Investigation des menaces et réponse dans la sécurité Office 365

Avec le risque croissant des cybercrimes, les entreprises du monde entier luttent pour protéger leur bien le plus précieux : leurs données. Heureusement, Microsoft Defender for Office 365 offre aux administrateurs et analystes informatiques des capacités d’investigation et de réponse aux menaces, leur permettant de protéger proactivement leurs utilisateurs et leurs données.

En utilisant ces fonctionnalités de sécurité intégrées à Office 365, vous pouvez obtenir des informations précieuses sur les menaces courantes, collecter des données pratiques et planifier des actions de réponse efficaces. Votre équipe de sécurité peut facilement identifier, surveiller et repousser les activités malveillantes avant qu’elles ne causent des dommages irréparables à votre organisation.

Cet article décompose les différents outils inclus dans l’investigation et la réponse aux menaces de Microsoft. Continuez à lire pour avoir un aperçu des différentes fonctionnalités et de leur combinaison pour créer un bouclier infaillible contre les attaques basées sur les fichiers et les e-mails.

Qu’est-ce que l’investigation et la réponse aux menaces d’Office 365?

L’investigation et la réponse aux menaces d’Office 365 est un terme générique faisant référence à un ensemble de capacités dans Microsoft Defender for Office 365 plan 2. Ces outils aident les administrateurs et analystes informatiques à surveiller et à collecter des informations sur les menaces potentielles. Les équipes de sécurité peuvent ensuite utiliser les actions de réponse disponibles dans le portail Microsoft 365 Defender pour traiter les risques dans SharePoint Online, OneDrive for Business, Exchange Online et Microsoft Teams.

Avec ces fonctionnalités de sécurité Office 365, vous pouvez collecter des données à partir de plusieurs sources telles que les incidents de sécurité précédents, l’activité des utilisateurs, l’authentification, les e-mails et les ordinateurs compromis. Le flux de travail d’investigation et de réponse aux menaces comprend ce qui suit :

• Explorer (détections en temps réel dans MS Defender pour Office 365 Plan 1)
• Incidents (également connus sous le nom d’investigations)
• Formation à la simulation d’attaques
• Investigation et réponse automatisées

Il est important de mentionner que toutes ces capacités fournissent la protection nécessaire en collectant des données à partir des suiveurs de menaces intégrés dans Microsoft Defender, donc examinons-les de plus près d’abord.

Suiveurs de menaces

Les suiveurs de menaces sont une collection de widgets informatifs, de graphiques et de tableaux qui fournissent une surveillance Office 365. Ils affichent des détails utiles sur les menaces cybernétiques qui peuvent affecter votre organisation. Les pages de suivi contiennent des chiffres périodiquement mis à jour sur les risques émergents tels que les logiciels malveillants et les stratagèmes de phishing pour indiquer quelles questions sont actuellement les plus dangereuses pour votre organisation. De plus, vous pouvez trouver une colonne Actions qui vous redirige vers l’Explorateur de menaces où vous pouvez consulter des informations plus approfondies.

Remarque :

• Les suiveurs de menaces sont inclus dans le Plan 2 de Microsoft Defender pour Office 365 et vous avez besoin d’une autorisation d’administrateur global, d’administrateur de sécurité ou de lecteur de sécurité pour les utiliser.
• Pour accéder aux suiveurs de menaces pour votre organisation, rendez-vous sur https://security.microsoft.com/, cliquez sur E-mail & collaboration, puis sur Suiveur de menaces. Vous pouvez également vous rendre directement sur https://security.microsoft.com/threattrackerv2.

Il y a quatre fonctionnalités différentes dans les suiveurs de menaces : Suiveurs remarquables, Suiveurs tendances, Requêtes suivies et Requêtes enregistrées.

Suiveurs remarquables

Ce widget montre les menaces nouvelles ou existantes de différentes gravités et si elles existent ou non dans votre environnement Microsoft 365. Si elles existent, vous pouvez également voir des liens vers des articles utiles qui détaillent le problème et comment il peut impacter la sécurité d’Office 365 dans votre organisation.

