Alertes de sécurité dans Azure Security CenterSecurity alerts in Azure Security Center

Dans Azure Security Center, il existe une variété d’alertes pour les nombreux types de ressources.In Azure Security Center, there are a variety of alerts for many different resource types. Security Center génère des alertes pour les ressources déployées sur Azure et pour les ressources déployées sur les environnements cloud hybride et locaux.Security Center generates alerts for resources deployed on Azure, and also for resources deployed on on-premises and hybrid cloud environments.

Les alertes de sécurité sont déclenchées par des détections avancées et sont disponibles uniquement dans le niveau Standard d’Azure Security Center.Security alerts are triggered by advanced detections and are available only in the standard tier of Azure Security Center. Un essai gratuit est disponible.A free trial is available. Vous pouvez procéder à une mise à niveau à partir de la page Tarification et paramètres.You can upgrade from the Pricing & settings page. En savoir plus sur la tarification de Security Center.Learn more about Security Center pricing.

Répondre aux menaces actuelles Respond to today's threats

Les menaces ont fortement évolué au cours des 20 dernières années.There have been significant changes in the threat landscape over the last 20 years. Auparavant, les entreprises avaient uniquement à se soucier de la dégradation des sites web par des attaquants isolés qui cherchaient principalement à découvrir « jusqu’où ils pouvaient aller ».In the past, companies typically only had to worry about web site defacement by individual attackers who were mostly interested in seeing "what they could do". Les pirates d’aujourd’hui sont beaucoup plus évolués et organisés.Today's attackers are much more sophisticated and organized. Ils ont souvent des objectifs financiers et stratégiques spécifiques.They often have specific financial and strategic goals. Ils ont également davantage de ressources disponibles, car ils peuvent être financés par des États-nations ou encore par le crime organisé.They also have more resources available to them, as they may be funded by nation states or organized crime.

Ces évolutions ont conduit à un niveau inédit de professionnalisme dans les rangs des attaquants.These changing realities have led to an unprecedented level of professionalism in the attacker ranks. Ces derniers ne s’intéressent plus à la dégradation de site web,No longer are they interested in web defacement. mais plutôt au vol d’informations, aux comptes financiers et aux données privées qu’ils peuvent utiliser pour générer des liquidités sur le marché ouvert ou pour exploiter une activité commerciale particulière, ou encore une position politique ou militaire.They are now interested in stealing information, financial accounts, and private data – all of which they can use to generate cash on the open market or to leverage a particular business, political, or military position. Les pirates qui violent les réseaux afin de nuire à l’infrastructure et aux personnes constituent une menace bien plus importante que ceux avec des objectifs financiers.Even more concerning than those attackers with a financial objective are the attackers who breach networks to do harm to infrastructure and people.

Face au problème, les organisations déploient souvent plusieurs solutions, axées sur la défense du périmètre de l’entreprise ou de points de terminaison, en recherchant des signatures d’attaques connues.In response, organizations often deploy various point solutions, which focus on defending either the enterprise perimeter or endpoints by looking for known attack signatures. Ces solutions ont tendance à générer un volume élevé d’alertes basse fidélité, qui nécessitent qu’un analyste les trie et les examine.These solutions tend to generate a high volume of low fidelity alerts, which require a security analyst to triage and investigate. La plupart des organisations ne disposent pas du temps et de l’expertise nécessaires pour répondre à ces alertes, qui restent alors bien souvent sans réponse.Most organizations lack the time and expertise required to respond to these alerts – so many go unaddressed.

En outre, les attaquants ont fait évoluer leurs méthodes pour compromettre les nombreuses défenses basées sur la signature et pour s’adapter aux environnements de cloud.In addition, attackers have evolved their methods to subvert many signature-based defenses and adapt to cloud environments. De nouvelles approches sont nécessaires pour identifier plus rapidement les nouvelles menaces, et accélérer la détection et la réaction.New approaches are required to more quickly identify emerging threats and expedite detection and response.

