Surveillance des incidents en temps réel avec Microsoft 365 Security Center

Surveillance des incidents en temps réel avec Microsoft 365 Security Center

03/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la surveillance et la gestion des incidents de sécurité en temps réel à l'aide du portail Microsoft 365 Defender (anciennement connu sous le nom de Microsoft 365 Security Center). Ce portail unifie les capacités de visibilité et de réponse aux incidents de plusieurs solutions de sécurité Microsoft, telles que Defender pour Endpoint, Defender pour Office 365, Defender pour Identity et Defender pour Cloud Apps, fournissant ainsi une plate-forme centralisée pour les opérations de sécurité [1].

Présentation

Dans un environnement de cybermenaces en constante évolution, la capacité à détecter, enquêter et répondre aux incidents de sécurité rapidement et efficacement est cruciale pour minimiser l’impact d’une attaque. Le portail Microsoft 365 Defender agit comme un centre de commande et de contrôle, corrélant les alertes de sécurité de différents produits Microsoft en incidents cohérents. Cela permet aux équipes SecOps (Security Operations) d'acquérir une vue globale d'une attaque, de comprendre sa chaîne de destruction et de prendre des mesures correctives plus efficacement [2].

Ce guide pratique expliquera comment naviguer dans le portail Microsoft 365 Defender, surveiller la file d'attente des incidents, enquêter sur les alertes corrélées et gérer le cycle de vie d'un incident. Des instructions étape par étape, des exemples d'utilisation de l'interface et des méthodes de validation seront fournis afin que le lecteur puisse optimiser ses opérations de sécurité et améliorer les capacités de réponse aux incidents dans son environnement Microsoft 365.

Pourquoi le portail Microsoft 365 Defender pour la surveillance des incidents ?

  • Visibilité unifiée : regroupe les alertes de sécurité de plusieurs produits Defender (Endpoint, Office 365, Identity, Cloud Apps) dans un seul tableau de bord.
  • Corrélation automatique : corrèle automatiquement les alertes associées entre les incidents, fournissant ainsi un contexte plus riche sur une attaque.
  • Enquête complète : fournit des outils d'enquête approfondis, notamment une chronologie des événements, des graphiques d'attaque et des informations détaillées sur les entités affectées.
  • Réponse coordonnée : permet aux équipes de sécurité de répondre aux incidents de manière centralisée, avec des actions automatisées et manuelles.
  • Automation of Response (SOAR) : s'intègre aux capacités SOAR pour automatiser les tâches de réponse aux incidents, réduisant ainsi le temps moyen de réponse (MTTR).

Prérequis

Pour surveiller les incidents en temps réel avec le portail Microsoft 365 Defender, vous aurez besoin des éléments suivants :

  1. Licences : licences appropriées pour les produits Microsoft 365 Defender (par exemple Microsoft 365 E5 Security, Microsoft 365 E5) qui incluent l'accès au portail et aux fonctionnalités de détection [3].
  2. Accès administratif : un compte avec les autorisations d'administrateur de sécurité, d'opérateur de sécurité ou de lecteur de sécurité dans le portail Microsoft 365 Defender (https://security.microsoft.com).
  3. Produits Defender actifs : au moins un des produits Defender (Defender pour Endpoint, Defender pour Office 365, Defender pour Identity, Defender pour Cloud Apps) doit être actif et configuré pour générer des alertes.
  4. Sources de données connectées : les données de sécurité doivent être ingérées et surveillées par les produits Defender respectifs.

Étape par étape : surveillance et gestion des incidents

Explorons l'interface du portail Microsoft 365 Defender et les fonctionnalités clés pour la surveillance et la gestion des incidents.

1. Accès au portail Microsoft 365 Defender

  1. Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.

2. Navigation dans la file d'attente des incidents

La file d’attente des incidents est le point central des équipes SecOps. C'est ici que les alertes associées sont regroupées pour fournir une vue contextualisée d'une attaque.

  1. Dans le volet de navigation de gauche, sélectionnez Incidents et alertes > Incidents.
  2. La file d'attente des incidents affichera une liste de tous les incidents détectés, avec des informations telles que la gravité, l'état, les entités affectées et la dernière activité.

3. Analyser un incident spécifique

Lorsque vous cliquez sur un incident, vous aurez accès à une vue détaillée qui comprend toutes les alertes, appareils,utilisateurs, utilisateurs et fichiers concernés.

  1. Dans la file d'attente des incidents, cliquez sur le Nom d'un incident pour ouvrir sa page de détails.
  2. La page de détails de l'incident est composée de plusieurs onglets :
    • Aperçu : fournit un résumé de l'incident, y compris la gravité, l'état, la classification, les utilisateurs et les appareils concernés.
    • Alertes : répertorie toutes les alertes corrélées à cet incident. Vous pouvez cliquer sur chaque alerte pour voir ses détails spécifiques.
    • Appareils : affiche tous les appareils impliqués dans l'incident.
    • Utilisateurs : répertorie les utilisateurs concernés ou impliqués.
    • Boîtes aux lettres : affiche les boîtes aux lettres concernées (s'il existe des alertes Defender pour Office 365).
    • Enquêtes : affiche les enquêtes automatisées lancées en réponse à l'incident.
    • Preuves et réponse : présente les preuves collectées (fichiers, adresses IP, URL) et les actions de réponse recommandées ou prises.
    • Graphique : représentation visuelle de la chaîne d'attaque, montrant la relation entre les alertes, les entités et les événements.

4. Gestion du cycle de vie des incidents

La gestion des incidents implique l'affectation, la classification et la résolution.

  1. Attribuer un incident : sur la page de détails de l'incident, dans la section Présentation, vous pouvez attribuer l'incident à un analyste spécifique. Cliquez sur Attribuer à et sélectionnez un utilisateur.
  2. Modifier le statut : modifiez le Statut de l'incident au fur et à mesure que l'enquête progresse (par exemple, « Nouveau », « En cours », « Résolu »).
  3. Classifier l'incident : lors de la résolution d'un incident, vous devez le classer à des fins d'apprentissage et de création de rapports. Cliquez sur Classification et sélectionnez :
    • « Vrai positif » (s'il s'agit d'une menace réelle)
    • Faux Positif (s'il s'agit d'une alerte incorrecte)
    • « Activité attendue » (si c'est une activité légitime qui a déclenché l'alerte)
    • Ajoutez un Commentaire pour documenter la résolution.
  4. Ajouter des commentaires : utilisez la section Commentaires et historique pour enregistrer les étapes de l'enquête, les conclusions et les mesures prises.

5. Effectuer des actions de réponse

Sur la base de l'enquête, vous pouvez prendre des mesures de réponse directement depuis le portail.

  1. Dans l'onglet Appareils ou Utilisateurs de l'incident, sélectionnez une entité concernée (par exemple, un appareil).
  2. Les actions disponibles incluent :
    • Isoler l'appareil : déconnecte l'appareil du réseau pour contenir la menace.
    • Restreindre l'exécution des applications : empêche l'exécution d'applications non autorisées.
    • Exécuter une analyse antivirus : démarre une analyse complète de l'appareil.
    • Collecter le package d'enquête : collecte les journaux et les données médico-légales de l'appareil.
    • Désactiver l'utilisateur : désactive le compte utilisateur dans Azure AD.
    • Réinitialiser le mot de passe utilisateur : Force la réinitialisation du mot de passe utilisateur.

Validation et tests

Pour valider la surveillance des incidents, il est important de simuler un scénario d'attaque et de vérifier que le portail Microsoft 365 Defender le détecte et le corrèle correctement.

1. Simuler une attaque (Exemple : Test EICAR)

Utilisez le fichier EICAR (European Institute for Computer Antivirus Research) pour simuler une détection de malware (comme décrit dans l'Article 1 - Defender for Endpoint).

  1. Sur un appareil intégré à Defender pour Endpoint, essayez de télécharger ou de créer un fichier EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. Defender for Endpoint doit détecter et bloquer le fichier.
  3. Dans le portail Microsoft 365 Defender, accédez à Incidents et alertes > Alertes.
  4. Vous devriez voir une alerte liée à la détection EICAR.
  5. Vérifiez si cette alerte a été corrélée à un incident existant ou si un nouvel incident a été créé.

2. Vérifiez le temps de réponse et la corrélation

Observez le temps nécessaire pour qu'une alerte soit générée et corrélée à un incident après la simulation. Cela vous aide à comprendre l’efficacité de la surveillance en temps réel.

Conseils de sécurité et bonnes pratiques

  • Intégrer toutes les sources : connectez autant de sources de données et de produits Defender que possible au portail Microsoft 365 Defender pour obtenir la vue la plus complète et la meilleure corrélation des incidents.
  • Définir les rôles et les responsabilités : Établissez clairement qui est responsable de la surveillance, des enquêtes et de la réponse aux incidents.
  • Automatiser les réponses simples : utiliser les ressourcesOutils d'automatisation (playbooks) pour répondre automatiquement aux types d'alertes de faible gravité ou pour collecter des informations supplémentaires sur les alertes de haute gravité.
  • Restez à jour : restez à jour avec les nouvelles fonctionnalités et capacités de Microsoft 365 Defender car la plate-forme est constamment améliorée.
  • Formation continue : investissez dans la formation de votre équipe SecOps afin qu'elle se familiarise avec les derniers outils et tactiques d'attaque.
  • Exercices de simulation : effectuez régulièrement des exercices de simulation d'incidents pour tester l'efficacité de vos processus et outils.

Dépannage courant

  • Les alertes n'apparaissent pas dans le portail : vérifiez que les produits Defender concernés sont actifs et correctement configurés. Assurez-vous que vos connecteurs de données fonctionnent et envoient des journaux. Vérifiez les paramètres des règles de détection sur les produits Defender individuels.
  • Alertes non corrélées entre incidents : Microsoft 365 Defender est automatiquement corrélé. Si les alertes associées ne sont pas regroupées, il peut y avoir un retard dans l'ingestion des journaux ou les informations contextuelles (utilisateur, appareil, IP) peuvent ne pas être suffisantes pour une corrélation automatique. Vérifiez les journaux d’audit et le temps d’ingestion.
  • Problèmes de performances du portail : videz le cache de votre navigateur, essayez d'utiliser un autre navigateur ou vérifiez votre connectivité réseau. En cas de volumes de données importants, le chargement de l'interface peut prendre un certain temps.
  • Les actions de réponse échouent : vérifiez les autorisations du compte qui tente d'effectuer l'action. Assurez-vous que l’appareil ou l’utilisateur cible est en ligne et accessible par les services Defender.

Conclusion

Le portail Microsoft 365 Defender est un outil indispensable pour toute organisation recherchant une stratégie de sécurité proactive et réactive efficace. En centralisant la surveillance des incidents, en corrélant les alertes provenant de plusieurs sources et en fournissant des capacités complètes d'enquête et de réponse, il permet aux équipes SecOps de protéger leurs environnements en temps réel. La mise en œuvre et l'utilisation efficace de cette plateforme améliore non seulement la visibilité des menaces, mais réduit également considérablement le temps de réponse, renforçant ainsi la cyber-résilience de l'organisation contre les attaques les plus sophistiquées.

Références :

[1] Microsoft Apprendre. Portail Microsoft 365 Defender. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Apprendre. Présentation des incidents dans Microsoft 365 Defender. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Apprendre. Exigences de licence Microsoft 365 Defender. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide