Utilisation de Microsoft Defender pour Identity pour détecter les attaques avancées

Utilisation de Microsoft Defender pour Identity pour détecter les attaques avancées

14/07/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l'utilisation de Microsoft Defender for Identity (MDI), une solution de sécurité basée sur le cloud qui exploite les signaux Active Directory sur site pour identifier, détecter et enquêter sur les menaces avancées et les identités compromises. MDI fait partie intégrante de la suite Microsoft 365 Defender, offrant une visibilité critique sur les activités suspectes dans l'environnement d'identité [1].

Présentation

Les identités sont le nouveau périmètre de sécurité. Les cyberattaques modernes visent souvent à compromettre les informations d’identification des utilisateurs et des administrateurs afin d’obtenir un accès privilégié, d’effectuer des mouvements latéraux et d’exfiltrer des données. Les solutions traditionnelles de sécurité réseau ne suffisent souvent pas à détecter ces tactiques sophistiquées. Microsoft Defender pour Identity comble cette lacune en surveillant le trafic réseau et les journaux d'événements des contrôleurs de domaine pour identifier les comportements anormaux qui indiquent des attaques d'identité, tels que Pass-the-Hash, Pass-the-Ticket, la reconnaissance du réseau et l'élévation de privilèges [2].

Ce guide pratique couvrira la configuration et l'utilisation de MDI, du déploiement de capteurs à l'analyse des alertes et à l'enquête sur les incidents. Des instructions étape par étape, des exemples de détections et des méthodes de validation seront fournis afin que les lecteurs puissent mettre en œuvre et renforcer la protection de leur identité, réduisant ainsi l'exposition aux risques et améliorant la réactivité aux menaces avancées dans leur environnement Microsoft.

Pourquoi Microsoft Defender pour Identity est-il crucial ?

  • Détection d'attaque basée sur l'identité : identifie les tactiques, techniques et procédures (TTP) courantes utilisées dans les attaques d'identité, telles que Pass-the-Hash, Pass-the-Ticket, Golden Ticket, la reconnaissance du réseau et l'élévation de privilèges.
  • Visibilité complète : surveille le trafic réseau des contrôleurs de domaine et des journaux d'événements pour créer un profil du comportement normal des utilisateurs et détecter les anomalies.
  • Intégration avec Microsoft 365 Defender : corrèle les alertes MDI avec les signaux d'autres solutions Defender (Endpoint, Office 365, Cloud Apps) pour une vue unifiée des incidents.
  • Analyse comportementale : utilise l'apprentissage automatique et l'analyse comportementale pour détecter les menaces qui passeraient inaperçues par les signatures traditionnelles.
  • Réduire les faux positifs : les renseignements sur les menaces et le profilage comportemental de Microsoft vous aident à passer outre le bruit et à vous concentrer sur les menaces réelles.

Prérequis

Pour implémenter Microsoft Defender pour Identity, vous aurez besoin des éléments suivants :

  1. Licence : une licence Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 ou une licence autonome Defender pour Identity [3].
  2. Accès administratif : un compte avec le rôle « Administrateur global » ou « Administrateur de sécurité » dans le portail Microsoft 365 Defender (https://security.microsoft.com).
  3. Active Directory Local : un domaine Active Directory local, avec au moins un contrôleur de domaine.
  4. Serveur pour capteur (facultatif, mais recommandé) : Un serveur Windows Server (2012 R2 ou supérieur) pour installer le capteur MDI autonome si vous ne souhaitez pas l'installer directement sur les contrôleurs de domaine. S'il est installé sur un contrôleur de domaine, le capteur utilise les ressources du contrôleur de domaine.
  5. Connectivité réseau : le serveur de capteurs (ou contrôleur de domaine) doit disposer d'une connectivité sortante vers les points de terminaison du service cloud MDI (port TCP 443).

Étape par étape : configuration et utilisation de Microsoft Defender pour Identity

Nous couvrirons le déploiement des capteurs et l’analyse des alertes.

1. Accès au portail Microsoft 365 Defender et configuration de MDI

  1. Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Paramètres > Identités.
  4. Sur la page des paramètres d'identités, vous verrez l'état de votre environnement MDI. S'il n'est pas déjà configuré, suivez les instructions pour commencer la configuration.

2. Téléchargement et installation de Microsoft Defender pour Identity Sensor

Le capteur MDI peut être installé directement dans les contrôleurs dominium ou sur un serveur dédié (capteur autonome).

  1. Dans le portail Microsoft 365 Defender, accédez à Paramètres > Identités > Capteurs.
  2. Cliquez sur Ajouter un capteur.

  3. Copiez la « Clé d'accès » et téléchargez le « Package d'installation du capteur ».

  4. Sur le serveur (contrôleur de domaine ou serveur dédié) sur lequel vous souhaitez installer le capteur :

    • Exécutez le package d'installation (« Azure Advanced Threat Protection Sensor Setup.exe »).
    • Suivez les instructions de l'assistant. Collez la « clé d'accès » lorsque vous y êtes invité.
    • Remarque concernant le capteur autonome : Si vous installez un capteur autonome, assurez-vous que la mise en miroir des ports est configurée sur vos commutateurs réseau pour envoyer le trafic réseau des contrôleurs de domaine vers l'interface réseau du capteur autonome.

  5. Après l'installation, le capteur doit apparaître comme « En cours d'exécution » sur la page Capteurs du portail MDI.

3. Configuration des paramètres du capteur

Il est important de configurer les paramètres du capteur pour garantir une détection optimale.

  1. Dans le portail Microsoft 365 Defender, accédez à Paramètres > Identités > Capteurs.
  2. Cliquez sur un capteur pour modifier ses paramètres.
  3. Vérifiez et configurez :
    • Contrôleurs de domaine : assurez-vous que tous les contrôleurs de domaine pertinents sont répertoriés.
    • Comptes de synchronisation : si vous disposez de plusieurs forêts Active Directory, configurez les comptes de synchronisation pour chaque forêt.
    • Exclusions : (Avec prudence) Configurez des exclusions pour les entités ou activités dont vous savez qu'elles sont légitimes et génèrent des faux positifs.

4. Analyse des alertes de sécurité

MDI génère des alertes lorsqu'il détecte une activité suspecte ou malveillante. Ces alertes sont visibles dans le portail Microsoft 365 Defender.

  1. Dans le volet de navigation gauche du portail Microsoft 365 Defender, sélectionnez Incidents et alertes > Alertes.
  2. Filtrez les alertes par « Service » = « Microsoft Defender pour Identity ».
  3. Cliquez sur une alerte pour afficher les détails, notamment :
    • Description : explique la nature de l'attaque.
    • Entités concernées : utilisateurs, ordinateurs et ressources impliqués.
    • Chronologie de l'attaque : une représentation visuelle de la séquence des événements.
    • Actions recommandées : étapes pour enquêter et corriger l'alerte.

5. Enquêter sur les incidents

MDI met en corrélation les alertes associées entre les incidents, offrant ainsi une vue unifiée d'une attaque.

  1. Dans le volet de navigation gauche du portail Microsoft 365 Defender, sélectionnez Incidents et alertes > Incidents.
  2. Cliquez sur un incident pour voir toutes les alertes et entités associées, ainsi que l'historique complet des attaques.
  3. Utilisez des outils d'investigation pour approfondir l'analyse, tels que « Advanced Hunting » pour les requêtes KQL (Kusto Query Language) personnalisées.

Validation et tests

La validation du MDI est essentielle pour garantir qu’il détecte correctement les menaces et génère des alertes.

1. Simulation d'une attaque Pass-the-Hash (PtH)

Pour simuler une attaque PtH, vous aurez besoin d'un environnement de test avec un contrôleur de domaine et un ordinateur client. Ce test doit être effectué avec une extrême prudence et uniquement dans des environnements contrôlés.

  1. Sur un ordinateur client, utilisez un outil tel que Mimikatz pour extraire le hachage NTLM pour un utilisateur privilégié (par exemple « Administrateur »).
    • Commande (par exemple, nécessite des privilèges élevés) : cmd privilège ::débogage sekurlsa :: mots de passe de connexion
  2. Utilisez le hachage obtenu pour essayer de vous authentifier sur un autre ordinateur du réseau sans le vrai mot de passe.
    • Commande (par exemple, nécessite des privilèges élevés) : cmd sekurlsa :: pth /user:Administrateur /domaine:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Attendez quelques minutes.
  4. Vérifiez le portail Microsoft 365 Defender pour un « Mouvement latéral suspect (Pass-the-Hash) » ou une alerte similaire de Microsoft Defender pour Identity.

2. Simuler une reconnaissance de réseau

  1. Sur une machine de test, exécutez une commande de découverte de réseau que MDI peut détecter.
    • Commande (exemple de requête LDAP pour tous les utilisateurs) : cmd nltest /domain_trusts ou cmd utilisateur dsquery -limite 0
  2. Attendez quelques minutes.
  3. Consultez le portail Microsoft 365 Défendez-vous contre une alerte « Network Awareness (User/Group Enumeration) » ou une alerte similaire de Microsoft Defender for Identity.

Conseils de sécurité et bonnes pratiques

  • Couverture complète des contrôleurs de domaine : installez des capteurs MDI sur tous les contrôleurs de domaine pour garantir une couverture complète du trafic et des journaux d'authentification.
  • Mise en miroir des ports appropriée : pour les capteurs autonomes, assurez-vous que la mise en miroir des ports est correctement configurée pour capturer tout le trafic pertinent.
  • Surveillance continue des alertes : surveillez activement les alertes générées par MDI dans le portail Microsoft 365 Defender et examinez-les rapidement.
  • Intégration SIEM/SOAR : intégrez les alertes MDI à votre SIEM (par exemple Microsoft Sentinel) ou SOAR pour l'automatisation de la réponse aux incidents et la corrélation avec d'autres données de sécurité.
  • Hygiène Active Directory : gardez Active Directory propre et sécurisé en supprimant les comptes inactifs, en appliquant le principe du moindre privilège et en protégeant les comptes privilégiés.
  • Protection des comptes privilégiés : implémentez PIM (Privileged Identity Management) en conjonction avec MDI pour protéger davantage les comptes privilégiés.
  • Patchs et mises à jour : gardez les contrôleurs de domaine et les serveurs hébergeant des capteurs MDI à jour avec les derniers correctifs de sécurité.

Dépannage courant

  • Le capteur n'apparaît pas comme « En cours d'exécution » : Vérifiez la connectivité réseau du capteur au service cloud MDI (port 443). Vérifiez les journaux d'événements sur le serveur de capteurs pour détecter les erreurs d'installation ou de communication. Redémarrez le service du capteur.
  • Aucune alerte générée : Vérifiez si le capteur est « En cours d'exécution ». Assurez-vous que le trafic réseau des contrôleurs de domaine est correctement mis en miroir vers le capteur autonome (le cas échéant). Recherchez les exclusions configurées qui pourraient empêcher la détection.
  • Alertes fausses positives : examinez les détails de l'alerte. Vous devrez peut-être ajuster les exclusions ou les paramètres pour réduire le bruit, mais faites-le avec prudence afin de ne pas ignorer les menaces réelles.
  • Problèmes de performances du contrôleur de domaine : si le capteur MDI est installé directement sur un contrôleur de domaine et qu'il existe des problèmes de performances, vérifiez la configuration matérielle requise et envisagez d'installer un capteur autonome sur un serveur dédié.
  • Problèmes de synchronisation de domaine : assurez-vous que les comptes de synchronisation pour chaque forêt AD sont correctement configurés dans les paramètres MDI.

Conclusion

Microsoft Defender pour Identity est un outil essentiel pour se défendre contre les attaques avancées qui ciblent l'infrastructure d'identité d'une organisation. En offrant une visibilité approfondie sur Active Directory et en détectant les comportements anormaux en temps réel, MDI permet aux équipes de sécurité d'identifier et de répondre rapidement aux menaces telles que les mouvements latéraux, l'élévation des privilèges et la compromission des informations d'identification. La mise en œuvre minutieuse de MDI, combinée aux meilleures pratiques en matière de sécurité des identités et à l’intégration avec d’autres solutions Microsoft 365 Defender, renforce considérablement la posture de sécurité globale. Grâce à ce guide pratique, les professionnels de la sécurité pourront utiliser Microsoft Defender for Identity pour protéger leurs identités les plus précieuses, garantissant ainsi un environnement plus sûr et plus résilient contre les tactiques les plus sophistiquées des attaquants.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour Identity ?. Disponible sur : https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Apprendre. Présentation du déploiement de Microsoft Defender pour Identity. Disponible sur : https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Apprendre. Exigences de licence Microsoft Defender pour Identity. Disponible sur : https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements