Tutoriel : Examiner des utilisateurs à risqueTutorial: Investigate risky users

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Des équipes des opérations de sécurité sont mises au défi de surveiller l’activité de l’utilisateur, suspecte ou pas, dans toutes les dimensions de la surface d’attaque d’identité, à l’aide de plusieurs solutions de sécurité qui souvent ne sont pas connectées.Security operations teams are challenged to monitor user activity, suspicious or otherwise, across all dimensions of the identity attack surface, using multiple security solutions that often are not connected. Alors que de nombreuses sociétés ont maintenant des équipes de chasse pour identifier de façon proactive les menaces dans leurs environnements, le fait de connaître ce que vous recherchez dans la vaste quantité de données peut être un défi.While many companies now have hunting teams to proactively identify threats in their environments, knowing what to look for across the vast amount of data can be a challenge. Microsoft Cloud App Security simplifie désormais le problème en éliminant la nécessité de créer des règles de corrélation complexes et vous permet de détecter les attaques qui s’étendent sur votre cloud et réseau local.Microsoft Cloud App Security now simplifies this by taking away the need to create complex correlation rules, and lets you look for attacks that span across your cloud and on-premises network.

Pour vous aider à vous concentrer sur l’identité des utilisateurs, Microsoft Cloud App Security fournit l’analyse comportementale des utilisateurs et des entités (UEBA) dans le cloud.To help you focus on user identity, Microsoft Cloud App Security provides user entity behavioral analytics (UEBA) in the cloud. Vous pouvez l’étendre à votre environnement local en l’intégrant à Microsoft Defender pour Identity.This can be extended to your on-premises environment by integrating with Microsoft Defender for Identity. Une fois l’intégration à Defender pour Identity terminée, vous obtiendrez également le contexte de l’identité de l’utilisateur grâce à son intégration native à Active Directory.After you integrate with Defender for Identity, you will also gain context around user identity from its native integration with Active Directory.

Que votre déclencheur soit une alerte visible dans le tableau de bord Cloud App Security ou que vous disposiez d’informations provenant d’un service de sécurité tiers, démarrez votre enquête à partir du tableau de bord Cloud App Security pour explorer en profondeur les utilisateurs à risque.Whether your trigger is an alert you see in the Cloud App Security dashboard, or whether you have information from a third-party security service, start your investigation from the Cloud App Security dashboard to deep dive into risky users.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud App Security pour examiner les utilisateurs à risque :In this tutorial, you'll learn how to use Cloud App Security to investigate risky users:

Comprendre le score de priorité d’examenUnderstand the investigation priority score

Le score de priorité d’examen est fourni par Cloud App Security à chaque utilisateur pour vous permettre de savoir quel risque présente un utilisateur par rapport à d’autres utilisateurs de votre organisation.The investigation priority score is a score Cloud App Security gives to each user to let you know how risky a user is relative to other users in your organization.

Utilisez le score de priorité d’examen pour identifier les utilisateurs à examiner en premier.Use the Investigation priority score to determine which users to investigate first. Cloud App Security crée des profils d'utilisateur pour chaque utilisateur en fonction de diverses analyses prenant en compte l’heure, les groupes homologues et l’activité attendue.Cloud App Security builds user profiles for each user based on analytics that take time, peer groups, and expected user activity into consideration. Toute activité jugée anormale par rapport à la référence d'un utilisateur est évaluée et notée.Activity that is anomalous to a user's baseline is evaluated and scored. Une fois le score évalué, les calculs homologues dynamiques propriétaires de Microsoft et l'apprentissage automatique sont exécutés sur les activités de l'utilisateur pour calculer la priorité d'examen pour chaque utilisateur.After scoring is complete, Microsoft's proprietary dynamic peer calculations and machine learning are run on the user activities to calculate the investigation priority for each user.

Le score de priorité d'examen vous permet de détecter à la fois les employés malveillants et les menaces externes qui se propagent latéralement dans votre organisation, sans avoir à vous fier aux détections déterministes standard.The Investigation priority score provides you with the ability to detect both malicious insiders, and external attackers moving laterally in your organizations, without having to rely on standard deterministic detections.

Le score de priorité d’examen est basé sur les alertes de sécurité, les activités anormales et l’impact potentiel sur les activités et les ressources de chaque utilisateur pour vous aider à déterminer à quel point il est urgent d’examiner chaque utilisateur spécifique.The investigation priority score is based on security alerts, abnormal activities, and potential business and asset impact related to each user to help you assess how urgent it is to investigate each specific user.

Si vous cliquez sur le score d'une alerte ou d'une activité, vous pouvez voir les preuves sur lesquelles Cloud App Security s’est appuyé pour noter l'activité.If you click on the score value for an alert or an activity, you can view the evidence that explains how Cloud App Security scored the activity.

Chaque utilisateur Azure AD dispose d’un score de priorité d’examen dynamique, constamment mis à jour en fonction du comportement et de l’impact récents, calculé à partir des données évaluées par Defender pour Identity et Cloud App Security.Every Azure AD user has a dynamic investigation priority score, that is constantly updated based on recent behavior and impact, built from data evaluated from Defender for Identity and Cloud App Security. Vous pouvez maintenant identifier immédiatement les principaux utilisateurs à risque en les filtrant par score de priorité d’examen, puis vérifier directement leur impact sur l’entreprise et examiner toutes les activités connexes, qu’il s’agisse d’informations compromises, de données exfiltrées ou de menaces provenant des employés.You can now immediately understand who the real top risky users are, by filtering according to Investigation priority score, directly verify what their business impact is, and investigate all related activities – whether they are compromised, exfiltrating data, or acting as insider threats.

Cloud App Security utilise les fonctionnalités suivantes pour mesurer le risque :Cloud App Security uses the following to measure risk:

  • Score d’alerteAlert scoring
    Le score d'alerte représente l'impact potentiel d'une alerte spécifique sur chaque utilisateur.The alert score represents the potential impact of a specific alert on each user. Le score d’alerte est basé sur la gravité, l'impact sur les utilisateurs ainsi que le niveau de propagation chez les autres utilisateurs et dans toutes les entités de l'organisation.Alert scoring is based on severity, user impact, alert popularity across users, and all entities in the organization.

  • Score d’activitéActivity scoring
    Le score d'activité détermine la probabilité qu'un utilisateur donné effectue une activité spécifique, en fonction de l'apprentissage comportemental de l'utilisateur et de ses collègues.The activity score determines the probability of a specific user performing a specific activity, based on behavioral learning of the user and their peers. Les activités identifiées comme étant les plus anormales reçoivent les scores les plus élevés.Activities identified as the most abnormal receive the highest scores.

Phase 1 : Se connecter aux applications à protégerPhase 1: Connect to the apps you want to protect

  1. Connectez au moins une application à Microsoft Cloud App Security à l’aide de connecteurs API.Connect at least one app to Microsoft Cloud App Security using the API connectors. Pour commencer, nous vous recommandons de connecter Office 365.We recommend that you start by connecting Office 365.
  2. Connectez des applications supplémentaires à l’aide du proxy pour mettre en place le contrôle d’application par accès conditionnel.Connect additional apps using the proxy to achieve conditional access app control.
  3. Pour activer les insights sur votre environnement local, configurez Cloud App Security pour s’intégrer à votre environnement Defender pour Identity.To enable insights across your on-premises environment, configure Cloud App Security to integrate with your Defender for Identity environment.

Phase 2 : Identifier les principaux utilisateurs à risquePhase 2: Identify top risky users

Pour identifier vos utilisateurs présentant le plus de risques dans Cloud App Security :To identify who your riskiest users are in Cloud App Security:

  1. Accédez au tableau de bord Cloud App Security et recherchez les personnes identifiées dans la mosaïque Top users by investigation priority (Principaux utilisateurs par priorité d’examen), puis examinez une à une la page de ces utilisateurs.Go to the Cloud App Security dashboard and look at the people identified in the Top users by investigation priority tile, and then one by one go to their user page to investigate them.
    Le numéro de priorité d’examen, affiché en regard du nom d’utilisateur, correspond à la somme de toutes les activités à risque de l’utilisateur au cours de la semaine dernière.The investigation priority number, found next to the user name, is a sum of all the user's risky activities over the last week.

    Tableau de bord des principaux utilisateurs

  2. Cliquez sur un utilisateur pour accéder à la page Utilisateur.Click on a particular user to get to the User page. Page UtilisateurUser page

  3. Passez en revue les informations de la page Utilisateur pour obtenir une vue d’ensemble de l’utilisateur et vérifier s’il existe des cas où l’utilisateur a effectué des activités inhabituelles pour lui ou si elles ont été réalisées à un moment inhabituel.Review the information in the User page to get an overview of the user and see if there are points at which the user performed activities that were unusual for that user or were performed at an unusual time. Le score de l’utilisateur par rapport à l’organisation représente le centile de cet utilisateur dans le classement dans votre organisation, c’est-à-dire à quel niveau il figure sur la liste des utilisateurs que vous devriez examiner, par rapport aux autres utilisateurs de votre organisation.The User's score compared to the organization represents which percentile the user is in based on their ranking in your organization - how high they are on the list of users you should investigate, relative to other users in your organization. Le chiffre s’affiche en rouge si un utilisateur se situe dans ou au-dessus du 90e centile des utilisateurs à risque de votre organisation.The number will be red if a user is in or above the 90th percentile of risky users across your organization.
    La page Utilisateur vous aide à répondre aux questions suivantes :The User page helps you answer the questions:

    • Qui est l’utilisateur ?Who is the user?
      Consultez le volet de gauche pour obtenir des informations sur l’identité de l’utilisateur et ce que l’on sait sur lui.Look at the left pane to get information about who the user is and what is known about them. Ce volet vous fournit des informations sur le rôle de l'utilisateur dans votre entreprise et son service.This pane provides you with information about the user's role in your company and their department. L'utilisateur est-il un ingénieur DevOps qui effectue souvent des activités inhabituelles dans le cadre de son travail ?Is the user a DevOps engineer who often performs unusual activities as part of their job? L'utilisateur est-il un employé mécontent qui s’est vu refuser une promotion ?Is the user a disgruntled employee who just got passed over for a promotion?

    • S’agit-il d’un utilisateur à risque ?Is the user risky?
      Consultez la partie supérieure du volet de droite pour savoir l’examen de cet utilisateur est justifié.Check out the top of the right pane so you know whether it's worth your while to investigate the user. Quel est le score de risque de l'employé ?What is the employee's risk score?

    • Quel risque l’utilisateur présente-t-il pour votre organisation ?What's risk does the user present to your organization?
      Consultez la liste dans le volet inférieur, qui vous indique chaque activité et chaque alerte liées à l'utilisateur. Cette liste vous aide à comprendre quel type de risque l'utilisateur représente.Look at the list in the bottom pane, which provides you with each activity and each alert related to the user to help you start understanding what type of risk the user represents. Dans la chronologie, cliquez sur chaque ligne afin de descendre encore plus dans la hiérarchie de l’activité ou de l’alerte elle-même.In the timeline, click on each line so you can drill down deeper into the activity or alert itself. Vous pouvez cliquer également sur le numéro en regard de l’activité afin que vous puissiez comprendre la preuve qui influence le score lui-même.You can click also on the number next to the activity so that you can understand the evidence that influenced the score itself.

    • Quels sont les risques pour les autres ressources de votre organisation ?What's the risk to other assets in your organization?
      Sélectionnez l’onglet Chemins de mouvement latéral pour identifier les chemins qu’un attaquant peut utiliser pour prendre le contrôle d’autres ressources de votre organisation.Select the Lateral movement paths tab to understand which paths an attacker can use to gain control of other assets in your organization. Par exemple, même si le compte de l’utilisateur que vous examinez n’est pas sensible, l’attaquant peut se servir des connexions au compte pour découvrir et tenter de compromettre des comptes sensibles dans votre réseau.For example, even if the user you are investigating has a non-sensitive account, an attacker can use connections to the account to discover and attempt to compromise sensitive accounts in your network. Pour plus d’informations, consultez Utilisation des chemins de mouvement latéral.For more information, see Use Lateral Movement Paths.

Notes

Remarque importante : même si la page Utilisateur fournit des informations sur les appareils, les ressources et les comptes pour toutes les activités, le score de priorité d’examen correspond à la somme de toutes les activités et alertes à risque identifiées au cours des 7 derniers jours.It is important to remember that while the User page provides information for devices, resources, and accounts across all activities, the investigation priority score is the sum of all risky activities and alerts over the last 7 days.

Phase 3 : Examiner davantage les utilisateursPhase 3: Further investigate users

Lorsque vous examinez un utilisateur en fonction d’une alerte ou si vous avez vu une alerte dans un système externe, il peut y avoir des activités qui peuvent ne pas être la cause d’une alerte seules, mais lorsque Cloud App Security les agrège avec d’autres activités, l’alerte peut indiquer un événement suspect.When you investigate a user based on an alert or if you saw an alert in an external system, there may be activities which alone may not be cause for alarm, but when Cloud App Security aggregates them together with other activities, the alert may be an indication of a suspicious event.

Lorsque vous examinez un utilisateur, posez-vous ces questions sur les activités et les alertes affichées :When you investigate a user, you want to ask these questions about the activities and alerts you see:

  • Y a-t-il une justification métier pour que cet employé effectue ces activités ?Is there a business justification for this employee to perform these activities? Par exemple, si une personne du Marketing accède à la base de code ou une personne du Développement accède à une base de données Finance, vous devez suivre l’employé pour vous assurer qu’il s’agissait d’une activité intentionnelle et justifiée.For example, if someone from Marketing is accessing the code base, or someone from Development accesses the Finance database, you should follow up with the employee to make sure this was an intentional and justified activity.

  • Accédez au journal d’activité pour comprendre pourquoi cette activité a reçu un score élevé, tandis que d’autres n’ont pas reçu ce score.Go to the Activity log to understand why this activity received a high score while others did not. Vous pouvez définir la Priorité d’examen sur Est défini pour comprendre quelles activités sont suspectes.You can set the Investigation priority to Is set to understand which activities are suspicious. Par exemple, vous pouvez filtrer selon la Priorité d’examen pour toutes les activités qui se sont produites en Ukraine.For example, you can filter based on Investigation priority for all activities that occurred in Ukraine. Vous verrez alors si d’autres activités à risque se sont produites et à quel endroit l'utilisateur s'est connecté. Pour poursuivre l’examen, il est très facile de basculer vers d’autres aspects, par exemple les dernières activités non anormales dans le cloud et localement.Then you can see whether there were other activities that were risky, where the user connected from, and you can very easily pivot to other drill downs, such as recent non-anomalous cloud and on-prem activities, to continue your investigation.

Phase 4 : Protéger votre organisationPhase 4: Protect your organization

Si votre enquête débouche sur la conclusion qu’un utilisateur est compromis, effectuez les étapes suivantes pour réduire le risque.If your investigation leads you to the conclusion that a user is compromised, follow these steps to mitigate the risk.

  • Contactez l’utilisateur : utilisez les informations de contact de l’utilisateur intégrées à Cloud App Security à partir d’Active Directory pour explorer au niveau du détail chaque alerte et activité afin de résoudre l’identité de l’utilisateur.Contact the user – Using the user contact information integrated with Cloud App Security from Active Directory, you can drill down into each alert and activity to resolve the user identity. Assurez-vous que l’utilisateur est familiarisé avec les activités.Make sure the user is familiar with the activities.

  • Directement sur le portail Cloud App Security, cliquez sur le contrôle Actions de l’utilisateur et indiquez si vous souhaitez demander à l’utilisateur de se reconnecter, le suspendre ou confirmer qu’il est compromis.Directly from the Cloud App Security portal, click on the User actions control and choose whether to require the user to sign in again, suspend the user, or confirm user compromised.

  • Dans le cas d’une identité compromise, vous pouvez demander à l’utilisateur de réinitialiser son mot de passe et de vérifier que le mot de passe répond aux bonnes pratiques en matière de longueur et de complexité.In case of a compromised identity, you can ask the user to reset their password, making sure the password meets best practice guidelines for length and complexity.

  • Si vous examinez une alerte et estimez que l'activité n'aurait pas dû déclencher cette alerte, dans le tiroir Activité, cliquez sur le lien Envoyez-nous des commentaires pour nous permettre d'ajuster notre système d'alerte en fonction de votre organisation.If you drill down into an alert and determine that the activity should not have triggered an alert, in the Activity drawer, click the Send us feedback link so that we can be sure to fine tune our alerting system with your organization in mind.

  • Une fois le problème résolu, fermez l’alerte.After you remediate the issue, close the alert.

Voir aussiSee also

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.