Académique Documents
Professionnel Documents
Culture Documents
Bonnes pratiques et
enseignements tirés
du Microsoft Cyber
Defense Operations
Center
Opérations de sécurité modernes 2
Contenu
1. Présentation des opérations de sécurité 3
De la réactivité à la proactivité
Visibilité accrue
Réduire la surface d’attaque
Zero Trust et opérations de sécurité modernes
Protection contre les menaces internes
4. Recommandations finales 39
Opérations de sécurité modernes 3
Présentation des
opérations de sécurité
se multiplient.
À mesure que les pirates informatiques
continuent à innover, les équipes de sécurité
De nos jours, les cyberattaques sont l’œuvre de
doivent impérativement moderniser leurs
criminels organisés. Les cybercriminels partagent
opérations en permanence pour contrer leurs
des informations sur ce qui fonctionne et sur les
adversaires.
vulnérabilités. Ils font évoluer leurs techniques
à mesure que la technologie évolue.
Vous devez donc optimiser votre pile
technologique pour garantir une protection
Les cyberattaques ne sont pas seulement une
et une visibilité sur tous les vecteurs d’attaque.
menace technologique en constante évolution.
Vous devez également évaluer les processus
Les tendances comme le rachat en tant que
de votre équipe : est-elle capable de protéger,
service (RaaS) font partie d’une économie de
de détecter et de répondre aux menaces
plus en plus industrialisée et sophistiquée, où les
réelles de manière rapide et précise, ou est-elle
attaquants qui ne disposent pas des compétences
submergée par les nombreux signaux et les
ou des moyens techniques nécessaires pour
faux positifs ?
développer leurs propres outils peuvent
désormais gérer des tests de pénétration prêts
Nous avons créé ce guide pour vous aider
à l’emploi et des outils sysadmin pour réaliser
à affiner et à concentrer vos efforts afin de
des attaques. Ces criminels de niveau inférieur
moderniser vos opérations de sécurité et de
peuvent également acheter en toute simplicité
protéger votre organisation dans un contexte
l’accès au réseau auprès d’un groupe criminel plus
de menaces en constante évolution.
Enseignements tirés
du Microsoft SOC
Les enseignements et les bonnes pratiques ● Surcharge des analystes : les règles
présentées ici proviennent de conversations statiques ont généré des quantités excessives
tenues avec les clients Microsoft et de notre d’alertes de faux positifs qui ont conduit
propre expérience de développement et à un sentiment de lassitude face aux alertes.
de maturation des pratiques appliquées
aux opérations de sécurité chez Microsoft. ● Charges de travail médiocres relatives
aux enquêtes : les enquêtes menées sur
Bien que cela puisse sembler surprenant pour les événements à l’aide de la solution SIEM
certains, le Microsoft Corporate IT SOC protège locale traditionnelle étaient peu efficaces
un environnement multiplateforme compatible et nécessitaient des requêtes manuelles et
avec Windows, Linux et Mac exécutant des logiciels une commutation manuelle entre différents
appartenant à Microsoft ou non. Auparavant, ce outils.
SOC était utilisé pour exploiter un modèle SOC
traditionnel similaire à celui détenu par la plupart Notre équipe connaît vos difficultés car
des organisations, et nous avons affronté les elle les a elle-même affrontées. Tout au long
mêmes défis inhérents à ce modèle : de ce guide, nous allons vous communiquer
les bonnes pratiques et les principaux
● Volume d’événements : le volume et la enseignements que nous avons tirés de
croissance élevés (20 milliards d’événements notre propre initiative de modernisation des
par jour actuellement) ont dépassé la capacité opérations de sécurité Microsoft, pour nous-
de la solution SIEM locale qui ne parvient pas mêmes et nos clients.
à les gérer.
● Détecter
● Répondre
● Récupérer
● Détecter : les opérations de sécurité doivent L’efficacité dans ces domaines réduit les
détecter la présence d’adversaires dans le risques en limitant le temps et l’accès des
système, lesquels s’efforcent de rester cachés attaquants au sein de l’organisation. L’objectif
dans la plupart des cas, car cela leur permet visé consiste à augmenter les coûts des
d’atteindre leurs objectifs sans encombre. pirates informatiques, tout en réduisant leurs
Il peut s’agir de réagir à une alerte d’activité profits, en vue de diminuer leur retour sur
suspecte ou de rechercher de manière investissement et leur motivation. En outre,
proactive les événements anormaux dans les équipes des opérations de sécurité mettent
les journaux d’activité de l’entreprise. en place une maturité de sécurité globale.
Relations commerciales
La création et la préservation des relations
avec le côté commercial de l’entreprise
améliorent l’efficacité de l’équipe de sécurité.
Il s’agit notamment de faire un effort pour
comprendre les stratégies commerciales et
impliquer les dirigeants de manière à les aider
à comprendre ce que fait votre équipe pour
prévenir et atténuer les attaques.
● Contexte professionnel
● Business Intelligence
Votre équipe doit être consciente des C’est en s’entraînant à intervenir en cas
principales priorités de l’entreprise afin de d’incident à l’aide d’exercices de simulation
pouvoir identifier les actifs critiques et définir que l’équipe pourra nouer les relations
les priorités de sécurité en conséquence. nécessaires avec l’entreprise. Les exercices de
Ainsi, vous pouvez vous concentrer sur les simulation comprennent la participation des
ressources les plus critiques et mettre en place équipes de direction, ainsi que les intervenants
les systèmes de défense, les stratégies et les en cas d’incident. Ces exercices permettent alors
enquêtes automatisées nécessaires, afin de aux équipes de sécurité et aux parties prenantes
répondre aux besoins de l’équipe commerciale. de tisser des relations. Ces deux fonctions
apprendront à mieux travailler ensemble. Ainsi,
Lorsqu’elle connaît les principales parties lorsqu’un incident se produira, chacun sait
prenantes et qu’elle peut les informer à qui il aura affaire, comment s’impliquer et
immédiatement, l’entreprise est à même les mesures qu’il faudra prendre pour remédier
de réagir, notamment : à l’urgence.
● Opérations de sécurité
● Opérations
● Logistique
● Relations publiques/communications
● Équipe de direction
● Renseignements tactiques sur les menaces : à temps plein dans les grandes entreprises,
très souvent présents dans les grandes tandis que les petites organisations peuvent
organisations, les renseignements tactiques faire appel à ce rôle de façon temporaire,
sur les menaces se concentrent sur des lorsque cela est nécessaire. Ce rôle nécessite
aspects techniques tels que les indicateurs de un ensemble de compétences spécialisées,
compromis (IOC), les adresses IP malveillantes, différents des compétences techniques
les noms DNS incorrects et les hachages d’enquête ou de celles d’autres analystes.
de fichiers. Dans certains cas, l’organisation
utilisera les informations provenant d’un ● Gestion de l’infrastructure SIEM dédiée :
service de renseignements sur les menaces les organisations qui utilisent des solutions
pour assurer cette fonction, tandis que d’autres SIEM locales et gourmandes en infrastructure
organisations produiront leurs propres peuvent constituer une équipe interne dont
données et effectueront leurs recherches. Les le rôle est d’entretenir l’infrastructure SIEM.
renseignements tactiques sur les menaces sont L’infrastructure des solutions SIEM locales
une fonction d’appui de la réponse aux enquêtes existantes peut devenir très importante
et traitent les alertes et les enquêtes en cours. et complexe. Dans ces cas, du personnel
supplémentaire peut être nécessaire pour
● Gestion des incidents/crises : lorsqu’un aider les équipes d’analystes à effectuer
incident majeur ou une crise importante met des requêtes avancées et traquer les
l’entreprise en danger, les entreprises peuvent pirates informatiques. À mesure que les
faire appel au rôle spécialisé de gestionnaire organisations migrent vers des solutions
d’incidents ou de gestionnaire de crise. Cette SIEM basées dans le Cloud, comme Microsoft
personne est apte à gérer les interventions en Sentinel, nous nous attendons à ce que
cas de crise, à évaluer les effets réglementaires cette fonction soit éliminée ou redirigée vers
ou de conformité des incidents et à maintenir d’autres besoins en infrastructure. En effet,
la communication avec les chefs d’entreprise une solution SIEM basée dans le Cloud ne
tout au long de l’incident. Il est probable nécessite aucune gestion d’infrastructure.
qu’un gestionnaire d’incidents soit embauché
Moderniser
les opérations
de sécurité
Pour moderniser vos opérations de
sécurité, vous devez développer vos
outils et processus afin de pouvoir passer
d’une approche réactive à une démarche
proactive et d’un modèle de périmètre
de réseau à un modèle de sécurité qui
utilise l’identité comme plan de contrôle
principal pour la sécurité.
De la réactivité à la proactivité
Visibilité accrue
dédiées à des ressources spécifiques, telles 1. De nombreuses alertes sont gérées via
que les points de terminaison, les identités, l’automatisation sans nécessiter la participation
les comptes de stockage dans le Cloud, etc. d’un analyste.
De nombreuses organisations continuent d’utiliser 2. La qualité des alertes qui constituent les files
des solutions SIEM locales et hérités, ainsi qu’un d’attente de vos analystes augmente de façon
processus d’analyse axée sur les journaux. Il spectaculaire, tandis que ceux-ci obtiennent
est néanmoins important de se rappeler que une visibilité précise sur les situations et les
« la collecte et la détection sont deux choses emplacements où ils doivent intervenir.
différentes ». Le fait de simplement collecter
les journaux ne s’avérera pas utile si vos analystes 3. À mesure que la technologie automatise
sont submergés par une quantité excessive de de plus en plus les fonctions réactives des
données. Vous manquerez les signaux en vous opérations de sécurité, les analystes peuvent
perdant dans le bruit, tout en faisant perdre se concentrer davantage sur la traque
un temps précieux à vos analystes, qui seront proactive de la sécurité, en recherchant
occupés à chasser les faux positifs, alors que les anomalies et les adversaires dans leur
les menaces réelles ne seront pas détectées. environnement.
Les entreprises doivent délaisser l’approche basée
sur une solution SIEM héritée et axée sur les Ce type d’évolution, qu’il s’agisse de passer des
journaux pour évoluer vers un modèle fondé sur approches réactives aux démarches proactives,
une solution SIEM basée dans le Cloud, comme et d’une solution SIEM locale à des outils
Microsoft Sentinel. Elles doivent également basés dans le Cloud, n’est pas toujours linéaire.
adopter des outils de pointe, tels que la détection Mais c’est généralement la trajectoire de
et la réponse des points de terminaison (EDR) maturité. Nous prévoyons qu’elle augmentera
et d’autres outils de détection spécialisés. à l’avenir, et nous recommandons ce modèle
Lorsque ces outils de détection sont intégrés aux organisations qui souhaitent prendre des
à une solution SIEM basée dans le Cloud, capable mesures productives pour moderniser leurs
d’appliquer le Machine Learning, l’analyse des opérations de sécurité.
comportements et la technologie de réponse,
automatisation et orchestration de la sécurité
(SOAR) aux alertes entrantes, trois choses se
produisent :
La réduction de la surface d’attaque est une Voici les étapes d’une chaîne
autre mesure proactive que vous pouvez
prendre. La plupart des attaques contre une
de destruction typique :
organisation suivent la structure de ce que l’on
1. Reconnaissance : des criminels conçoivent
appelle la chaîne de destruction cybernétique.
des moyens d’exploiter une organisation ou
La chaîne de destruction nous aide à comprendre
un utilisateur au sein d’une organisation. Cela
comment fonctionne une attaque typique et
peut inclure des recherches pour découvrir des
quelles technologies peuvent aider à atténuer
informations pouvant être utilisées dans le cadre
les menaces dans chaque section de la chaîne.
d’une campagne de harponnage, des activités
En comprenant la chaîne, les organisations
sur le Dark Web où les criminels achètent des
peuvent placer des « ruptures » dans chaque
informations sur les vulnérabilités au sein d’une
maillon de la chaîne afin d’arrêter une attaque
organisation, ou font de la reconnaissance pour
ou d’empêcher sa propagation.
découvrir les points faibles de l’infrastructure
ou de la base d’utilisateurs d’une entreprise.
Un manque d’organisation entre vos outils peut pour traiter des sections spécifiques de
imposer une charge supplémentaire aux analystes la chaîne de destruction. Elle n’élimine
de la sécurité pour déchiffrer les menaces pas la vulnérabilité des organisations, car
manuellement, ce qui ralentit les réponses lorsque les outils sont souvent cloisonnés et doivent
le temps est compté. être gérés séparément. Cela permet de
combler les lacunes critiques en matière
Une stratégie traditionnelle de défense du de visibilité et de couverture, des lacunes
périmètre ne suffit plus pour atténuer les que les cyberattaquants peuvent exploiter.
attaques contre une organisation. Les techniques
d’attaque modernes telles que l’hameçonnage Une approche globale de l’atténuation des
et la pulvérisation de mots de passe sont conçues risques dans le contexte actuel d’évolution
pour vaincre les défenses du périmètre. En outre, des menaces nécessite une plateforme
une quantité croissante de données existent qui puisse offrir aux DSI et à leurs équipes
dans le cloud et sur les appareils mobiles en une intégration et une visibilité dans toute
dehors du réseau de l’entreprise. En réponse, les l’entreprise. Cette approche intégrée
responsables de la sécurité doivent abandonner comble vos lacunes pour réduire la surface
les protections basées sur le périmètre, qui d’attaque. Cette approche est possible grâce
sont conçues simplement pour éloigner les à l’intégration d’un système SIEM natif du
cyberattaquants, pour adopter une approche cloud, qui s’étend à toutes les plateformes
de protection/détection/réponse conçue pour avec des solutions de détection et de réponse
le monde actuel de « présomption d’infraction ». étendues (XDR). Celles-ci assurent une
protection renforcée contre les menaces
Toutefois, cette approche multicouche sur l’ensemble des domaines afin d’aider les
est souvent mise en œuvre par des solutions défenseurs à relier des alertes apparemment
ponctuelles déployées au coup par coup disparates et à devancer les cyberattaquants.
L’approche de Microsoft
Le Microsoft SOC offre cette visibilité étendue et approfondie avec les fonctionnalités de SIEM + XDR
intégrées de Microsoft Sentinel, de Microsoft 365 Defender et de Microsoft Defender pour le Cloud.
Microsoft Sentinel
SIEM natif du cloud, fournissant des analyses de sécurité intelligentes à l’échelle de l’entreprise
Incidents partagés
avec une synchronisation
bi-directionnelle
Signaux
XDR supplémentaires
Microsoft 365 Defender Microsoft Defender
pour le Cloud
Sécurisez vos utilisateurs en leur
Sécurisez vos charges de travail
proposant une protection pour : multi-cloud et de cloud hybride
• Points de • Applications avec une protection pour :
terminaison • Données • Serveurs • Conteneurs
• Bases de • Applications
• E-mails • IoT données Cloud
• Identités • Stockage
1 2. M
oderniser les opérations de sécurité 3 4
Opérations de sécurité modernes 18
1. Vérification explicite : les opérations Une approche Zero Trust doit s’étendre
d’authentification et d’autorisation sont à l’ensemble du domaine numérique
systématiquement effectuées en fonction de et être appliquée en tant que philosophie
l’intégralité des points de données disponibles, de sécurité intégrée et stratégie end-to-
notamment l’identité de l’utilisateur, son end. Pour ce faire, il faut mettre en œuvre
emplacement, l’intégrité de l’appareil utilisé, des contrôles et des technologies Zero
le service ou la charge de travail, la classification Trust sur six éléments fondamentaux :
des données et les anomalies. identités, points de terminaison, applications,
données, infrastructure et réseaux. Chacun
2. Accès basé sur les privilèges minimum : les de ces six éléments fondamentaux est une
utilisateurs se voient accorder des droits d’accès source de signal, un plan de contrôle pour
strictement nécessaire et juste-à-temps (JIT/JEA). l’application de stratégies et une ressource
Il convient d’appliquer des stratégies adaptées primordiale à défendre. Chacun constitue
aux risques potentiels, mais aussi de prendre donc un domaine important pour cibler les
des mesures visant à protéger les données investissements, en commençant par l’identité.
et la productivité.
Identités Points de
Humaines terminaison
Non humaines D’entreprise
Personnels
Authentification Conformité
forte des appareils
Amélioration Évaluation
des demandes des risques
Réseau
Public Privé
Don- Appli-
nées Infrastructure
cations
E-mails et documents Applications SaaS IaaS – PaaS – Conteneurs de
sites internes – Sans serveur
Données structurées Applications sur site
Juste à temps (JIT) et
contrôle des versions
Télémétrie/analyse/évaluation
Le rôle de l’orchestration
dans Zero Trust
L’orchestration est le processus d’intégration
des applications et d’automatisation
d’un workflow. Comme nous l’avons déjà
mentionné, Zero Trust est l’approche la plus
efficace lorsqu’elle est pleinement intégrée
dans une stratégie de bout en bout. Mais la
réalisation de cette intégration d’une manière
qui favorise la conformité et l’efficacité
opérationnelle nécessite une orchestration
minutieuse.
Adapter la stratégie de
Conclure la stratégie
segmentation aux équipes
● Unifier l’identité, les appareils, les applications, ● Moderniser les applications et de solides
les données, l’infrastructure et les réseaux assurances sur les ressources locales héritées
en une seule stratégie de segmentation via proxy d’application.
d’entreprise. Tout le monde doit être sur
● Augmenter les niveaux de protection des
la même longueur d’onde et poursuivre
données sensibles (CASB, contrôle d’accès
la même stratégie, avec les mêmes priorités,
CA, AIP).
en parlant le même langage.
● Supprimer les protocoles d’authentification
Établir un périmètre moderne hérités.
et basé sur les identités
Affiner la segmentation
● Établir le chemin critique à l’aide des et le périmètre du réseau
assurances des utilisateurs et des appareils.
● Segmenter les ressources ayant un
Utilisateur : l’authentification sans mot impact stratégique, vital/de sécurité
de passe ou l’authentification multifacteur et opérationnel/physique.
(MFA) est nécessaire pour accéder aux
applications modernes. ● Ajouter la microsegmentation pour réduire
davantage les risques.
Appareil : l’intégrité de l’appareil
est nécessaire pour obtenir l’accès. ● Retirer et isoler les plateformes de calcul
héritées, notamment celles qui sont dotées
Nous vous conseillons de déployer votre
d’un système d’exploitation et d’applications
chemin critique vers les administrateurs
non pris en charge.
IT en premier lieu.
Protection contre
les menaces internes
Grâce à un modèle de sécurité Zero Trust
et une suite de sécurité intégrée, les équipes
chargées des opérations de sécurité sont plus
à même de protéger l’organisation contre
les menaces externes. Toutefois, vous devez
également vous prémunir contre les menaces
internes grâce à des outils et des processus
qui protègent les informations, les utilisateurs
et les appareils.
Les organisations disposent de divers outils et Nous vous conseillons de concentrer vos
technologies pour gérer et protéger les données initiatives de protection contre les menaces
à différentes étapes du cycle de vie. Bien que internes end-to-end autour de trois étapes
ces outils offrent une certaine flexibilité, ils clés :
engendrent également une grande complexité.
● Identification des données
Une étude récente de l’IDG a révélé que les
entreprises utilisent en moyenne près de cinq
● Classification des données
systèmes de gestion des données différents
pour des activités telles que la classification,
● Déploiement d’outils et de stratégies
la découverte électronique et la gestion des
visant à protéger vos données
dossiers. Les solutions de sécurité intégrées
peuvent également contrer les menaces internes
L’objectif visé est la protection de toutes les
en comblant les lacunes critiques qui conduisent
informations, peu importe comment et où elles
à des fuites de données et en vous donnant une
sont utilisées.
visibilité end-to-end tout au long du cycle de vie
des données.
Les menaces internes sont inhérentes à chaque Il existe toutefois d’autres catégories
entreprise et parfois, les données sont mises de menaces dans lesquelles l’utilisateur
en péril même dans le cours normal du travail ne sait même pas qu’il enfreint la politique
légitime. Réfléchissez au nombre de personnes de l’entreprise. Un utilisateur peut être
qui accèdent aux ressources, au cycle naturel passionné par un projet et peut par exemple
des personnes qui vont et viennent au sein d’une partager des informations à son sujet en
entreprise. Avec les processus, les capacités et dehors de son travail. Ce faisant, il commet
les contrôles appropriés, vous pouvez assurer une fuite de données sans se rendre compte
la surveillance des données et conserver la qu’il transmet des informations sensibles.
confiance des utilisateurs sans compromettre Les outils permettant d’arrêter cette fuite
la productivité. de données involontaire avant qu’elle ne se
produise et/ou pour procéder à une enquête
Voici l’une des capacités essentielles à appliquer : et l’examiner en temps réel, dans son contexte,
différencier les risques intentionnels des risques vous permettent de déterminer l’intention et
involontaires de la part de vos utilisateurs. Un l’impact associés, puis de décider s’il s’agit d’un
utilisateur malveillant peut tenter de commettre acte de négligence isolé ou d’une partie d’une
des actions qui vont à l’encontre des stratégies initiative plus importante et potentiellement
d’entreprise, en désactivant les contrôles de malveillante.
sécurité, par exemple, ou en installant des logiciels
malveillants. À mesure que vous identifiez les risques, vous
devez veiller à accorder la priorité aux activités
Souvent, le but visé consiste à provoquer une véritablement suspectes, afin de ne pas nuire
fuite ou un vol de données à des fins personnelles aux utilisateurs ou de submerger les analystes
ou pour des raisons malveillantes. d’alertes avec des faux positifs.
L’équipe chargée des opérations de sécurité En savoir plus sur la gestion des risques
doit être préparée à ces événements et doit être internes dans Microsoft Purview.
à même de prévenir, de détecter et de contenir
ces types de menaces.
Comme nous l’avons mentionné Vos objectifs doivent être de permettre à vos
plus tôt, les personnes constituent collaborateurs de progresser dans la boucle
le cœur du centre des opérations OODA le plus rapidement possible, en leur
transmettant des informations optimales, afin
de sécurité, en particulier les analystes
qu’ils puissent prendre les bonnes décisions
de la sécurité.
et les mesures les plus efficaces.
● Observer
● Orienter
● Décider
● Agir
Pour les étapes du processus où il est judicieux En outre, vous devez vous assurer que
d’inclure une interaction humaine (choix l’apprentissage est intégré tout au long
difficiles, nouvelles décisions, etc.), vous devez du processus, jusqu’à la prise en compte
vous assurer que vos analystes ont accès à une du moment où vous assistez au déroulement
expertise et une intelligence approfondies pour d’une attaque pour connaître son objectif
améliorer ces décisions. (valeur à long terme) jusqu’à son blocage
(valeur à court terme).
Optimiser l’impact humain Offrez aux analystes une expertise et une intelligence
approfondies Apprentissage continu : observez les
attaques et intégrez les enseignements à vos tactiques
de défense
La culture guide chaque jour d’innombrables ● Travail d’équipe : nous vous conseillons
décisions en définissant les bonnes réponses dans de ne pas tolérer la mentalité de « héros
des situations ambiguës, lesquelles ne manquent solitaire » au sein de l’équipe chargée des
pas dans les opérations de sécurité. opérations de sécurité. L’intelligence d’une
seule personne ne peut rivaliser avec celle
En axant les éléments culturels sur les personnes, de toute une équipe. Le travail d’équipe est
un environnement de travail à haute pression,
le travail d’équipe et l’apprentissage continu,
qui est beaucoup plus amusant, agréable et
vous veillez à ce que votre équipe puisse évoluer
productif quand chacun sait qu’il appartient
continuellement au rythme des menaces contre
à une équipe et bénéficie du soutien de tous
lesquelles elle doit lutter :
ses membres. Le centre des opérations de
sécurité Microsoft conçoit ses processus et
● Utiliser votre talent humain avec sagesse :
ses outils pour diviser les tâches en spécialités
nos collaborateurs sont nos ressources les
et encourager les collaborateurs à partager
plus précieuses. Nous ne pouvons pas nous
des informations, à collaborer et à vérifier
permettre de perdre leur temps sur des tâches
le travail de chacun, tout en apprenant
répétitives et barbantes qui peuvent être
constamment les uns des autres.
automatisées. Pour lutter contre les menaces
humaines auxquelles nous sommes confrontés, ● Changement de mentalité vers la gauche :
nous avons besoin d’êtres humains compétents pour devancer les cybercriminels et les
et bien équipés, capables de démontrer pirates qui perfectionnent constamment
leurs connaissances, leur jugement et leur leurs techniques, les équipes chargées
pensée créative. Ce facteur humain affecte des opérations de sécurité doivent
presque tous les aspects des opérations de continuellement améliorer et déplacer leurs
sécurité, y compris le rôle des outils et de activités « à gauche » dans la chronologie
l’automatisation pour permettre aux humains des attaques. En se concentrant sur la rapidité
d’en faire plus (et non pas de les remplacer) et l’efficacité, l’équipe peut « dépasser la
et de réduire le labeur de nos analystes. vitesse d’attaque » en déterminant comment
détecter les attaques plus tôt et réagir plus
rapidement. Ce principe est effectivement
une application d’une mentalité de croissance
basée sur l’apprentissage continu, qui
maintient l’équipe concentrée sur la réduction
des risques pour l’entreprise et les clients.
Les attaques fructueuses engendrent des attaquants, etc.). Nous considérons les écarts
dommages différents. Les comptes de haut niveau principalement comme une opportunité
(membres du conseil d’administration, PDG, d’apprentissage pour améliorer les processus
directeur financier, par exemple) et les comptes ou les outils et non comme l’échec du SOC
d’administrateur présentent le plus grand risque à atteindre un objectif.
en cas de compromis. Par conséquent, vous
devez accorder une attention particulière à ces
comptes et les protéger proactivement en les
séparant dans des environnements informatiques
dédiés à l’aide de stations de travail à accès
privilégié (PAW). Celles-ci protègent ces comptes
importants contre les attaques Internet et autres
vecteurs de menaces.
Les méthodes, les défenses et les conséquences À mesure que les cybercriminels trouvent
peuvent varier, mais pour expliquer les choses de nouvelles façons de concevoir un modèle
simplement, les attaquants exploitent les métier ou une technique d’attaque, ils
vulnérabilités. Cela facilite votre travail en tant exploitent souvent les anciennes vulnérabilités
que professionnel de la sécurité : vous devez de manière innovante. Dans certains cas, ils
donc éliminer vos vulnérabilités. peuvent exploiter des vulnérabilités dont vous
ignoriez l’existence auparavant. Ainsi, bien
Chaque équipe doit mettre à jour son que les techniques des cybercriminels puissent
environnement : c’est ce que nous appelons évoluer, l’impératif d’une bonne hygiène
une « dette technique ». Vous devez effectuer technique à l’ancienne reste le même. Vous
des sauvegardes, ou mettre à jour les devez donc maintenir votre environnement
autorisations de fichiers. Il peut également s’agir à jour comme vous le faites depuis longtemps
d’appliquer des correctifs ou de supprimer de et découvrir les autres mesures essentielles pour
vieux protocoles. Il s’agit de toutes les bonnes contrer les pirates informatiques, en fonction
pratiques connues. de leur comportement pour protéger votre
organisation des attaques, et cela vaut aussi
pour les types d’attaques les plus récents.
Traque proactive
La chasse aux menaces est un puissant outil dont Le SOC Microsoft aborde la chasse
disposent les équipes pour réduire les risques aux menaces en attribuant aux analystes
organisationnels. Elle est toutefois communément différents types de tâches de chasse
représentée comme une forme d’art complexe aux menaces :
et mystérieuse, uniquement réservée aux experts,
et cette idée peut être contreproductive. Le 1. Recherche proactive de l’adversaire
terme « chasse aux menaces » fait simplement et chasse aux menaces. C’est ce à quoi
référence au processus d’analystes expérimentés la plupart de nos chasseurs de menaces
qui recherchent de manière proactive et itérative consacrent la majeure partie de leur temps.
des opérations malveillantes qui ont échappé L’équipe effectue une recherche auprès de
à d’autres détections. diverses sources, notamment les alertes, les
indicateurs externes de compromis et d’autres
La chasse est un complément aux processus, sources. L’équipe s’efforce principalement
alertes et détections réactifs, et vous permet de concevoir et d’affiner les hypothèses
d’anticiper de manière proactive les attaques. structurées des éventuelles attaques en
Ce qui distingue la chasse des activités réactives, fonction des renseignements sur les menaces
c’est sa nature proactive. En effet, les chasseurs (TI), des observations inhabituelles dans
consacrent beaucoup de temps à réfléchir l’environnement et de leur propre expérience.
à des questions, à identifier les tendances et les En pratique, ce type de chasse aux menaces
modèles, et à obtenir une vue d’ensemble plus comprend les éléments suivants :
exhaustive. Un programme de chasse fructueux
n’est pas purement proactif cependant, car il ● Recherche proactive à travers les données
nécessite un équilibre continu entre les efforts (requêtes ou contrôle manuel).
réactifs et les efforts proactifs.
● Développement proactif des hypothèses
Les chasseurs de menaces devront toujours basées sur les renseignements sur les
entretenir leurs tactiques réactives et conserver menaces et d’autres sources. (Voir Mise
des compétences pointues, tout en demeurant en œuvre de la base de connaissances
attentifs aux tendances émergeant dans les files MITRE ATT&CK.)
d’attente des alertes.
Recommandations
finales
1 2 3 4. Recommandations finales
Opérations de sécurité modernes 40
1 2 3 4. Recommandations finales
41
SIEM et XDR : votre allié contre Une approche intégrée pour une
les ransomwares > efficacité SOC accrue >
©2022 Microsoft Corporation. Tous droits réservés. Le présent document est fourni « tel quel ». Les
informations et les points de vue exprimés dans le document, y compris les URL et autres références à des
sites web, sont susceptibles d’être modifiés sans préavis. Vous assumez les éventuels risques associés à leur
utilisation. Le présent document ne vous donne pas les droits juridiques propres à la propriété intellectuelle
de tout produit Microsoft. Vous pouvez photocopier et utiliser ce document à titre de référence interne.