Azure Sentinel utilise une technologie d'intelligence artificielle (IA) intégrée pour analyser rapidement de vastes volumes de données dans les environnements d'entreprise, en recherchant les activités potentielles des acteurs de la menace.
Il utilise également une technologie d'apprentissage automatique connue sous le nom de Fusion pour détecter et déclencher des alertes d'attaques en plusieurs étapes en identifiant des ensembles d'activités suspectes et de comportements anormaux repérés à différents stades de l'attaque.
Azure Sentinel combine plusieurs de ces alertes pour générer des incidents même lorsque les informations sont limitées ou manquantes, ce qui les rend très difficiles à appréhender autrement.
Microsoft a annoncé aujourd'hui que son SIEM basé sur le cloud prend désormais en charge les détections de Fusion pour les attaques possibles de ransomware et déclenche des alertes multiples de haute gravité éventuellement liées aux incidents détectés d'activité de ransomware.
Par exemple, Azure Sentinel générera des incidents d'attaque par ransomware après avoir détecté les alertes suivantes dans un laps de temps spécifique sur le même hôte :
- alertes programmées d'Azure Sentinel (informationnelles) : Erreur Windows et Evénements d'avertissement ;
- Azure Defender (moyen) : le ransomware 'GandCrab' a été déjoué ;
- Microsoft Defender for Endpoint (informationnel) : le malware "Emotet" a été détecté ;
- Azure Defender (faible) : le backdoor 'Tofsee' a été détecté ;
- Microsoft Defender for Endpoint (informationnel) : le malware 'Parite' a été détecté.
Pour détecter les attaques potentielles de ransomware en cours, Azure Sentinel peut utiliser les connecteurs de données suivants pour collecter des données provenant des sources suivantes : Azure Defender (Azure Security Center), Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Cloud App Security et les règles analytiques programmées d'Azure Sentinel.
Les administrateurs sont invités à considérer les systèmes comme "potentiellement compromis".
Microsoft explique : "Les incidents sont générés pour les alertes qui sont éventuellement associées à des activités de Ransomware, lorsqu'elles se produisent pendant une période spécifique, et sont associées aux étapes d'exécution et d'évasion de défense d'une attaque"
"Vous pouvez utiliser les alertes répertoriées dans l'incident pour analyser les techniques éventuellement utilisées par les attaquants pour compromettre un hôte/appareil et échapper à la détection."
Suite à un scénario d'attaque par ransomware détecté par Fusion dans Azure Sentinel, il est conseillé aux administrateurs de considérer les systèmes comme "potentiellement compromis" et de prendre des mesures immédiates.
Microsoft fournit les étapes recommandées suivantes pour analyser les techniques utilisées par les attaquants lors de l'attaque potentielle :
1- isolez la machine du réseau pour empêcher tout mouvement latéral potentiel ;
2- exécutez une analyse anti-malware complète sur la machine et suivez les conseils de remédiation qui en découlent ;
3- passez en revue les logiciels installés/en cours d'exécution sur la machine, en supprimant tout paquetage inconnu ou indésirable ;
4- remettez la machine dans un état connu, en réinstallant le système d'exploitation uniquement si nécessaire et en restaurant les logiciels à partir d'une source vérifiée sans logiciel malveillant ;
5- résolvez les recommandations des fournisseurs d'alertes (par exemple, Azure Security Center et Microsoft Defender) afin d'éviter de nouvelles brèches ;
6- enquêtez sur l'ensemble du réseau pour comprendre l'intrusion et identifier les autres machines qui pourraient être impactées par cette attaque.
Source : Microsoft
Et vous ?
Que pensez-vous de Fusion dans Azure Sentinel ?
Voir aussi :
Microsoft permet à davantage de services Azure de s'exécuter n'importe où grâce à Azure Arc
Microsoft présente en version Preview, Azure Web PubSub, un service cloud pour créer facilement des applications WebSockets
Azure Defender pour App Service introduit une protection contre les DNS flottantes, car les attaquants sont constamment à la recherche de vulnérabilités dans les applications web
Microsoft annonce la disponibilité générale d'Azure SQL basé sur Azure Arc pour le 30 juillet, ce qui donne la possibilité aux entreprises d'exécuter Azure SQL Managed Instance