Blocage et confinement comportementauxBehavioral blocking and containment

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Vue d’ensembleOverview

Aujourd’hui, le paysage des menaces est dépassé par les programmes malveillants sans fichier et qui se trouvent en dehors de la région, les menaces hautement polymorphes qui mutent plus rapidement que les solutions traditionnelles peuvent suivre et les attaques gérées par l’homme qui s’adaptent à ce que les adversaires trouvent sur des appareils compromis.Today's threat landscape is overrun by fileless malware and that lives off the land, highly polymorphic threats that mutate faster than traditional solutions can keep up with, and human-operated attacks that adapt to what adversaries find on compromised devices. Les solutions de sécurité traditionnelles ne sont pas suffisantes pour arrêter ces attaques ; vous avez besoin de fonctionnalités d’intelligence artificielle (IA) et d’apprentissage des appareils (ML), telles que le blocage du comportement et le contenu, inclus dans Defender pour point de terminaison.Traditional security solutions are not sufficient to stop such attacks; you need artificial intelligence (AI) and device learning (ML) backed capabilities, such as behavioral blocking and containment, included in Defender for Endpoint.

Les fonctionnalités de blocage comportemental et de contenu peuvent aider à identifier et à arrêter les menaces, en fonction de leurs comportements et des arbre de traitement, même lorsque la menace a démarré l’exécution.Behavioral blocking and containment capabilities can help identify and stop threats, based on their behaviors and process trees even when the threat has started execution. Les composants et fonctionnalités de protection, PEPT et Defender for Endpoint nouvelle génération fonctionnent ensemble dans le blocage du comportement et les fonctionnalités de blocage du contenu.Next-generation protection, EDR, and Defender for Endpoint components and features work together in behavioral blocking and containment capabilities.

Blocage et confinement comportementaux

Les fonctionnalités de blocage du comportement et de blocage du contenu fonctionnent avec plusieurs composants et fonctionnalités de Defender for Endpoint pour arrêter immédiatement les attaques et empêcher la progression des attaques.Behavioral blocking and containment capabilities work with multiple components and features of Defender for Endpoint to stop attacks immediately and prevent attacks from progressing.

  • La protection nouvelle génération (qui inclut Antivirus Microsoft Defender) peut détecter les menaces en analysant les comportements et arrêter les menaces qui ont commencé à s’exécutent.Next-generation protection (which includes Microsoft Defender Antivirus) can detect threats by analyzing behaviors, and stop threats that have started running.

  • La détection et la réponse des points de terminaison (PEPT) reçoivent des signaux de sécurité sur le réseau, les appareils et le comportement du noyau.Endpoint detection and response (EDR) receives security signals across your network, devices, and kernel behavior. Lorsque des menaces sont détectées, des alertes sont créées.As threats are detected, alerts are created. Plusieurs alertes du même type sont regroupées en incidents, ce qui permet à votre équipe des opérations de sécurité d’examiner et de répondre plus facilement.Multiple alerts of the same type are aggregated into incidents, which makes it easier for your security operations team to investigate and respond.

  • Defender pour le point de terminaison dispose d’une large gamme d’optiques entre les identités, le courrier électronique, les données et les applications, en plus des signaux de comportement réseau, de point de terminaison et de noyau reçus via PEPT.Defender for Endpoint has a wide range of optics across identities, email, data, and apps, in addition to the network, endpoint, and kernel behavior signals received through EDR. Un composant de Microsoft 365 Defender, Defender for Endpoint traite et met en corrélation ces signaux, lève des alertes de détection et connecte les alertes associées dans les incidents.A component of Microsoft 365 Defender, Defender for Endpoint processes and correlates these signals, raises detection alerts, and connects related alerts in incidents.

Avec ces fonctionnalités, d’autres menaces peuvent être évitées ou bloquées, même si elles commencent à s’exécutent.With these capabilities, more threats can be prevented or blocked, even if they start running. Chaque fois qu’un comportement suspect est détecté, la menace est contenue, des alertes sont créées et des menaces sont arrêtées dans leurs pistes.Whenever suspicious behavior is detected, the threat is contained, alerts are created, and threats are stopped in their tracks.

L’image suivante montre un exemple d’alerte déclenchée par des fonctionnalités de blocage du comportement et de contenu :The following image shows an example of an alert that was triggered by behavioral blocking and containment capabilities:

Exemple d’alerte par blocage et contenu comportementaux

Composants de blocage et de blocage du comportementComponents of behavioral blocking and containment

  • Règles de réduction de la surface d’attaque sur client et pilotée par la stratégie L’exécution des comportements d’attaque courants prédéfini est empêchée, conformément à vos règles de réduction de la surface d’attaque.On-client, policy-driven attack surface reduction rules Predefined common attack behaviors are prevented from executing, according to your attack surface reduction rules. Lorsque de tels comportements tentent de s’exécuter, ils sont visibles Microsoft 365 Defender comme des https://security.microsoft.com alertes d’information.When such behaviors attempt to execute, they can be seen in Microsoft 365 Defender https://security.microsoft.com as informational alerts. Les règles de réduction de la surface d’attaque ne sont pas activées par défaut . vous configurez vos stratégies dans le Microsoft 365 Defender.Attack surface reduction rules are not enabled by default; you configure your policies in the Microsoft 365 Defender.

  • Blocage du comportement client Les menaces sur les points de terminaison sont détectées par le biais de l’apprentissage automatique, puis sont bloquées et corrigés automatiquement.Client behavioral blocking Threats on endpoints are detected through machine learning, and then are blocked and remediated automatically. (Le blocage du comportement client est activé par défaut.)(Client behavioral blocking is enabled by default.)

  • Le blocage de boucle de commentaires (également appelé protection rapide) les détections de menaces sont observées par le biais de l’intelligence comportementale.Feedback-loop blocking (also referred to as rapid protection) Threat detections are observed through behavioral intelligence. Les menaces sont arrêtées et empêchées de s’exécutent sur d’autres points de terminaison.Threats are stopped and prevented from running on other endpoints. (Le blocage de la boucle de commentaires est activé par défaut.)(Feedback-loop blocking is enabled by default.)

  • Détection et réponse des points de terminaison (PEPT) en mode bloc Les artefacts ou comportements malveillants observés par le biais de la protection post-violation sont bloqués et contenus.Endpoint detection and response (EDR) in block mode Malicious artifacts or behaviors that are observed through post-breach protection are blocked and contained. PEPT en mode bloc fonctionne même si Antivirus Microsoft Defender n’est pas la solution antivirus principale.EDR in block mode works even if Microsoft Defender Antivirus is not the primary antivirus solution. (PEPT mode bloc n’est pas activé par défaut ; vous l’activez en Microsoft 365 Defender.)(EDR in block mode is not enabled by default; you turn it on in Microsoft 365 Defender.)

Attendez-vous à en savoir plus sur le blocage et le blocage du comportement, car Microsoft continue d’améliorer les fonctionnalités et fonctionnalités de protection contre les menaces.Expect more to come in the area of behavioral blocking and containment, as Microsoft continues to improve threat protection features and capabilities. Pour voir ce qui est planifié et déployer maintenant, consultez la feuille de route Microsoft 365.To see what's planned and rolling out now, visit the Microsoft 365 roadmap.

Exemples de blocage comportemental et de blocage en actionExamples of behavioral blocking and containment in action

Les fonctionnalités de blocage du comportement et de blocage du contenu ont bloqué les techniques de l’attaquant, telles que les suivantes :Behavioral blocking and containment capabilities have blocked attacker techniques such as the following:

  • Informations d’identification auprès de LSASSCredential dumping from LSASS
  • Injection entre processusCross-process injection
  • Processus d’vidageProcess hollowing
  • Contournement du contrôle de compte d’utilisateurUser Account Control bypass
  • Falsification de l’antivirus (par exemple, désactivation ou ajout d’un programme malveillant en tant qu’exclusion)Tampering with antivirus (such as disabling it or adding the malware as exclusion)
  • Contacting Command and Control (C&C) to download payloadsContacting Command and Control (C&C) to download payloads
  • Exploration de piècesCoin mining
  • Modification de l’enregistrement de démarrageBoot record modification
  • Attaques par hachagePass-the-hash attacks
  • Installation du certificat racineInstallation of root certificate
  • Tentative d’exploitation pour diverses vulnérabilitésExploitation attempt for various vulnerabilities

Vous trouverez ci-dessous deux exemples réels de blocage et de blocage du comportement en action.Below are two real-life examples of behavioral blocking and containment in action.

Exemple 1 : attaque par vol d’informations d’identification contre 100 organisationsExample 1: Credential theft attack against 100 organizations

Comme décrit dans l’une des principales attaques contre les menaces: le blocage basé sur le comportement de l’IAarrête les attaques sur leur piste , une attaque par vol d’informations d’identification contre 100 organisations dans le monde a été arrêtée par des fonctionnalités de blocage comportemental et de blocage.As described in In hot pursuit of elusive threats: AI-driven behavior-based blocking stops attacks in their tracks, a credential theft attack against 100 organizations around the world was stopped by behavioral blocking and containment capabilities. Les messages électroniques de harponnage contenant un document leurre ont été envoyés aux organisations ciblées.Spear-phishing email messages that contained a lure document were sent to the targeted organizations. Si un destinataire a ouvert la pièce jointe, un document distant associé a pu exécuter du code sur l’appareil de l’utilisateur et charger des programmes malveillants Lokibot, qui ouvrent des informations d’identification, des données volées exfiltrées et attendent des instructions supplémentaires d’un serveur de commande et de contrôle.If a recipient opened the attachment, a related remote document was able to execute code on the user's device and load Lokibot malware, which stole credentials, exfiltrated stolen data, and waited for further instructions from a command-and-control server.

Les modèles d’apprentissage des appareils basés sur le comportement dans Defender pour point de terminaison ont intercepté et arrêté les techniques de l’attaquant à deux points de la chaîne d’attaque :Behavior-based device learning models in Defender for Endpoint caught and stopped the attacker's techniques at two points in the attack chain:

  • La première couche de protection a détecté le comportement d’exploitation.The first protection layer detected the exploit behavior. Les classifieurs d’apprentissage des appareils dans le cloud ont correctement identifié la menace et ont immédiatement demandé à l’appareil client de bloquer l’attaque.Device learning classifiers in the cloud correctly identified the threat as and immediately instructed the client device to block the attack.
  • La deuxième couche de protection, qui a permis d’arrêter les cas où l’attaque est passée au-delà de la première couche, a détecté un processus en train de s’arrêter et a supprimé les fichiers correspondants (par exemple, Lokibot).The second protection layer, which helped stop cases where the attack got past the first layer, detected process hollowing, stopped that process, and removed the corresponding files (such as Lokibot).

Lorsque l’attaque a été détectée et arrêtée, des alertes, telles qu’une « alerte d’accès initial », ont été déclenchées et sont apparues dans le portail Microsoft 365 Defender (anciennement le Centre de sécurité Microsoft Defender) :While the attack was detected and stopped, alerts, such as an "initial access alert," were triggered and appeared in the Microsoft 365 Defender portal (formerly the Microsoft Defender Security Center):

Alerte d’accès initial dans le portail Microsoft 365 Defender client

Cet exemple montre comment les modèles d’apprentissage des appareils basés sur le comportement dans le cloud ajoutent de nouvelles couches de protection contre les attaques, même après leur exécution.This example shows how behavior-based device learning models in the cloud add new layers of protection against attacks, even after they have started running.

Exemple 2 : relais NTLM - Variante de programme malveillant NTLMExample 2: NTLM relay - Juicy Potato malware variant

Comme décrit dans le dernier billet de blog, Blocage et contenu comportementaux : transformation de l’optique en protection,en janvier 2020, Defender for Endpoint a détecté une activité d’escalade de privilèges sur un appareil d’une organisation.As described in the recent blog post, Behavioral blocking and containment: Transforming optics into protection, in January 2020, Defender for Endpoint detected a privilege escalation activity on a device in an organization. Une alerte appelée « Escalade de privilèges possible à l’aide du relais NTLM » a été déclenchée.An alert called "Possible privilege escalation using NTLM relay" was triggered.

Alerte NTLM pour les programmes malveillants de la logiciel malveillant NTLM

La menace s’est transformée en programme malveillant . Il s’agissait d’une variante nouvelle, qui n’a pas été vue avant, d’un outil de piratage d’ordinateurs, appeléSySerring, qui est utilisé par les attaquants pour obtenir une escalade de privilèges sur un appareil.The threat turned out to be malware; it was a new, not-seen-before variant of a notorious hacking tool called Juicy Potato, which is used by attackers to get privilege escalation on a device.

Quelques minutes après le déclenchement de l’alerte, le fichier a été analysé et confirmé comme malveillant.Minutes after the alert was triggered, the file was analyzed, and confirmed to be malicious. Son processus a été arrêté et bloqué, comme illustré dans l’image suivante :Its process was stopped and blocked, as shown in the following image:

Artefact bloqué

Quelques minutes après le blocage de l’artefact, plusieurs instances du même fichier ont été bloquées sur le même appareil, ce qui a empêché d’autres personnes malveillantes ou d’autres programmes malveillants de se déployer sur l’appareil.A few minutes after the artifact was blocked, multiple instances of the same file were blocked on the same device, preventing additional attackers or other malware from deploying on the device.

Cet exemple montre qu’avec les fonctionnalités de blocage du comportement et de blocage, les menaces sont détectées, contenues et bloquées automatiquement.This example shows that with behavioral blocking and containment capabilities, threats are detected, contained, and blocked automatically.

Étapes suivantesNext steps