S'applique À : ThreatSync+ SaaS
Lorsque vous configurez pour la première fois ThreatSync+ SaaS avec une intégration Microsoft 365, 10 des 12 stratégies de Niveau 1 sont activées par défaut. Nous vous recommandons de surveiller ces stratégies pendant les deux premières semaines de surveillance de Microsoft 365 avant de les affiner aux besoins de votre organisation.
Chaque section de cette rubrique comprend :
- Description d'une stratégie de Niveau 1
- Comment la stratégie fonctionne-t-elle pour détecter les menaces ?
- Comment vous pouvez affiner la stratégie pour qu'elle fonctionne plus efficacement dans votre réseau
Pour de plus amples détails concernant la stratégie de Niveau 1, consultez les sections suivantes :
- Activité de Fichier Anonyme
- Fichiers Internes Rendus Publics
- Fichiers Internes Partagés avec l'Extérieur
- Nouvelle Adresse de l'IP d'Accès
- Nouvel Emplacement d'Accès
- Possible Tentative d'Accès au Compte par Force Brute
- Emplacement d'Accès Suspect
- Heure d'Accès Suspecte
- Taux d'Activité de Fichier Suspect
- Tentative de Force Brute
- Possible Tentative de Pulvérisation de Mots de passe
- Tentative de Pulvérisation de Mots de passe
Activité de Fichier Anonyme
Un utilisateur anonyme a eu accès à des fichiers. Il peut s'agir d'un attaquant qui tente de chiffrer ou d'exfiltrer vos données.
Fonctionnement
Les journaux de Microsoft 365 indiquent qu'un utilisateur a eu accès à un fichier mis à la disposition du public au moyen d'un lien anonyme. De nombreux utilisateurs créent des liens anonymes afin d'autoriser des personnes à accéder aisément à des fichiers sans qu'il soit nécessaire d'utiliser des identifiants autorisés ni d'obtenir de permissions explicites.
Lorsque ces liens sont divulgués à des utilisateurs non autorisés, les données peuvent être exposées.
Si vous n'autorisez pas les utilisateurs à partager des liens anonymes, répondez immédiatement à cette alerte, contactez la personne qui a partagé le fichier et appliquez un contrôle d'accès.
Comment Affiner
Si vous autorisez toujours les utilisateurs à partager ce type de liens, vous pouvez désactiver cette stratégie. Si vous souhaitez autoriser les utilisateurs à partager des fichiers spécifiques, affinez la stratégie de manière à exclure des chemins d'accès spécifiques.
Fichiers Internes Rendus Publics
Cette stratégie génère des alertes lorsque des fichiers internes sont mis à la disposition de toute personne sur Internet, ce qui peut exposer les fichiers à un attaquant qui tente d'exfiltrer vos données.
Fonctionnement
Cette stratégie génère des alertes lorsqu'un utilisateur crée un lien anonyme vers un fichier. Ce lien peut être partagé avec d'autres personnes afin d'autoriser un accès anonyme. Cette alerte vous permet d'éliminer les accès non autorisés avant qu'un attaquant ne puisse exfiltrer des données.
Comment Affiner
Si vous autorisez certaines parties de votre organisation à créer des liens anonymes, vous pouvez les exclure de cette stratégie. Si n'importe quel membre de votre organisation peut créer des liens anonymes, vous pouvez désactiver cette stratégie.
Fichiers Internes Partagés avec l'Extérieur
Cette stratégie génère des alertes lorsqu'un utilisateur interne de votre organisation partage des fichiers internes avec un utilisateur externe. L'accès externe à vos données peut représenter un risque pour l'organisation.
Fonctionnement
ThreatSync+ SaaS apprend à connaître les utilisateurs de votre domaine Microsoft 365 puis les catégorise en utilisateurs internes ou externes. Lorsque vous configurez votre intégration SaaS avec Microsoft 365, ThreatSync+ SaaS identifie les utilisateurs internes par le biais des domaines que vous configurez. ThreatSync+ SaaS considère également que les noms de domaine similaires sont internes.
Par exemple, si votre domaine est monentreprise.com, ThreatSync+ SaaS considère également les utilisateurs du domaine monentreprise.on.microsoft.com comme des utilisateurs internes. Lorsqu'un utilisateur interne partage un fichier ou un dossier dans Microsoft 365 avec un utilisateur externe, ThreatSync+ SaaS génère une alerte de stratégie indiquant les détails du fichier partagé, la personne qui l'a partagé ainsi que la personne avec qui il l'a partagé.
Cette stratégie nécessite une période d'apprentissage pour catégoriser les utilisateurs internes, qui proviennent parfois de différents domaines de votre organisation.
Comment Affiner
Si vous autorisez le partage de fichiers vers des domaines externes, vous pouvez ajouter des exceptions dans la définition de la stratégie.
Consultez cette alerte si la stratégie de votre organisation consiste à ne pas partager les fichiers avec des utilisateurs externes. Prenez les mesures nécessaires, notamment et sans s'y limiter, bloquer l'utilisateur ou supprimer ses permissions d'accès aux fichiers.
Nouvelle Adresse de l'IP d'Accès
Cette stratégie génère une alerte lorsqu'un utilisateur se connecte à des ressources de votre réseau à partir d'une nouvelle adresse IP. Ce scénario peut constituer un indice d'activité malveillante interne ou de prise de contrôle du compte.
Fonctionnement
Chaque fois qu'un utilisateur se connecte à un domaine Microsoft 365 et se connecte à des ressources, ThreatSync+ SaaS apprend et crée une référence des adresses IP d'où proviennent les demandes. Lorsque ThreatSync+ SaaS identifie un utilisateur qui se connecte à une ressource à partir d'une adresse IP à partir de laquelle l'utilisateur ne s'est jamais connecté auparavant, ThreatSync+ SaaS génère cette alerte de stratégie.
Comment Affiner
Cette stratégie génère des alertes lorsque les utilisateurs de votre organisation se connectent à des ressources à partir de nouveaux emplacements (par exemple, un café ou un site client). Cette alerte de stratégie est utile lorsque vos utilisateurs se connectent uniquement à partir d'un ensemble limité et cohérent d'adresses IP sur une base régulière. Vous pouvez désactiver cette stratégie ou ajouter des exceptions afin d'exclure certains utilisateurs.
Nouvel Emplacement d'Accès
Cette stratégie génère une alerte lorsqu'un utilisateur se connecte à des ressources de votre réseau à partir d'un nouvel emplacement. Ce scénario peut constituer un indice d'activité malveillante interne ou de prise de contrôle du compte.
Fonctionnement
Lorsqu'un utilisateur se connecte à un domaine Microsoft 365 et se connecte à des ressources, ThreatSync+ SaaS apprend et crée une référence des emplacements géographiques d'où proviennent les demandes. Lorsqu'un utilisateur se connecte à une ressource à partir d'un emplacement depuis lequel il ne s'est jamais connecté auparavant, ThreatSync+ SaaS génère une alerte de stratégie.
Comment Affiner
Cette stratégie génère des alertes lorsque des utilisateurs de votre organisation se connectent à des ressources à partir de nouveaux emplacements (par exemple : un café ou un site client). Cette alerte de stratégie est utile uniquement si vos utilisateurs se connectent régulièrement à partir d'un ensemble limité et cohérent d'emplacements géographiques. Vous pouvez soit désactiver cette stratégie, soit ajouter des exceptions pour exclure des utilisateurs spécifiques.
Possible Tentative d'Accès au Compte par Force Brute
Cette stratégie génère des alertes lorsqu'un utilisateur tente et échoue à se connecter à plusieurs reprises aux ressources de votre réseau.
Fonctionnement
ThreatSync+ SaaS surveille les échecs de connexion à Microsoft 365 et génère continuellement une référence d'activité d'échec acceptable et bénin. Lorsque les échecs de connexion comptabilisés sur une période de 30 minutes dépassent la référence, ThreatSync+ SaaS génère une alerte.
Les utilisateurs malveillants déclenchent cette stratégie lorsqu'ils volent des noms d'utilisateur et tentent à plusieurs reprises de se connecter avec des mots de passe différents.
Comment Affiner
Si vous souhaitez générer moins d'alertes, vous pouvez affiner cette stratégie et ajuster la sensibilité des alertes de l'Échelle de Gravité des Alertes dans la configuration de la stratégie.
Si vous augmentez l'échelle à une valeur plus élevée, la détection est moins sensible et générera moins d'alertes. Pour de plus amples informations, accédez à Modifier l'Échelle de Gravité des Alertes de Stratégie.
Emplacement d'Accès Suspect
Cette stratégie génère une alerte lorsqu'un utilisateur se connecte à des ressources de votre réseau à partir d'un emplacement suspect. Ce scénario peut constituer un indice d'activité malveillante interne ou de prise de contrôle du compte.
Fonctionnement
ThreatSync+ SaaS surveille l'emplacement source de toutes les connexions des utilisateurs et crée une référence. Lorsqu'un utilisateur se connecte à partir d'un emplacement sensiblement différent de l'emplacement de la référence, ThreatSync+ SaaS génère une alerte. Si l'activité d'un utilisateur n'est pas suffisante pour générer une référence fiable, ThreatSync+ SaaS utilise une référence lié à l'organisation. Si cet utilisateur se connecte à partir d'un emplacement qui diffère sensiblement de celui des autres utilisateurs, ThreatSync+ SaaS génère une alerte.
Comment Affiner
Si vous souhaitez générer moins d'alertes, vous pouvez affiner cette stratégie et ajuster la sensibilité des alertes de l'Échelle de Gravité des Alertes dans la configuration de la stratégie.
Si vous augmentez l'échelle à une valeur plus élevée, la détection est moins sensible et générera moins d'alertes. Pour de plus amples informations, accédez à Modifier l'Échelle de Gravité des Alertes de Stratégie.
Heure d'Accès Suspecte
Cette stratégie génère une alerte lorsqu'un utilisateur se connecte à des ressources de votre réseau à une heure suspecte. Ce scénario peut constituer un indice d'activité malveillante interne ou de prise de contrôle du compte.
Fonctionnement
ThreatSync+ SaaS surveille l'heure de la journée et les jours de la semaine lors desquels un utilisateur se connecte et crée une référence. Lorsque les connexions des utilisateurs s'écartent sensiblement de la référence, ThreatSync+ SaaS génère une alerte.
Comment Affiner
Si vous souhaitez générer moins d'alertes, vous pouvez affiner cette stratégie et ajuster la sensibilité des alertes de l'Échelle de Gravité des Alertes dans la configuration de la stratégie.
Si vous augmentez l'échelle à une valeur plus élevée, la détection est moins sensible et générera moins d'alertes. Pour de plus amples informations, accédez à Modifier l'Échelle de Gravité des Alertes de Stratégie.
Taux d'Activité de Fichier Suspect
Un taux suspect de création, suppression ou modification de fichiers est détecté. Ce scénario peut se produire lorsqu'un attaquant chiffre vos fichiers à l'aide d'un logiciel de rançon ou les exfiltre.
Fonctionnement
ThreatSync+ SaaS surveille les activités de fichier par utilisateur et crée une référence pour chaque utilisateur afin d'assurer le suivi d'une vaste gamme d'activités de fichier. Lorsque l'activité de fichier d'un utilisateur (modification, suppression ou création) s'écarte de la référence actuel, ThreatSync+ SaaS génère une alerte. Cette stratégie peut contribuer à prévenir les attaques par logiciel de rançon en cours d'exécution.
Comment Affiner
Si vous souhaitez générer moins d'alertes, vous pouvez affiner cette stratégie et ajuster la sensibilité des alertes de l'Échelle de Gravité des Alertes dans la configuration de la stratégie.
Si vous augmentez l'échelle à une valeur plus élevée, la détection est moins sensible et générera moins d'alertes. Pour de plus amples informations, accédez à Modifier l'Échelle de Gravité des Alertes de Stratégie.
Il existe de nombreuses manières d'affiner cette stratégie de manière à cibler des types d'anomalies spécifiques ou de restreindre les alertes afin d'inclure ou d'exclure des emplacements, des fichiers et des utilisateurs spécifiques.
Étant donné que cette stratégie peut générer des alertes pour plus de 100 types spécifiques d'alertes liées aux fichiers, il s'avère souvent utile de séparer cette stratégie en plusieurs définitions de stratégies qui génèrent des alertes pour différents types d'activités de fichier. Vous pouvez ajuster l'Échelle de Gravité des Alertes ou d'autres filtres tels que l'emplacement ou les noms de fichiers de chaque stratégie.
Tentative de Force Brute
Cette stratégie génère des alertes lorsqu'un utilisateur tente et échoue à se connecter à plusieurs reprises aux ressources de votre réseau avant de parvenir à se connecter.
Fonctionnement
ThreatSync+ SaaS surveille les échecs de connexion à Microsoft 365 et génère continuellement une référence d'activité d'échec acceptable et bénin. Lorsque les échecs de connexion comptabilisés sur une période de 30 minutes dépassent cette référence, un événement Taux Élevé de Tentatives de Connexion Infructueuses est généré. ThreatSync+ SaaS apprend et crée une référence des emplacements géographiques d'où proviennent les demandes. Lorsqu'un utilisateur se connecte à une ressource à partir d'un emplacement depuis lequel il ne s'est jamais connecté auparavant, ThreatSync+ SaaS génère un Nouvel Accès Distant pour un événement d'utilisateur. L'alerte de stratégie Tentative de Force Brute se déclenche lorsqu'une connexion réussie est détectée en corrélation avec un événement de connexion infructueuse et un nouvel accès distant pour un utilisateur.
Les utilisateurs malveillants déclenchent cette stratégie lorsqu'ils volent des noms d'utilisateur et tentent à plusieurs reprises de se connecter avec des mots de passe différents.
Comment Affiner
Cette stratégie génère des alertes lorsqu'un attaquant parvient à se connecter suite à plusieurs tentatives infructueuses. Examinez l'adresse IP source et les informations sur l'utilisateur de l'alerte de stratégie. S'il ne s'agit pas d'une tentative de connexion légitime, vous pouvez désactiver l'utilisateur, l'obliger à changer de mot de passe ou ajouter l'authentification multifacteur (MFA) pour l'utilisateur.
Nous vous recommandons d'examiner également les autres alertes de stratégie générées par l'utilisateur concerné de manière à détecter d'éventuelles exfiltrations de données, telles que Fichiers Internes Partagés avec l'Extérieur, Taux d'Activité de Fichier Suspect et Fichiers Internes Rendus Publics.
Si ces tentatives de connexion sont légitimes, vous pouvez modifier cette stratégie et ajouter une exception pour inclure l'adresse IP source dans la liste d'exclusion.
Possible Tentative de Pulvérisation de Mots de passe
Cette stratégie génère des alertes lorsqu'un attaquant tente de se connecter par force brute par le biais d'une liste de noms d'utilisateurs possédant un mot de passe par défaut dans l'application.
Fonctionnement
Cette stratégie surveille les tentatives de connexion infructueuses de différents utilisateurs au cours d'une brève période à partir du même emplacement et avec la même liste de cibles.
Comment Affiner
Si ces tentatives de connexion sont légitimes, vous pouvez modifier cette stratégie et ajouter une exception pour inclure l'adresse IP source dans la liste d'exclusion.
Tentative de Pulvérisation de Mots de passe
Cette stratégie génère des alertes lorsqu'un attaquant parvient à se connecter par force brute par le biais d'une liste de noms d'utilisateurs possédant un mot de passe par défaut dans l'application.
Fonctionnement
Cette stratégie surveille les tentatives de connexion infructueuses et réussies de différents utilisateurs au cours d'une brève période avec la même liste de cibles.
Comment Affiner
Étant donné que l'attaquant a pu se connecter à certains comptes suite à la tentative de pulvérisation de mots de passe, vous devez examiner l'adresse IP source et les informations de l'utilisateur de l'alerte de stratégie. S'il ne s'agit pas d'une tentative de connexion légitime, vous pouvez désactiver l'utilisateur, l'obliger à changer de mot de passe ou ajouter l'authentification multifacteur (MFA) pour l'utilisateur.
Nous vous recommandons d'examiner également les autres alertes de stratégie générées par l'utilisateur concerné de manière à détecter d'éventuelles exfiltrations de données, telles que Fichiers Internes Partagés avec l'Extérieur, Taux d'Activité de Fichier Suspect et Fichiers Internes Rendus Publics.
Si ces tentatives de connexion sont légitimes, vous pouvez modifier cette stratégie et ajouter une exception pour inclure l'adresse IP source dans la liste d'exclusion.
Configurer les Stratégies ThreatSync+