Microsoft ajoute la détection des attaques de ransomware à Azure Sentinel

0

Microsoft affirme que la plate-forme SIEM (Security Information and Event Management) native du cloud Azure Sentinel est désormais capable de détecter une activité potentielle de ransomware à l’aide du modèle d’apprentissage automatique Fusion.

Azure Sentinel utilise la technologie d’intelligence artificielle (IA) intégrée pour analyser rapidement de vastes volumes de données dans les environnements d’entreprise, à la recherche d’activités potentielles d’acteurs menaçants.

Il utilise également une technologie d’apprentissage automatique connue sous le nom de Fusion pour détecter et déclencher des alertes d’attaque en plusieurs étapes en identifiant des ensembles d’activités suspectes et de comportements anormaux détectés à différentes étapes d’attaque.

Azure Sentinel couple plusieurs de ces alertes pour générer des incidents même lorsque les informations sont limitées ou manquantes, ce qui les rend très difficiles à détecter autrement.

Microsoft a annoncé que son SIEM basé sur le cloud prend désormais en charge les détections de Fusion pour d’éventuelles attaques de ransomware et déclenche des alertes multiples de gravité élevée pouvant être liées à des incidents détectés par l’activité de ransomware.

Par exemple, Azure Sentinel générera des incidents d’attaque de ransomware après avoir détecté les alertes suivantes dans un délai spécifique sur le même hôte:

  • Alertes planifiées Azure Sentinel (à titre indicatif) : événements d’erreur et d’avertissement Windows
  • Azure Defender (moyen) : le ransomware « GandCrab » a été bloqué
  • Microsoft Defender for Endpoint (à titre indicatif) : le logiciel malveillant « Emotet » a été détecté
  • Azure Defender (bas) : la porte dérobée « Tofsee » a été détectée
  • Microsoft Defender for Endpoint (à titre indicatif) : un logiciel malveillant « Parite » a été détecté

Pour détecter les attaques de ransomware potentielles en cours, Azure Sentinel peut utiliser les connecteurs de données suivants pour collecter des données à partir des sources suivantes : Azure Defender (Azure Security Center), Microsoft Defender pour Endpoint, Microsoft Defender pour Identity, Microsoft Cloud App Security et Azure Sentinel.

microsoft fusion
Incident de détection de ransomware Fusion (Microsoft)

Il est conseillé aux administrateurs de considérer les systèmes comme « potentiellement compromis »

« Les incidents sont générés pour les alertes qui sont éventuellement associées à des activités de ransomware, lorsqu’elles se produisent pendant une période spécifique, et sont associées aux étapes d’exécution et d’évasion de défense lors d’une attaque », explique Microsoft.

« Vous pouvez utiliser les alertes répertoriées dans l’incident pour analyser les techniques éventuellement utilisées par les attaquants pour compromettre un hôte/un périphérique et pour échapper à la détection. »

Suite à un scénario d’attaque de ransomware détecté par Fusion dans Azure Sentinel, il est conseillé aux administrateurs de considérer les systèmes comme « potentiellement compromis » et de prendre des mesures immédiates.

Microsoft fournit les étapes recommandées suivantes pour analyser les techniques utilisées par les attaquants lors de l’attaque potentielle:

  1. Isolez la machine du réseau pour éviter tout mouvement latéral potentiel.
  2. Exécutez une analyse antimalware complète sur la machine, en suivant les conseils de correction qui en résultent.
  3. Passez en revue les logiciels installés/en cours d’exécution sur la machine, en supprimant tous les packages inconnus ou indésirables.
  4. Remettez la machine à un bon état connu, en réinstallant le système d’exploitation uniquement si nécessaire et en restaurant le logiciel à partir d’une source vérifiée sans malware.
  5. Résolvez les recommandations des fournisseurs d’alertes (par exemple, Azure Security Center et Microsoft Defender) pour empêcher de futures violations.
  6. Enquêtez sur l’ensemble du réseau pour comprendre l’intrusion et identifier les autres machines susceptibles d’être affectées par cette attaque.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire