatisation et réponse) XDR et de sécurité vous permettent de créer vos actions de réponse automatique, l’interruption automatique des attaques est intégrée et utilise les insights des chercheurs en sécurité Microsoft et des modèles IA avancés pour contrer la complexité des attaques avancées. L’interruption automatique des attaques prend en compte l’ensemble du contexte des signaux provenant de différentes sources pour déterminer les ressources compromises.
L’interruption automatique des attaques s’effectue en trois étapes clés :
- Il utilise la capacité de Microsoft Defender à mettre en corrélation les signaux provenant de nombreuses sources différentes en un seul incident à haut niveau de confiance par le biais d’insights provenant de points de terminaison, d’identités, d’outils de messagerie et de collaboration, et d’applications SaaS.
- Il identifie les ressources contrôlées par l’attaquant et utilisées pour répartir l’attaque.
- Il effectue automatiquement des actions de réponse sur les produits Microsoft Defender pertinents pour contenir l’attaque en temps réel en contenant et en désactivant les ressources affectées.
Cette fonctionnalité de changement de jeu limite la progression précoce d’un acteur de menace et réduit considérablement l’impact global d’une attaque, des coûts associés à la perte de productivité.
Comment Defender établit la confiance pour l’action automatique
Les équipes de sécurité peuvent hésiter lorsque les systèmes prennent des mesures automatiques, car les actions de réponse peuvent affecter les opérations de l’entreprise. L’interruption automatique des attaques répond à ce problème en utilisant des signaux haute fidélité et une corrélation au niveau des incidents entre les données réelles des e-mails, des identités, des applications, des documents, des appareils, des réseaux et des fichiers.
La confiance dans la perturbation des attaques automatiques fait référence à la précision du détecteur, mesurée par rapport signal/bruit (SNR). Pour les actions d’endiguement, Defender maintient un niveau de confiance de 99 % ou plus en fonction des données de production réelles. Defender évalue chaque détection par rapport à un large ensemble d’indicateurs pour classifier les vrais positifs et les faux positifs en combinant les sorties du Machine Learning, la corrélation entre les charges de travail et la classification des incidents menée par un expert.
Defender valide les détecteurs en mode audit avant une mise en production à grande échelle et déploie progressivement uniquement les détecteurs qui répondent à des exigences de qualité strictes. Ce processus vise à maintenir un faible niveau de faux positifs tout en conservant l’interruption effective des attaques actives. Les détecteurs d’interruption sont évalués en continu et dynamiquement pour maintenir la qualité et la confiance de la détection.
Les experts en sécurité Microsoft examinent en permanence l’activité d’interruption, surveillent les anomalies et évaluent l’impact afin de préserver une qualité de détection élevée au fil du temps.
En outre, toutes les actions automatiques peuvent être annulées par votre équipe de sécurité, ce qui vous permet de conserver un contrôle total sur votre environnement. Pour plus d’informations, consultez Détails et résultats d’une action d’interruption d’attaque automatique.
Comment l’interruption d’attaque utilise l’IA
L’IA de perturbation des attaques utilise un ensemble de modèles et de détecteurs spécialement conçus pour les Microsoft Defender suite. Ces fonctionnalités sont entraînées et paramétrées à l’aide de plusieurs sources de données, notamment :
- Télémétrie de charge de travail Defender corrélée
- Microsoft Threat Intelligence
- Apprentissages des incidents passés et de l’analyse post-incident de la part des clients Microsoft
La plateforme utilise plusieurs approches de Machine Learning, notamment des modèles de graphe, des arbres de décision optimisés, des réseaux neuronaux et des modèles de petits langages dédiés (SLO), pour améliorer la qualité de la détection et la précision de l’action.
La qualité du modèle et du détecteur est maintenue via des cycles d’ingénierie et de validation continus plutôt qu’un seul point de mise en production statique. Avant le déploiement à grande échelle, les nouveaux détecteurs passent par une validation rigoureuse des préversions et un déploiement intermédiaire. La qualité continue est prise en charge par l’examen par les experts des décisions prises par l’IA et la couverture de la réponse opérationnelle 24h/24, 7 j/7 en cas de comportement anormal.
Actions de réponse automatisées
L’interruption automatique des attaques utilise des actions de réponse XDR basées sur Microsoft. Voici quelques exemples d’actions suivantes :
Conteneur de l’appareil : en fonction de la capacité de Microsoft Defender pour point de terminaison, cette action est une rétention automatique d’un appareil suspect pour bloquer toute communication entrante/sortante avec ledit appareil.
- En outre, Defender pour point de terminaison contient automatiquement des adresses IP malveillantes associées à des appareils non découverts/non intégrés pour bloquer tout mouvement latéral et toute activité de chiffrement vers d’autres appareils defender pour point de terminaison intégrés/découverts. Il le fait via sa stratégie d’adresse IP conteneur (préversion). En outre, les adresses IP des ressources critiques compromises sont également automatiquement contenues avec des mécanismes de blocage spécifiques pour arrêter la propagation d’une attaque tout en évitant les pertes de productivité.
Désactiver l’utilisateur : en fonction de la capacité de Microsoft Defender pour Identity, cette action est une suspension automatique d’un compte compromis pour éviter des dommages supplémentaires tels que le mouvement latéral, l’utilisation malveillante de boîtes aux lettres ou l’exécution de programmes malveillants. L’action désactiver l’utilisateur se comporte différemment selon la façon dont l’utilisateur est hébergé dans votre environnement.
- Lorsque le compte d’utilisateur est hébergé dans Active Directory : Defender pour Identity déclenche l’action de désactivation de l’utilisateur sur les contrôleurs de domaine exécutant l’agent Defender pour Identity.
- Lorsque le compte d’utilisateur est hébergé dans Active Directory et synchronisé sur Microsoft Entra ID : Defender pour Identity déclenche l’action de désactivation de l’utilisateur via des contrôleurs de domaine intégrés. L’interruption des attaques désactive également le compte d’utilisateur sur le compte Microsoft Entra ID synchronisé.
- Lorsque le compte d’utilisateur est hébergé dans le Microsoft Entra ID uniquement (compte natif cloud) : l’interruption d’attaque désactive le compte d’utilisateur sur le compte Microsoft Entra ID synchronisé.
Remarque
La désactivation du compte d’utilisateur dans Microsoft Entra ID ne dépend pas du déploiement de Microsoft Defender pour Identity.
Contenir l’utilisateur : en fonction de la capacité de Microsoft Defender pour point de terminaison, cette action de réponse contient automatiquement des identités suspectes temporairement afin de bloquer tout mouvement latéral et chiffrement à distance lié à la communication entrante avec les appareils intégrés de Defender pour point de terminaison.
Defender pour point de terminaison applique l’autonomie des utilisateurs au niveau de la couche de point de terminaison et ne désactive pas le compte dans le fournisseur d’identité. Defender pour point de terminaison bloque l’utilisation par les attaquants des identités compromises sur les appareils protégés et limite l’accès basé sur l’authentification, l’accès au système de fichiers et les chemins de communication réseau.
Cette action applique des contrôles à un niveau granulaire, de sorte que Microsoft peut cibler l’activité liée aux attaques et préserver une communication métier normale dans la mesure du possible.
Pour plus d’informations, consultez Actions de correction dans Microsoft Defender.
Identifier quand une interruption d’attaque se produit dans votre environnement
La page d’incident Microsoft Defender reflète les actions automatiques d’interruption d’attaque par le biais de l’histoire de l’attaque et des status indiquées par une barre jaune (Figure 1). L’incident affiche une balise d’interruption dédiée, met en surbrillance les status des ressources contenues dans le graphique des incidents et ajoute une action au Centre de notifications.
Figure 1. Vue d’incident montrant la barre jaune où l’interruption d’attaque automatique a pris des mesures
L’expérience utilisateur Microsoft Defender inclut désormais des signaux visuels supplémentaires pour garantir la visibilité de ces actions automatiques. Vous pouvez les trouver dans les expériences suivantes :
Dans la file d’attente des incidents :
- Une balise intitulée Interruption des attaques apparaît en regard des incidents affectés
Sur la page de l’incident :
- Une balise intitulée Interruption d’attaque
- Bannière jaune en haut de la page qui met en évidence l’action automatique effectuée
- Le status actif actif actuel est affiché dans le graphique de l’incident si une action est effectuée sur une ressource, par exemple, un compte désactivé ou un appareil contenu
Via l’API :
Une chaîne (interruption d’attaque) est ajoutée à la fin des titres des incidents avec un niveau de confiance élevé susceptible d’être automatiquement interrompu. Par exemple :
Attaque de fraude financière BEC lancée à partir d’un compte compromis (interruption d’attaque)
Pour plus d’informations, consultez afficher les détails et les résultats de l’interruption des attaques.
Étapes suivantes
- Configurer l’interruption des attaques automatiques
- Afficher les détails et les résultats
- Obtenir Notifications par e-mail pour les actions de réponse
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.