Votre équipe de sécurité devrait vérifier régulièrement les suiveurs remarquables car ils ne sont publiés que pendant quelques semaines puis remplacés par des éléments plus récents. Cela permet de maintenir la liste à jour afin que vous puissiez rester informé des risques plus pertinents.

Suiveurs tendances

Les suiveurs tendances mettent en évidence les dernières menaces envoyées à l’e-mail de votre organisation au cours de la dernière semaine. Les administrateurs obtiennent de meilleures informations en consultant des évaluations dynamiques des tendances des malwares au niveau du locataire et en identifiant le comportement des familles de malwares.

Requêtes suivies

Les requêtes suivies constituent un autre outil de surveillance Office 365 qui évalue périodiquement les activités dans votre environnement Microsoft en tirant parti des requêtes enregistrées. Il s’agit d’un processus automatisé qui fournit des informations récentes sur les activités suspectes pour aider à garantir la protection contre les menaces Office 365.

Requêtes enregistrées

Les recherches d’Explorateur communes ou les requêtes de suivi remarquables que vous effectuez habituellement peuvent être stockées en tant que requêtes enregistrées. De cette manière, vous n’avez pas besoin de créer une nouvelle recherche à chaque fois et vous pouvez facilement accéder aux requêtes enregistrées précédemment.

Explorateur des menaces et détections en temps réel

Dans Microsoft Defender pour Office 365, l’Explorateur, également connu sous le nom d’Explorateur des menaces, permet aux experts en sécurité d’analyser les menaces potentielles qui ciblent votre organisation et de surveiller le volume des attaques au fil du temps. Avec cette fonctionnalité, vous pouvez consulter des rapports détaillés et des recommandations de stratégie pour savoir comment répondre efficacement aux risques qui tentent d’infiltrer votre organisation.

Remarque:

• L’Explorateur est inclus dans le plan 2 de Microsoft Defender pour Office 365 tandis que le plan 1 propose des détections en temps réel.
• Pour accéder à l’un ou l’autre de ces outils, rendez-vous dans le Centre de sécurité et conformité puis Gestion des menaces.

Threat Explorer fournit des informations importantes sur les menaces telles que les données historiques de base, les méthodes de distribution courantes et les dommages potentiels qui pourraient être causés. Les analystes peuvent utiliser cet outil comme point de départ pour leur enquête afin d’examiner les données par infrastructure d’attaquant, familles de menaces et autres paramètres.

Vérifiez les logiciels malveillants détectés

Vous pouvez utiliser Explorer pour afficher les logiciels malveillants découverts dans votre organisation par e-mail. Le rapport peut être filtré par différentes technologies Microsoft 365.

Afficher les URL d’hameçonnage et les données de verdict de clic

Les tentatives d’hameçonnage via des URL dans des messages électroniques sont également affichées dans Threat Explorer. Ce rapport comprend une liste d’URL autorisées, bloquées et outrepassées triées dans deux tables:

• Principales URLs: Les attaquants ajoutent parfois de bonnes URLs aux côtés des liens malveillants pour confondre le destinataire. Cette liste contient principalement des URLs légitimes trouvées dans les messages que vous avez filtrés et elles sont triées par nombre total d’e-mails.
• Principaux clics: Ce sont les URLs encapsulées dans des Liens Sûrs qui ont été ouvertes et elles sont triées par nombre total de clics. Les liens ici sont très probablement malveillants et vous pouvez trouver le compte rendu des clics sur les Liens Sûrs à côté de chaque URL.

Remarque: Lors de la configuration du filtre anti-hameçonnage Office 365, vous devriez configurer Les Liens Sûrs et leurs politiques pour identifier lesquelles des URLs ont été cliquées et bénéficier de la protection au moment du clic et de l’enregistrement des comptes rendus de clic.

Les valeurs de verdict de clic affichées dans Explorer vous aident à comprendre l’action qui a été prise une fois qu’une URL a été sélectionnée:

• Autorisé: L’utilisateur a pu naviguer vers l’URL.
• Bloqué: L’utilisateur n’a pas pu naviguer vers l’URL.
• Verdict en attente: La page en attente de détonation a été affichée lorsque l’utilisateur a cliqué sur l’URL.
• Erreur: La page d’erreur a été présentée à l’utilisateur car une erreur s’est produite lors de la tentative de capture du verdict.
• Échec: Une exception inconnue s’est produite lors de la tentative de capture du verdict. Il est possible que l’utilisateur ait cliqué sur l’URL.
• Aucun: Impossible de capturer le verdict. Il est possible que l’utilisateur ait cliqué sur l’URL.
• Blocage outrepassé: L’utilisateur a outrepassé le blocage et a navigué vers l’URL.
• Contournement du verdict en attente: La page de détonation a été affichée mais l’utilisateur a outrepassé le message pour accéder à l’URL.

Examiner les messages électroniques signalés par les utilisateurs

Ce rapport présente des données concernant les messages que les utilisateurs de votre organisation ont signalés comme indésirables, non indésirables ou de phishing. Pour obtenir de meilleurs résultats, il est recommandé de configurer la protection contre le spam pour Office 365.

Rechercher et enquêter sur les e-mails malveillants qui ont été distribués

Les détections en temps réel et l’Explorateur de menaces donnent au personnel de sécurité la possibilité d’enquêter sur les activités hostiles qui pourraient mettre votre organisation en danger. Les actions disponibles sont :

• Localiser et identifier l’adresse IP d’un expéditeur d’e-mails malveillants
• Trouver et supprimer des messages
• Démarrer un incident pour mener une enquête approfondie
• Vérifier l’action de livraison et l’emplacement
• Consulter la chronologie de vos e-mails

Voir les fichiers malveillants détectés dans SharePoint Online, OneDrive et Microsoft Teams

Les rapports dans la liste Explorer fournissent des informations sur les fichiers identifiés comme malveillants par les pièces jointes sécurisées pour OneDrive, Microsoft Teams et SharePoint Online. Les administrateurs peuvent également voir ces fichiers en quarantaine.

Vérifier le rapport de statut de protection contre les menaces

Ce widget affiche le statut de votre sécurité Office 365. En plus du nombre de messages électroniques contenant un contenu malveillant, vous pouvez également trouver :

• Des fichiers ou des URL bloqués
• La purge automatique à la demande (ZAP)
• Liens sécurisés
• Pièces jointes sécurisées
• Fonctionnalités de protection contre l’usurpation d’identité dans les stratégies anti-hameçonnage

Ces informations vous permettent d’analyser les tendances en matière de sécurité afin de déterminer si vos politiques nécessitent des ajustements.

Formation à la simulation d’attaques

Configurer et exécuter des cyberattaques réalistes mais bénignes dans votre organisation pour tester vos politiques de sécurité et identifier les vulnérabilités avant qu’une attaque réelle ne se produise. Ces simulations font partie de la protection contre les menaces Office 365 car elles aident à former vos employés à rester vigilants contre les schémas d’ingénierie sociale tels que les attaques de phishing.

Note: Vous pouvez accéder à cette fonctionnalité en allant sur le portail Microsoft 365 Defender > Email & collaboration > Formation à la simulation d’attaque. Ou allez directement à la page de formation à la simulation d’attaque.

La formation à la simulation d’attaque comprend un flux de travail spécifique composé d’une série d’étapes que vous devez accomplir avant de lancer l’attaque simulée.

Choisissez une technique d’ingénierie sociale

Tout d’abord, vous devez choisir l’un des schémas d’ingénierie sociale disponibles :

• Lien vers un logiciel malveillant: Exécute un code arbitraire à partir d’un fichier hébergé sur un service de partage de fichiers réputé, puis envoie un message contenant un lien vers ce fichier malveillant. Si l’utilisateur ouvre le fichier, le dispositif est compromis.
• Collecte d’informations d’identification: Les utilisateurs sont redirigés vers ce qui semble être un site Web bien connu où ils peuvent saisir leur nom d’utilisateur et leur mot de passe.
• Lien dans la pièce jointe: Une URL est ajoutée à une pièce jointe d’e-mail et se comporte de manière similaire à la collecte d’informations d’identification.
• Pièce jointe contenant un logiciel malveillant: Une pièce jointe malveillante est ajoutée à un message. Si la pièce jointe est ouverte, le dispositif de la cible est compromis.URL d’attaque à distance: Une URL redirige l’utilisateur vers un site Web familier qui installe un code malveillant en arrière-plan. La protection de point de terminaison Office 365 pourrait ne pas être en mesure de dissuader de telles menaces et par conséquent, le dispositif est infecté.
• URL Drive-by : Une URL redirige l’utilisateur vers un site web familier qui installe un code malveillant en arrière-plan. La protection de point de terminaison Office 365 pourrait ne pas être en mesure de dissuader de telles menaces et par la suite, l’appareil est infecté.

Choisissez un nom et décrivez la simulation

La prochaine étape consiste à entrer un nom unique et descriptif pour la simulation que vous êtes en train de créer. Une description détaillée est facultative.

Sélectionnez une charge utile

Sur cette page, vous devriez choisir la charge utile qui sera présentée aux utilisateurs dans la simulation. Il peut s’agir soit d’un message électronique, soit d’une page web. Vous pouvez choisir parmi le catalogue intégré qui contient les charges utiles disponibles. Il est également possible de créer une charge utile personnalisée qui fonctionne mieux avec votre organisation.

Utilisateurs cibles

Ici, vous sélectionnez les utilisateurs de votre entreprise qui recevront la formation à la simulation d’attaque. Vous pouvez inclure tous les utilisateurs ou choisir des cibles et des groupes spécifiques.

Attribuer une formation

Microsoft recommande d’attribuer une formation pour chaque simulation que vous créez, car les employés qui la suivent sont moins susceptibles de tomber victimes d’une attaque similaire. Vous pouvez consulter les cours et modules suggérés et choisir ceux qui conviennent le mieux à vos besoins en fonction des résultats de l’utilisateur.

Sélectionner la notification de l’utilisateur final

Cette section vous permet de configurer vos paramètres de notification. Vous pouvez ajouter une notification de renforcement positif si vous choisissez Notifications personnalisées pour l’utilisateur final pour encourager vos utilisateurs une fois qu’ils ont terminé la formation.

Investigation et réponse automatisées (AIR)

Dans la sécurité Office 365, les capacités d’Investigation et de Réponse Automatisées (AIR) déclenchent des alertes automatiques lorsque votre organisation est la cible d’une menace bien connue. Cela réduit le travail manuel et permet à votre équipe de sécurité d’opérer plus efficacement en examinant, en priorisant et en répondant en conséquence.

Une enquête automatisée peut être initiée soit par une pièce jointe suspecte arrivée dans un message électronique, soit par un analyste utilisant Threat Explorer. AIR recueille des données liées à l’e-mail en question telles que les destinataires prévus, les fichiers et les URL. Les administrateurs et le personnel de sécurité peuvent examiner les résultats de l’enquête et vérifier les recommandations pour approuver ou rejeter les actions de remédiation.

AIR peut être déclenché par l’une des alertes suivantes:

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• Un message électronique contenant un logiciel malveillant ou une URL d’hameçonnage a été supprimé après sa livraison
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

Conclusion

L’enquête sur les menaces Office 365 offre diverses capacités qui aident à protéger vos données. Avec le plan 2 de Microsoft Defender pour Office 365, vous pouvez utiliser des fonctionnalités avancées telles que les traqueurs de menaces et l’explorateur de menaces. Vous pouvez également effectuer une formation à la simulation d’attaques pour maintenir la vigilance de vos utilisateurs et les protéger des cyberattaques potentielles. De plus, vous pouvez configurer une enquête et une réponse automatisées (AIR) pour alléger le travail de votre équipe de sécurité afin qu’elle puisse se concentrer sur les menaces plus prioritaires.

Cela dit, la seule façon d’assurer une protection complète de l’environnement Office 365 est de déployer une solution moderne de protection des données comme NAKIVO Backup & Replication. La solution offre des capacités puissantes de sauvegarde et de récupération pour Exchange Online, Teams, OneDrive for Business et SharePoint Online.