Tutoriel : Enquêter sur les utilisateurs à risque

  • Article

Les équipes d’opérations de sécurité sont mises au défi de surveiller l’activité des utilisateurs, suspectes ou autres, sur toutes les dimensions de la surface d’attaque d’identité, à l’aide de plusieurs solutions de sécurité qui, souvent, ne sont pas connectées. Bien que de nombreuses entreprises aient maintenant des équipes de chasse pour identifier de manière proactive les menaces dans leur environnement, savoir ce qu’il faut rechercher parmi la vaste quantité de données peut être un défi. Microsoft Defender for Cloud Apps supprime la nécessité de créer des règles de corrélation complexes et vous permet de rechercher des attaques qui s’étendent sur votre réseau cloud et sur site.

Pour vous aider à vous concentrer sur l’identité de l’utilisateur, Microsoft Defender for Cloud Apps fournit une analytique comportementale de l’entité utilisateur (UEBA) dans le cloud. L’UEBA peut être étendu à votre environnement sur site en intégrant Microsoft Defender for Identity, après quoi vous gagnerez également du contexte sur l’identité de l’utilisateur grâce à son intégration native avec Active Directory.

Que votre déclencheur soit une alerte que vous voyez dans le tableau de bord Defender for Cloud Apps ou que vous disposiez d’informations d’un service de sécurité tiers, démarrez votre enquête à partir du tableau de bord Defender pour le cloud Apps pour approfondir vos connaissances sur les utilisateurs à risque.

Dans ce didacticiel, vous apprendrez à utiliser Defender for Cloud Apps pour enquêter sur les utilisateurs à risque :

Comprendre le score de priorité d’examen

Le score de priorité d’enquête est un score que Defender for Cloud Apps attribue à chaque utilisateur pour vous indiquer à quel point l’utilisateur est risqué par rapport aux autres utilisateurs de votre organisation. Utilisez le score de priorité d’enquête pour déterminer quels utilisateurs enquêter en premier, détectant à la fois les initiés malveillants et les attaquants externes se déplaçant latéralement dans vos organisations, sans avoir à se fier aux détections déterministes standard.

Chaque utilisateur de Microsoft Entra dispose d’un score de priorité d’enquête dynamique qui est constamment mis à jour en fonction des comportements récents et de l’impact construit à partir des données évaluées par Defender for Identity et Defender for Cloud Apps.

Defender for Cloud Apps crée des profils d’utilisateurs pour chaque utilisateur, basés sur des analyses qui prennent en compte les alertes de sécurité et les activités anormales au fil du temps, les groupes de pairs, l’activité attendue de l’utilisateur et l’effet que tout utilisateur spécifique pourrait avoir sur les actifs de l’entreprise ou de la société.

L’activité anormale par rapport à la base de référence d’un utilisateur est évaluée et notée. Une fois le scoring terminé, les calculs d’homologue dynamique propriétaires de Microsoft et l’apprentissage automatique sont exécutés sur les activités utilisateur pour calculer la priorité d’examen pour chaque utilisateur.

Comprenez immédiatement qui sont les utilisateurs les plus risqués en filtrant selon le score de priorité d’enquête, en vérifiant directement l’impact commercial de chaque utilisateur et en enquêtant sur toutes les activités liées - qu’elles soient compromises, exfiltrant des données ou agissant en tant que menaces internes.

Defender for Cloud Apps utilise les éléments suivants pour mesurer les risques :

  • Score d’alerte : Le score d’alerte représente l’impact potentiel d’une alerte spécifique sur chaque utilisateur. Le scoring des alertes est basé sur la gravité, l’impact sur l’utilisateur, la popularité des alertes entre les utilisateurs et toutes les entités de l’organisation.

  • Score d’activité : Le score d’activité détermine la probabilité qu’un utilisateur spécifique effectue une activité spécifique, basé sur l’apprentissage comportemental de l’utilisateur et de ses pairs. Les activités identifiées comme les plus anormales reçoivent les scores les plus élevés.

Sélectionnez le score de priorité d’enquête pour une alerte ou une activité afin de voir les preuves qui expliquent comment Defender for Cloud Apps a noté l’activité.

Remarque

Nous supprimons progressivement l’alerte Augmentation du score de priorité d’enquête de Microsoft Defender for Cloud Apps pour août 2024. Le score de priorité d’enquête et la procédure décrite dans cet article ne sont pas affectés par ce changement.

Pour plus d’informations, consultez la chronologie de la suppression de l’augmentation du score de priorité d’enquête.

Phase 1 : Se connecter aux applications que vous souhaitez protéger

Connecter au moins une application pour Microsoft Defender for Cloud Apps à l’aide des connecteurs d’API. Nous vous recommandons de commencer par connecter Microsoft 365.

Les applications Microsoft Entra ID sont automatiquement intégrées pour le contrôle d’applications par accès conditionnel.

Phase 2 : Identifier les principaux utilisateurs à risque

Pour identifier les utilisateurs les plus risqués dans Defender for Cloud Apps :

  1. Dans le portail Microsoft Defender, sous Ressources, sélectionnez Identités. Triez la table par priorité d’examen. Ensuite, un par un, accédez à leur page d’utilisateur pour les examiner.
    Le numéro de priorité d’examen, trouvé en regard du nom d’utilisateur, est une somme de toutes les activités risquées de l’utilisateur au cours de la semaine dernière.

    Capture d’écran du tableau de bord des utilisateurs principaux.

  2. Sélectionnez les trois points à droite de l’utilisateur, puis sélectionnez Afficher la page Utilisateur.

    Capture d’écran d’une page de détails utilisateur.

  3. Examinez les informations de la page de détails utilisateur pour obtenir un aperçu de l’utilisateur et voir s’il y a des moments où l’utilisateur a effectué des activités inhabituelles pour cet utilisateur ou effectuées à un moment inhabituel.

    Le score de l’utilisateur par rapport à l’organisation représente le centile de l’utilisateur en fonction de son classement au sein de votre organisation : la valeur élevée sur la liste des utilisateurs que vous devez examiner, par rapport à d’autres utilisateurs de votre organisation. Le nombre est rouge si un utilisateur se trouve dans ou au-dessus du 90e percentile des utilisateurs à risque de votre organisation.

La page de détails utilisateur vous aide à répondre aux questions suivantes :

Question Détails
Qui est l’utilisateur ? Recherchez des détails de base sur l’utilisateur et ce que le système sait de lui, y compris le rôle de l’utilisateur dans votre entreprise et son département.

Par exemple, l’utilisateur est-il un ingénieur DevOps qui effectue souvent des activités inhabituelles dans le cadre de son travail ? Ou est-ce un employé mécontent qui vient d’être refusé pour une promotion ?
L’utilisateur présente-t-il des risques ? Quel est le score de risque de l’employé, et cela vaut-il la peine de l’enquêter ?
Quel risque présente l’utilisateur pour votre organisation ? Faites défiler pour enquêter sur chaque activité et alerte liée à l’utilisateur pour commencer à comprendre le type de risque que l’utilisateur représente.

Dans la chronologie, sélectionnez chaque ligne pour approfondir l’activité ou l’alerte elle-même. Sélectionnez le nombre à côté de l’activité afin de comprendre les preuves qui ont influencé le score lui-même.
Quel est le risque pour les autres ressources de votre organisation ? Sélectionnez l’onglet Chemins de mouvement latéral pour comprendre les chemins qu’un attaquant peut utiliser pour contrôler d’autres ressources de votre organisation.

Par exemple, même si l’utilisateur que vous enquêtez a un compte non sensible, un attaquant peut utiliser les connexions au compte pour découvrir et tenter de compromettre des comptes sensibles dans votre réseau.

Pour plus d’informations, consultez Utiliser les chemins de mouvement latéral.

Remarque

Bien que les pages de détails utilisateur fournissent des informations pour les appareils, ressources et comptes sur toutes les activités, le score de priorité d’enquête inclut la somme de toutes les activités et alertes risquées au cours des 7 derniers jours.

Réinitialiser le score utilisateur

Si l’utilisateur a été enquêté et qu’aucun soupçon de compromission n’a été trouvé, ou si vous souhaitez réinitialiser le score de priorité d’enquête de l’utilisateur pour toute autre raison, faites-le manuellement comme suit :

  1. Dans le portail Microsoft Defender, sous Ressources, sélectionnez Identités.

  2. Sélectionnez les trois points à droite de l’utilisateur enquêté, puis sélectionnez Réinitialiser le score de priorité d’enquête. Vous pouvez également sélectionner Afficher la page de l’utilisateur puis sélectionner Réinitialiser le score de priorité d’enquête à partir des trois points dans la page de détails de l’utilisateur.

    Remarque

    Seuls les utilisateurs disposant d’un score de priorité d’examen différent de zéro peuvent être réinitialisés.

    Capture d’écran du lien de réinitialisation du score de priorité d’enquête.

  3. Sélectionnez Réinitialiser le score dans la fenêtre de confirmation.

    Capture d’écran du bouton de réinitialisation du score.

Phase 3 : Examen approfondi des utilisateurs

Certaines activités peuvent ne pas être alarmantes en elles-mêmes, mais peuvent indiquer un événement suspect lorsqu’elles sont agrégées avec d’autres activités.

Lorsque vous enquêtez sur un utilisateur, vous devez vous poser les questions suivantes sur les activités et alertes que vous voyez :

  • Existe-t-il une justification commerciale pour que cet employé effectue ces activités ? Par exemple, si quelqu’un du marketing accède à la base de code, ou si quelqu’un du développement accède à la base de données financière, vous devriez suivre avec l’employé pour vous assurer que c’était une activité intentionnelle et justifiée.

  • Pourquoi cette activité a-t-elle reçu un score élevé alors que d’autres ne l’ont pas fait ? Allez dans le journal d’activité et définissez le priorité d’enquête à Est définie pour comprendre quelles activités sont suspectes.

    Par exemple, vous pouvez filtrer en fonction de priorité d’enquête pour toutes les activités survenues dans une zone géographique spécifique. Ensuite, vous pouvez voir s’il y avait d’autres activités risquées, où l’utilisateur s’est connecté, et vous pouvez facilement pivoter vers d’autres approfondissements, comme les activités récentes non anormales sur le cloud et sur site, pour continuer votre enquête.

Phase 4 : Protéger votre organisation

Si votre enquête vous conduit à conclure qu’un utilisateur est compromis, suivez les étapes suivantes pour atténuer le risque.

  • Contactez l’utilisateur : En utilisant les informations de contact de l’utilisateur intégrées à Defender for Cloud Apps depuis Active Directory, vous pouvez approfondir chaque alerte et activité pour résoudre l’identité de l’utilisateur. Assurez-vous que l’utilisateur est familiarisé avec les activités.

  • Directement à partir du portail Microsoft Defender, à la page Identités, sélectionnez les trois points en regard de l’utilisateur examiné et choisissez s’il faut demander à l’utilisateur de se reconnecter, suspendre l’utilisateur ou confirmer que l’utilisateur est compromis.

  • Dans le cas d’une identité compromise, vous pouvez demander à l’utilisateur de réinitialiser son mot de passe, en veillant à ce que le mot de passe respecte les recommandations en matière de longueur et de complexité.

  • Si vous explorez une alerte et que vous déterminez que l’activité ne doit pas avoir déclenché d’alerte, dans le tiroir d’activités, sélectionnez le lien Envoyer un retour d’expérience afin que nous puissions être sûrs d’ajuster notre système d’alerte à l’esprit avec votre organisation.

  • Après avoir corrigé le problème, fermez l’alerte.

Voir aussi

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.