IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft ajoute la détection des attaques par ransomware Fusion à Azure Sentinel
Qui utilise une technologie d'apprentissage automatique pour déclencher des alertes en plusieurs étapes

Le , par Sandra Coret

79PARTAGES

4  0 
Microsoft indique que la plateforme cloud-native Azure Sentinel SIEM (Security Information and Event Management) est désormais capable de détecter les activités potentielles de ransomware grâce au modèle d'apprentissage automatique Fusion.

Azure Sentinel utilise une technologie d'intelligence artificielle (IA) intégrée pour analyser rapidement de vastes volumes de données dans les environnements d'entreprise, en recherchant les activités potentielles des acteurs de la menace.

Il utilise également une technologie d'apprentissage automatique connue sous le nom de Fusion pour détecter et déclencher des alertes d'attaques en plusieurs étapes en identifiant des ensembles d'activités suspectes et de comportements anormaux repérés à différents stades de l'attaque.

Azure Sentinel combine plusieurs de ces alertes pour générer des incidents même lorsque les informations sont limitées ou manquantes, ce qui les rend très difficiles à appréhender autrement.

Microsoft a annoncé aujourd'hui que son SIEM basé sur le cloud prend désormais en charge les détections de Fusion pour les attaques possibles de ransomware et déclenche des alertes multiples de haute gravité éventuellement liées aux incidents détectés d'activité de ransomware.

Par exemple, Azure Sentinel générera des incidents d'attaque par ransomware après avoir détecté les alertes suivantes dans un laps de temps spécifique sur le même hôte :

  • alertes programmées d'Azure Sentinel (informationnelles) : Erreur Windows et Evénements d'avertissement ;
  • Azure Defender (moyen) : le ransomware 'GandCrab' a été déjoué ;
  • Microsoft Defender for Endpoint (informationnel) : le malware "Emotet" a été détecté ;
  • Azure Defender (faible) : le backdoor 'Tofsee' a été détecté ;
  • Microsoft Defender for Endpoint (informationnel) : le malware 'Parite' a été détecté.


Pour détecter les attaques potentielles de ransomware en cours, Azure Sentinel peut utiliser les connecteurs de données suivants pour collecter des données provenant des sources suivantes : Azure Defender (Azure Security Center), Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Cloud App Security et les règles analytiques programmées d'Azure Sentinel.


Les administrateurs sont invités à considérer les systèmes comme "potentiellement compromis".

Microsoft explique : "Les incidents sont générés pour les alertes qui sont éventuellement associées à des activités de Ransomware, lorsqu'elles se produisent pendant une période spécifique, et sont associées aux étapes d'exécution et d'évasion de défense d'une attaque"

"Vous pouvez utiliser les alertes répertoriées dans l'incident pour analyser les techniques éventuellement utilisées par les attaquants pour compromettre un hôte/appareil et échapper à la détection."

Suite à un scénario d'attaque par ransomware détecté par Fusion dans Azure Sentinel, il est conseillé aux administrateurs de considérer les systèmes comme "potentiellement compromis" et de prendre des mesures immédiates.

Microsoft fournit les étapes recommandées suivantes pour analyser les techniques utilisées par les attaquants lors de l'attaque potentielle :

1- isolez la machine du réseau pour empêcher tout mouvement latéral potentiel ;
2- exécutez une analyse anti-malware complète sur la machine et suivez les conseils de remédiation qui en découlent ;
3- passez en revue les logiciels installés/en cours d'exécution sur la machine, en supprimant tout paquetage inconnu ou indésirable ;
4- remettez la machine dans un état connu, en réinstallant le système d'exploitation uniquement si nécessaire et en restaurant les logiciels à partir d'une source vérifiée sans logiciel malveillant ;
5- résolvez les recommandations des fournisseurs d'alertes (par exemple, Azure Security Center et Microsoft Defender) afin d'éviter de nouvelles brèches ;
6- enquêtez sur l'ensemble du réseau pour comprendre l'intrusion et identifier les autres machines qui pourraient être impactées par cette attaque.

Source : Microsoft

Et vous ?

Que pensez-vous de Fusion dans Azure Sentinel ?

Voir aussi :

Microsoft permet à davantage de services Azure de s'exécuter n'importe où grâce à Azure Arc

Microsoft présente en version Preview, Azure Web PubSub, un service cloud pour créer facilement des applications WebSockets

Azure Defender pour App Service introduit une protection contre les DNS flottantes, car les attaquants sont constamment à la recherche de vulnérabilités dans les applications web

Microsoft annonce la disponibilité générale d'Azure SQL basé sur Azure Arc pour le 30 juillet, ce qui donne la possibilité aux entreprises d'exécuter Azure SQL Managed Instance

Une erreur dans cette actualité ? Signalez-le nous !