Répondre aux alertes
Une fois que vous avez un ensemble d’alertes, vous pouvez sélectionner une alerte de sécurité pour en savoir plus sur les événements qui l’ont déclenchée. Ensuite, vous pouvez voir quelles étapes, le cas échéant, vous devez prendre pour repousser une attaque. Les alertes de sécurité sont regroupées par type et par date. La sélection d’une alerte de sécurité ouvre une vue contenant une liste des alertes, comme le montre la figure suivante :
Dans le cas présent, les alertes qui ont été déclenchées concernent une activité d’authentification suspecte. Chaque alerte fournit les informations suivantes :
- Première colonne : Gravité de l’alerte
- Deuxième colonne : Type d’alerte
- Troisième colonne : Ressource affectée
- Quatrième colonne : Heure de début de l’activité
- Cinquième colonne : Intention de chaîne cybercriminelle de l’alerte
- Sixième colonne : État de l’alerte
Un ingénieur Sécurité passe en revue ces informations, sélectionne une alerte, puis sélectionne Afficher les détails complets dans le volet des alertes pour obtenir des informations spécifiques sur :
- Que s’est-il passé ? (Machine détectée comme possiblement compromise)
- Quand cela s’est-il produit ? (Mardi 1er mars 2022 10:31:00)
- Quelle ressource a été attaquée ? (CPSLab01001)
- Où se trouve la ressource ? (Abonnement Azure)
- Que devez-vous faire à ce sujet ? (Entreprendre une action)
Réponse à des alertes de sécurité
La zone Détails de l’alerte contient plus d’informations sur cet événement. Ces détails donnent des insights sur ce qui a déclenché l’alerte de sécurité, sur la ressource cible et sur l’adresse IP source, et fournissent des recommandations sur la façon de remédier au problème. Dans certains cas, l’adresse IP source est vide (non disponible), car certains journaux d’événements de sécurité Windows n’incluent pas l’adresse IP.
Les étapes de correction suggérées par Defender pour le cloud varient selon l’alerte de sécurité. Dans certains cas, vous pouvez être amené à utiliser d’autres fonctionnalités Azure pour appliquer la correction recommandée. Sélectionnez l’onglet Entreprendre une action pour voir les recommandations de correction. Par exemple, pour remédier à cette attaque, il faut appliquer des mots de passe forts ou utiliser un accès juste-à-temps (JIT) sur la ressource.
Depuis cet onglet, vous pouvez lancer une investigation pour mieux comprendre la chronologie de l’attaque, comment elle s’est produite et quels systèmes ont été potentiellement compromis. Vous pouvez également voir quelles informations d’identification ont été utilisées et obtenir une représentation graphique de l’ensemble de la chaîne d’attaque.
Établissement de liens entre des alertes de sécurité
Les attaques contre les ressources cloud génèrent souvent de grandes quantités de données et choisir entre toutes les alertes peut être un processus fastidieux pour identifier la cause racine. Defender pour le cloud suit chaque alerte de sécurité, mais utilise également des technologies de Big Data et de machine learning pour combiner différentes alertes en incidents.
Un incident est une collection d’alertes individuelles ayant un lien entre elles. La combinaison d’alertes associées en incidents est une fonctionnalité avancée de Defender pour le cloud qui exige les fonctionnalités de sécurité avancées pour Microsoft Defender pour le cloud.
Grâce au regroupement des alertes ayant un lien entre elles, un ingénieur de sécurité peut rapidement avoir une « représentation élargie » de ce qui se passe et démarrer le processus de blocage de l’attaque.