Définition des alertes de sécurité et des incidents de sécuritéWhat are security alerts and security incidents?

Les alertes sont les notifications générées par Security Center lorsqu’il détecte des menaces pesant sur des ressources.Alerts are the notifications that Security Center generates when it detects threats on your resources. Security Center hiérarchise et répertorie les alertes ainsi que les informations vous permettant d’analyser rapidement le problème.Security Center prioritizes and lists the alerts, along with the information needed for you to quickly investigate the problem. Security Center fournit également des suggestions sur la manière dont vous pouvez corriger les problèmes liés à une attaque.Security Center also provides recommendations for how you can remediate an attack.

Un incident de sécurité est une collection d’alertes apparentées, par opposition à une présentation individuelle des alertes.A security incident is a collection of related alerts, instead of listing each alert individually. Security Center utilise la corrélation des alertes intelligentes cloud pour mettre en corrélation différentes alertes et signaux faibles en incidents de sécurité.Security Center uses Cloud Smart Alert Correlation to correlate different alerts and low fidelity signals into security incidents.

À l’aide d’incidents, Security Center vous offre une vue unique d’une campagne d’attaque et de toutes les alertes associées.Using incidents, Security Center provides you with a single view of an attack campaign and all of the related alerts. Cette vue vous permet de comprendre rapidement quelles actions l’attaquant a effectuées et quelles ressources ont été impactées.This view enables you to quickly understand what actions the attacker took, and what resources were affected. Pour plus d’informations, consultez Corrélation des alertes intelligentes cloud.For more information, see Cloud smart alert correlation.

Comment Security Center détecte-t-il les menaces ?How does Security Center detect threats?

Les chercheurs en sécurité de Microsoft sont constamment à l’affût des nouvelles menaces.Microsoft security researchers are constantly on the lookout for threats. Grâce à la présence mondiale de Microsoft sur le cloud et localement, ils ont accès à un vaste jeu de télémétrie.Because of Microsoft's global presence in the cloud and on-premises, they have access to an expansive set of telemetry. La collection diverse et étendue de jeux de données permet de détecter de nouveaux modèles et de nouvelles tendances d’attaques dans ses produits locaux destinés au consommateur et aux entreprises, ainsi que dans ses services en ligne.The wide-reaching and diverse collection of datasets enables the discovering of new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services. Par conséquent, Azure Security Center peut rapidement mettre à jour ses algorithmes de détection, puisque les pirates sont à l’origine d’attaques innovantes de plus en plus sophistiquées.As a result, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Cette approche permet de faire face à des menaces en pleine mutation.This approach helps you keep pace with a fast moving threat environment.

Pour détecter les menaces réelles et réduire le nombre de faux positifs, Security Center collecte, analyse et intègre automatiquement les données de journaux provenant de vos ressources Azure et du réseau.To detect real threats and reduce false positives, Security Center collects, analyzes, and integrates log data from your Azure resources and the network. Cela fonctionne également avec les solutions de partenaires connectées, comme les solutions de pare-feu et de protection de point de terminaison.It also works with connected partner solutions, like firewall and endpoint protection solutions. Security Center analyse ces informations, souvent issues de plusieurs sources, pour identifier les menaces.Security Center analyzes this information, often correlating information from multiple sources, to identify threats.

Collecte et présentation des données dans Azure Security Center

Azure Security Center emploie des analyses de sécurité avancées allant bien au-delà des approches simplement basées sur la signature.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Les innovations en matière de Big Data et de technologies Machine Learning sont mises à profit pour évaluer des événements dans toute la structure du cloud, et permettent ainsi de détecter des menaces qui seraient impossibles à identifier à l’aide de méthodes manuelles et de prédire l’évolution des attaques.Breakthroughs in big data and machine learning technologies are leveraged to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. Ces analyses de sécurité comprennent les éléments suivants :These security analytics include:

  • Threat Intelligence intégrée : Microsoft dispose d’une multitude d’informations en matière de menaces à l’échelle mondiale.Integrated threat intelligence: Microsoft has an immense amount of global threat intelligence. La télémétrie provient de plusieurs sources, telles qu’Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) et Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC). Les chercheurs reçoivent aussi les informations sur les menaces partagées par les principaux fournisseurs de services cloud et les flux en provenance d’autres tiers.Researchers also receive threat intelligence information that is shared among major cloud service providers and feeds from other third parties. Azure Security Center peut utiliser ces informations pour vous alerter en cas de menaces provenant d’éléments malveillants connus.Azure Security Center can use this information to alert you to threats from known bad actors.

  • Analytique comportementale : L’analyse comportementale est une technique qui analyse et compare les données à une collection de modèles connus.Behavioral analytics: Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. Toutefois, ces modèles ne sont pas de simples signatures.However, these patterns are not simple signatures. Ils sont déterminés par le biais d’algorithmes d’apprentissage automatique appliqués aux ensembles de données massifs.They are determined through complex machine learning algorithms that are applied to massive datasets. Ils sont également déterminés à travers une analyse minutieuse des comportements malveillants par des experts.They are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center peut utiliser l’analyse comportementale pour identifier les ressources compromises en se basant sur l’analyse des journaux d’activité de la machine virtuelle, des journaux d’activité du périphérique réseau virtuel, des journaux d’activité Service Fabric et d’autres sources.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, and other sources.

  • Détection des anomalies : Azure Security Center utilise également la détection des anomalies pour identifier les menaces.Anomaly detection: Azure Security Center also uses anomaly detection to identify threats. Contrairement à l’analyse comportementale (qui dépend de modèles connus dérivés de grands jeux de données), la détection d’anomalie est « personnalisée » et se concentre sur les lignes de base propres à vos déploiements.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more "personalized" and focuses on baselines that are specific to your deployments. L’apprentissage automatique est appliqué pour déterminer l’activité normale de vos déploiements et les règles sont générées pour définir les conditions de valeurs aberrantes pouvant signaler un événement de sécurité.Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event.

Comment les alertes sont-elles classifiées ?How are alerts classified?

Security Center affecte un degré de gravité aux alertes pour vous aider à hiérarchiser l’ordre dans lequel vous remédiez à chaque alerte. Ainsi, quand une ressource est compromise, vous pouvez vous en occuper immédiatement.Security Center assigns a severity to alerts, to help you prioritize the order in which you attend to each alert, so that when a resource is compromised, you can get to it right away. La gravité dépend du niveau de confiance que Security Center accorde à la recherche ou aux données analytiques utilisées pour émettre l’alerte, mais aussi de l’intention malveillante estimée de l’activité à l’origine de l’alerte.The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Notes

La gravité des alertes s’affiche différemment dans le portail et les versions de l’API REST antérieures au 01-01-2019.Alert severity is displayed differently in the portal and versions of the REST API that predate 01-01-2019. Si vous utilisez une ancienne version de l’API, effectuez une mise à niveau pour bénéficier de l’expérience cohérente décrite ci-dessous.If you're using an older version of the API, upgrade for the consistent experience described below.

  • Élevée : il est fort probable que votre ressource ait été compromise.High: There is a high probability that your resource is compromised. Vous devez étudier le problème immédiatement.You should look into it right away. Security Center est très confiant quant à l’intention malveillante et aux constats à l’origine de l’alerte.Security Center has high confidence in both the malicious intent and in the findings used to issue the alert. Par exemple, une alerte qui détecte l’exécution d’un outil malveillant connu, tel que Mimikatz, un outil couramment utilisé pour dérober des informations d’identification.For example, an alert that detects the execution of a known malicious tool such as Mimikatz, a common tool used for credential theft.
  • Moyenne : il s’agit probablement d’une activité suspecte pouvant indiquer qu’une ressource est compromise.Medium: This is probably a suspicious activity may indicate that a resource is compromised. Le niveau de confiance de Security Center dans l’analyse et la recherche est moyen, tandis le niveau de confiance quant à l’intention malveillante est moyen ou élevé.Security Center's confidence in the analytic or finding is medium and the confidence of the malicious intent is medium to high. Il s’agit généralement de détections basées sur des anomalies ou l’apprentissage automatique.These would usually be machine learning or anomaly-based detections. Par exemple, une tentative de connexion depuis un emplacement anormal.For example, a sign-in attempt from an anomalous location.
  • Basse : cela peut être un positif sans gravité ou une attaque bloquée.Low: This might be a benign positive or a blocked attack.
    • Security Center n’est pas suffisamment confiant sur le fait que l’intention soit malveillante, et l’activité peut être innocente.Security Center is not confident enough that the intent is malicious and the activity may be innocent. Par exemple, l’effacement des journaux est une action qui peut se produire lorsqu’un pirate tente de masquer ses traces mais, dans de nombreux cas, il s’agit d’une opération de routine effectuée par les administrateurs.For example, log clear is an action that may happen when an attacker tries to hide their tracks, but in many cases is a routine operation performed by admins.
    • Security Center n’indique généralement pas les attaques bloquées, sauf s’il s’agit d’un cas qu’il peut être intéressant d’examiner.Security Center doesn't usually tell you when attacks were blocked, unless it's an interesting case that we suggest you look into.
  • Informationnelle : vous voyez les alertes informatives seulement lorsque vous explorez en profondeur un incident de sécurité, ou si vous utilisez l’API REST avec un ID d’alerte spécifique.Informational: You will only see informational alerts when you drill down into a security incident, or if you use the REST API with a specific alert ID. Un incident est généralement constitué de plusieurs d’alertes, dont certaines peuvent apparaître séparément comme informatives uniquement mais, dans le contexte des autres alertes, mériter un examen plus approfondi.An incident is typically made up of a number of alerts, some of which may appear on their own to be only informational, but in the context of the other alerts may be worthy of a closer look.

Surveillance et évaluations continuesContinuous monitoring and assessments

Azure Security Center s’appuie sur des équipes de recherche de sécurité et de sciences des données au sein de Microsoft qui surveillent en continu les évolutions en matière de menaces.Azure Security Center benefits from having security research and data science teams throughout Microsoft who continuously monitor for changes in the threat landscape. Cela inclut les initiatives suivantes :This includes the following initiatives:

  • Analyse des informations sur les menaces : les informations sur les menaces incluent des mécanismes, des indicateurs, des implications et des conseils pratiques sur les menaces, nouvelles ou existantes.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Ces informations sont partagées avec la communauté dédiée à la sécurité, et Microsoft surveille en permanence le flux des informations sur les menaces provenant de sources internes et externes.This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.
  • Partage de signal : les informations fournies par les équipes de sécurité sur le portefeuille complet de services cloud et locaux, de serveurs et d’appareils de point de terminaison client de Microsoft sont partagées et analysées.Signal sharing: Insights from security teams across Microsoft's broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.
  • Spécialistes de la sécurité Microsoft : engagement continu avec les équipes Microsoft travaillant dans des domaines de la sécurité spécialisés, tels que la forensique et la détection d’attaques web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.
  • Réglage de la détection : des algorithmes sont exécutés sur les jeux de données client réels, et les chercheurs en sécurité collaborent avec les clients pour valider les résultats.Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. Les vrais et les faux positifs sont utilisés pour affiner les algorithmes d’apprentissage automatique.True and false positives are used to refine machine learning algorithms.

Ces efforts combinés aboutissent à de nouvelles détections et à des améliorations, dont vous pouvez bénéficier instantanément sans aucune action de votre part.These combined efforts culminate in new and improved detections, which you can benefit from instantly – there's no action for you to take.

Étapes suivantesNext steps

Cet article vous a présenté les différents types d’alertes disponibles dans Azure Security Center.In this article, you learned about the different types of alerts available in Security Center. Pour plus d'informations, consultez les pages suivantes :For more information, see: