NAKIVO > Blog

Enquête et réponse aux menaces dans Office 365 Sécurité

Publié le: septembre 14, 2022

Written by: NAKIVO Team

& Avec le risque croissant de cybercriminalité, les entreprises du monde entier ont du mal à protéger leur atout le plus précieux : leurs données. Heureusement, Microsoft Defender pour Office 365 offre aux administrateurs et analystes informatiques des fonctionnalités d’investigation et de réponse aux menaces, qui leur permettent de protéger de manière proactive leurs utilisateurs et leurs données.

Grâce à ces fonctionnalités de sécurité intégrées à Office 365, vous pouvez obtenir des informations précieuses sur les menaces courantes, collecter des données pratiques et planifier des mesures de réponse efficaces. Votre équipe de sécurité peut facilement identifier, surveiller et repousser les activités malveillantes avant qu’elles ne causent des dommages irréparables à votre organisation.

Cet article présente les différents outils inclus dans la solution d’investigation et de réponse aux menaces de Microsoft. Poursuivez votre lecture pour découvrir les différentes fonctionnalités et comment elles se combinent pour créer un bouclier infaillible contre les attaques basées sur les fichiers et les adresses e-mail.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Qu’est-ce que l’investigation et la réponse aux menaces Office 365 ?

L’investigation et la réponse aux menaces Office 365 est un terme générique qui désigne un ensemble de fonctionnalités disponibles dans Microsoft Defender pour Office 365 plan 2. Ces outils aident les administrateurs et les analystes informatiques à surveiller et à collecter des informations sur les menaces potentielles. Les équipes de sécurité peuvent ensuite utiliser les actions d’intervention disponibles dans le portail Microsoft 365 Defender pour traiter les risques dans SharePoint Online, OneDrive for Business, Exchange Online et Microsoft Teams.

Grâce à ces fonctionnalités de sécurité Office 365, vous pouvez collecter des données provenant de plusieurs sources, telles que les incidents de sécurité antérieurs, l’activité des utilisateurs, l’authentification, les adresses e-mail et les ordinateurs compromis. Le workflow d’investigation et de réponse aux menaces comprend les éléments suivants :

  • Explorer (détections en temps réel dans MS Defender pour Office 365 Plan 1)
  • Incidents (également appelés enquêtes)
  • Formation à la simulation d’attaques
  • Enquête et réponse automatisées

Il est important de mentionner que toutes ces fonctionnalités fournissent la protection nécessaire en collectant des données depuis les outils intégrés de suivi des menaces dans Microsoft Defender. Examinons donc ces derniers de plus près.

Threat Trackers

Les Threat Trackers sont un ensemble de widgets, de graphiques et de tableaux informatifs qui permettent de réaliser la surveillance d’Office 365. Ils affichent des informations utiles sur les cybermenaces qui peuvent affecter votre organisation. Les pages Tracker contiennent des chiffres périodiquement mis à jour sur les risques tendances, tels que les logiciels malveillants et les tentatives d’hameçonnage, afin d’indiquer les problèmes qui sont actuellement les plus dangereux pour votre organisation. En outre, vous trouverez une colonne Actions qui vous redirige vers Threat Explorer, où vous pouvez afficher des informations plus détaillées.

Remarque:

  • Les outils de suivi des menaces sont inclus dans Microsoft Defender pour Office 365 Plan 2 et vous devez disposer d’une autorisation d’administrateur global, d’administrateur de sécurité ou de lecteur de sécurité pour les utiliser.
  • Pour accéder aux outils de suivi des menaces de votre organisation, rendez-vous sur https://security.microsoft.com/, cliquez sur Envoyez une adresse e-mail à & collaboration, puis Outil de suivi des menaces. Vous pouvez également vous rendre directement sur https://sécurité.microsoft.com/threattrackerv2.

Il existe quatre fonctionnalités différentes dans les outils de suivi des menaces : Outils de suivi notables, Outils de suivi des tendances, Requêtes suivies et Requêtes enregistrées.

Suiveurs notables

Ce widget affiche les menaces nouvelles ou existantes de gravité variable et indique si elles sont présentes ou non dans votre environnement Microsoft 365. Si elles le sont, vous pouvez également consulter des liens vers des articles utiles qui détaillent le problème et son impact potentiel sur la sécurité d’Office 365 dans votre organisation.

Votre équipe de sécurité doit vérifier régulièrement les trackers notables, car ils ne sont publiés que pendant quelques semaines, puis remplacés par des éléments plus récents. Cela permet de maintenir la liste à jour afin que vous puissiez rester informé des risques les plus pertinents.

Trackers tendance

Les trackers tendance mettent en évidence les dernières menaces envoyées à l’adresse e-mail de votre organisation au cours de la semaine dernière. Les administrateurs obtiennent de meilleures informations en affichant les évaluations dynamiques des tendances en matière de logiciels malveillants au niveau des locataires et en identifiant le comportement des familles de logiciels malveillants.

Requêtes suivies

Les requêtes suivies sont un autre outil de surveillance d’Office 365 qui effectue une évaluation périodique de l’activité dans votre environnement Microsoft en exploitant les requêtes enregistrées. Il s’agit d’un processus automatique qui fournit des informations récentes sur les activités suspectes afin de garantir la protection contre les menaces Office 365.

Requêtes enregistrées

Les recherches courantes dans l’Explorateur ou les requêtes Noteworthy Tracker que vous effectuez habituellement peuvent être enregistrées en tant que requêtes enregistrées. De cette façon, vous n’avez pas à créer une nouvelle recherche chaque fois et vous pouvez facilement accéder aux requêtes précédemment enregistrées.

Threat Explorer et détections en temps réel

Dans Microsoft Defender pour Office 365, Explorer, également connu sous le nom de Threat Explorer, permet aux experts en sécurité d’analyser les menaces potentielles qui ciblent votre organisation et de surveiller le volume des attaques au fil du temps. Grâce à cette fonctionnalité, vous pouvez afficher des rapports complets et des recommandations de politiques pour savoir comment réagir efficacement aux risques qui tentent de s’infiltrer dans votre organisation.

Remarque:

  • Explorer est inclus dans le plan 2 de Microsoft Defender pour Office 365, tandis que le plan 1 offre des détections en temps réel.
  • Pour accéder à l’un de ces outils, rendez-vous sur le Centre de conformité de sécurité & puis Gestion des menaces.

Threat Explorer fournit des informations importantes sur les menaces, telles que des données historiques de base, les méthodes de diffusion courantes et les dommages potentiels qui pourraient être causés. Les analystes peuvent utiliser cet outil comme point de départ pour leur enquête afin d’examiner les données par infrastructure des attaquants, familles de menaces et autres paramètres.

Vérifier les logiciels malveillants découverts

Vous pouvez utiliser Explorer pour afficher les logiciels malveillants découverts dans les adresses e-mail de votre organisation. Le rapport peut être filtré par différentes technologies Microsoft 365.

Afficher les URL de phishing et cliquer sur les données de verdict

Les tentatives de phishing via des URL dans les messages d’adresse e-mail sont également affichées dans Threat Explorer. Ce rapport comprend une liste des URL autorisées, bloquées et remplacées, classées dans deux tableaux :

  • URL les plus fréquentes: les pirates ajoutent parfois des URL valides à côté des liens malveillants afin de semer la confusion chez le destinataire. Cette liste contient principalement des URL légitimes trouvées dans les messages que vous avez filtrés et elles sont triées par nombre total d’adresses e-mail.
  • Clics les plus fréquents: il s’agit des URL encapsulées dans Safe Links qui ont été ouvertes et elles sont triées par nombre total de clics. Les liens ici sont très probablement malveillants et vous pouvez trouver le nombre de clics Safe Links suivant à côté de chaque URL.

Remarque: lors de la configuration du filtre anti-hameçonnage Office 365, vous devez configurer Safe Links et leurs politiques afin d’identifier les URL sur lesquelles les utilisateurs ont cliqué et de bénéficier de la protection au moment du clic et de la journalisation des verdicts de clic.

Les valeurs des verdicts de clic affichées dans Explorer vous aident à comprendre l’action qui a été effectuée une fois l’URL sélectionnée :

  • Autorisé: L’utilisateur a pu accéder à l’URL.
  • Bloqué: L’utilisateur n’a pas pu accéder à l’URL.
  • Verdict en attente: La page en attente de détonation s’est affichée lorsque l’utilisateur a cliqué sur l’URL.
  • Erreur: La page d’erreur s’est affichée à l’utilisateur car une erreur s’est produite lors de la tentative de capture du verdict.
  • Échec: Une exception inconnue s’est produite lors de la tentative de capture du verdict. Il est possible que l’utilisateur ait cliqué sur l’URL.
  • Aucune: Impossible de capturer le verdict. Il est possible que l’utilisateur ait cliqué sur l’URL.
  • Bloqué et remplacé: L’utilisateur a contourné le blocage et a accédé à l’URL.
  • Verdict en attente contourné: La page de détonation a été affichée, mais l’utilisateur a ignoré le message pour accéder à l’URL.

Examiner les adresses e-mail signalées par les utilisateurs

Ce rapport affiche les données relatives aux messages que les utilisateurs de votre organisation ont signalés comme indésirables, non indésirables ou hameçonnage. Pour obtenir de meilleurs résultats, il est recommandé de configurer la protection contre le spam pour Office 365.

Recherchez et examinez les adresses e-mail malveillantes qui ont été livrées

Les détections en temps réel et Threat Explorer permettent au personnel de sécurité d’enquêter sur les activités hostiles qui pourraient mettre votre organisation en danger. Les actions disponibles sont les suivantes :

  • Localiser et identifier l’adresse IP d’un expéditeur d’e-mails malveillants
  • Rechercher et supprimer des messages
  • Lancer un incident pour mener une enquête plus approfondie
  • Vérifier l’action de livraison et l’emplacement
  • Afficher la chronologie de votre adresse e-mail

Afficher les fichiers malveillants détectés dans SharePoint Online, OneDrive et Microsoft Teams

Les rapports dans Explorer répertorient les informations sur les fichiers identifiés comme malveillants par Safe Attachments pour OneDrive, Microsoft Teams et SharePoint Online. Les administrateurs peuvent également afficher ces fichiers en quarantaine.

Consultez le rapport sur le statut de la protection contre les menaces

Ce widget affiche le statut de la sécurité de votre Office 365. Outre le nombre de messages électroniques qui contiennent du contenu malveillant, vous pouvez également trouver :

  • Fichiers ou URL qui ont été bloqués
  • Purge automatique zéro heure (ZAP)
  • Liens sécurisés
  • Pièces jointes sécurisées
  • Fonctionnalités de protection contre l’usurpation d’identité dans les politiques anti-hameçonnage

Ces informations vous permettent d’analyser les tendances en matière de sécurité afin de déterminer si vos politiques doivent être ajustées.

Formation à la simulation d’attaques

Configurez et lancez des cyberattaques réalistes mais bénignes au sein de votre organisation afin de tester vos politiques de sécurité et d’identifier les vulnérabilités avant qu’une attaque réelle ne se produise. Ces simulations font partie de la protection contre les menaces d’Office 365, car elles permettent de former vos employés à rester vigilants face aux techniques d’ingénierie sociale telles que les attaques de phishing.

Remarque: vous pouvez accéder à cette fonctionnalité en vous rendant sur le portail Microsoft 365 Defender > adresse e-mail & collaboration > Formation à la simulation d’attaque. Ou rendez-vous directement sur la page Formation à la simulation d’attaque.

La formation à la simulation d’attaque suit un processus spécifique composé d’une série d’étapes que vous devez suivre avant de lancer l’attaque simulée.

Choisissez une technique d’ingénierie sociale

Vous devez d’abord choisir l’une des techniques d’ingénierie sociale disponibles :

  • Lien vers un logiciel malveillant: exécute un code arbitraire à partir d’un fichier hébergé sur un service de partage de fichiers réputé, puis envoie un message contenant un lien vers ce fichier malveillant. Si l’utilisateur ouvre le fichier, l’appliance est compromise.
  • Collecte d’identifiants de connexion: Les utilisateurs sont redirigés vers ce qui ressemble à un site Web connu où ils peuvent saisir leur nom d’utilisateur et leur mot de passe.
  • Lien dans une pièce jointe: une URL est ajoutée à une pièce jointe d’adresse e-mail et fonctionne de manière similaire à la collecte d’identifiants de connexion.
  • Pièce jointe malveillante: une pièce jointe malveillante est ajoutée à un message. Si la pièce jointe est ouverte, l’appareil de la cible est compromis.
  • URL drive-by: une URL redirige l’utilisateur vers un site web familier qui installe un code malveillant en arrière-plan. La protection des terminaux Office 365 peut ne pas être en mesure de contrer ces menaces et, par conséquent, l’appliance est infectée.

Choisissez un nom et décrivez la simulation

L’étape suivante consiste à saisir un nom unique et descriptif pour la simulation que vous créez. Une description détaillée est facultative.

Sélectionnez une charge utile

Sur cette page, vous devez choisir la charge utile qui sera présentée aux utilisateurs dans la simulation. Il peut s’agir d’un message électronique ou d’une page Web. Vous pouvez choisir parmi le catalogue intégré qui contient les charges utiles disponibles. Il est également possible de créer une charge utile personnalisée qui convient mieux à votre organisation.

Utilisateurs cibles

Vous sélectionnez ici les utilisateurs de votre entreprise qui recevront la formation à la simulation d’attaque. Vous pouvez inclure tous les utilisateurs ou choisir des cibles et des groupes spécifiques.

Attribuer une formation

Microsoft vous recommande d’attribuer une formation pour chaque simulation que vous créez, car les employés qui la suivent sont moins susceptibles d’être victimes d’une attaque similaire. Vous pouvez afficher les cours et modules suggérés et choisir ceux qui correspondent le mieux à vos besoins en fonction des résultats de l’utilisateur.

Sélectionner la notification de l’utilisateur final

Cet onglet vous permet de configurer vos paramètres de notification. Vous pouvez ajouter une notification de renforcement positif si vous le souhaitez Notifications personnalisées pour l’utilisateur final afin d’encourager vos utilisateurs une fois qu’ils ont terminé la formation.

Enquête et réponse automatisées (AIR)

Dans la sécurité Office 365, les fonctionnalités d’enquête et de réponse automatisées (AIR) déclenchent des alertes automatiques lorsqu’une menace connue cible votre organisation. Cela réduit le travail manuel et permet à votre équipe de sécurité de fonctionner plus efficacement en examinant, en hiérarchisant et en réagissant en conséquence.

Une enquête automatisée peut être lancée soit par une pièce jointe suspecte arrivée dans un message électronique, soit par un analyste utilisant Threat Explorer. AIR recueille les données relatives à l’adresse e-mail en question, telles que les destinataires, les fichiers et les URL. Les administrateurs et le personnel de sécurité peuvent examiner les résultats de l’enquête et vérifier les recommandations afin d’approuver ou de rejeter les actions correctives.

AIR peut être déclenché par l’une des alertes suivantes :

  • Une URL potentiellement malveillante a été cliquée
  • Un utilisateur a signalé une adresse e-mail comme étant du phishing ou un logiciel malveillant
  • Une adresse e-mail contenant un logiciel malveillant ou une URL de phishing a été enlevée après sa livraison
  • Un modèle d’envoi d’adresses e-mail suspect a été détecté
  • Un utilisateur n’est plus autorisé à envoyer des messages

Conclusion

L’investigation des menaces Office 365 offre diverses fonctionnalités qui vous aident à protéger vos données. Avec Microsoft Defender pour Office 365 plan 2, vous pouvez utiliser des fonctionnalités avancées telles que les outils de suivi et d’exploration des menaces. Vous pouvez également organiser des formations de simulation d’attaques afin de maintenir la vigilance de vos utilisateurs et de les protéger contre d’éventuelles cyberattaques. De plus, vous pouvez configurer l’investigation et la réponse automatisées (AIR) afin de soulager votre équipe de sécurité et lui permettre de se concentrer sur les menaces les plus prioritaires.

Cela dit, la seule façon d’assurer une protection complète d’un environnement Office 365 est de déployer une solution moderne de protection des données telle que NAKIVO Backup & Replication. Cette solution offre de puissantes fonctionnalités de sauvegarde et de récupération des données pour Exchange Online, Teams, OneDrive for Business et SharePoint Online.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Composants de la liste de contrôle du plan de reprise après sinistre
Picture
Comment utiliser SharePoint Online pour la gestion des données : guide complet
Picture
Comment fusionner des instantanés Hyper-V : guide étape par étape