Politiques de réponse : Aperçu

Cet article n'est pas disponible en French. Affichez-la en English

Introduction

Cet article présente une vue d'ensemble des politiques de réponse d'Active Response, une brève présentation d'Active Response pour les services en nuage et une analyse de chaque politique de réponse avec des exemples. Pour savoir comment configurer une politique de réponse dans le portail, voir Configuration d'une politique Active Response.

Une politique de réponse détermine la manière dont Active Response réagit aux menaces et aux vulnérabilités que Field Effect découvre dans votre environnement. Une politique de réponse doit refléter la tolérance de votre organisation aux risques liés à l'informatique et informer Active Response sur la manière de réagir. La définition d'une politique de réponse indiquera à Field Effect et à nos analystes comment intervenir lorsque des menaces sont identifiées.

Choosing the Limited response policy doesn’t necessarily mean a change in technology, it just changes the set of available response actions your organization allows to be taken. Regardless of the policy in place, Field Effect will continue to monitor the environment as expected, and deliver AROs on all discovered threats and vulnerabilities. A more aggressive response policy will employ more aggressive, and automated, response actions. To learn more about how each response policy acts against common attack scenarios, see Active Response: Example Scenarios.

Le choix de la politique de réponse limitée n'implique pas nécessairement un changement de technologie, il modifie simplement l'ensemble des actions de réponse disponibles que votre organisation autorise à prendre. Quelle que soit la politique en place, Field Effect continuera à surveiller l'environnement comme prévu et à fournir des ORA pour toutes les menaces et vulnérabilités découvertes. Une politique de réponse plus agressive utilisera des actions de réponse plus agressives et automatisées. Pour en savoir plus sur la façon dont chaque politique de réponse agit contre des scénarios d'attaque courants, voir Réponse active : Exemples de scénarios.

La mise en place d'une politique de réponse permettra :

Informez Field Effect et nos analystes du niveau d'intervention que votre organisation accepte, et n'autorisez que les actions de réponse « limitées » à se déclencher.

La mise en place d'une politique de réponse ne le fera pas :

Changez la façon dont Field Effect surveille le réseau et les points d'extrémité de votre organisation.
Permettre à Field Effect d'effectuer des actions de réponse qui affectent votre déploiement. Si un agent de point final est requis pour initier une action de réponse, Active Response n'interviendra pas en installant automatiquement l'agent de point final requis pour effectuer l'action de réponse.

Lors de la mise en place d'une politique de réponse, vous pouvez personnaliser davantage ces politiques en incluant des exclusions et des modifications. Si un appareil ou un service est absolument essentiel à vos activités, vous pouvez l'exclure de la politique. Vous pouvez également travailler avec notre équipe pour créer des modifications plus granulaires si nécessaire.

Voici quelques exemples d'exclusions dans le cadre d'une politique de réponse :

« Ne pas isoler IMPORTANT-SERVER (1.1.1.1) sans notre accord ».
« Isoler tout poste de travail infecté, à l'exception de ce(s) poste(s) de travail ».
« Veuillez nous contacter si plus de 3 serveurs nécessitent une action de réponse ».

Politiques de réponse pour les comptes en nuage

La réponse active doit être activée et configurée avant d'être utilisée pour les services en nuage. Voir Configuration d'une réponse active.

Une fois qu'Active Response est activée et qu'une politique de réponse est configurée, elle peut être activée pour certains comptes cloud. Lorsqu'elle est activée, Active Response peut déclencher des actions de réponse sur les comptes cloud. Les réponses varient d'un cas à l'autre, mais un exemple d'action de réponse en nuage serait de verrouiller un compte qui pourrait être compromis.

Comprendre les politiques standard et limitées

La différence entre les politiques Standard et Limited pour les comptes cloud se résume aux nuances et aux détails de votre licence Microsoft Entra Enterprise; P1 ou P2.

Politique Limitée	Standard sans P1 or P2	Standard avec P1 or P2
Aucune réponse active Pas d'intégration avec Defender for Cloud Aucun détail sur le risque du compte	Aucune information sur le compte de risque (aucune liste des appareils qu'un compte a enregistrés pour l'AMF)	Toutes les fonctions de réponse active seront activées

Politiques de réponse

Cette section présente les politiques de réponse disponibles, mais il convient de noter qu'elles peuvent être modifiées par des exceptions et des exclusions. Les descriptions suivantes des politiques de réponse représentent chaque politique de réponse sans les exclusions ou modifications personnalisées qui y ont été ajoutées.

Note that if the DNS Firewall is enabled, DNS requests made to URLs that are known to be malicious, or added to you custom blocklist, will still be blocked, regardless of your organization’s chosen response policy.

Notez que si le pare-feu DNS est activé, les requêtes DNS adressées à des URL connues pour être malveillantes ou ajoutées à votre liste de blocage personnalisée seront toujours bloquées, quelle que soit la politique de réponse choisie par votre organisation.

Désactivé (politique par défaut)

Field Effect surveillera passivement l'environnement et vous informera des menaces et des vulnérabilités par le biais d'ARO, mais aucune action de réponse ne sera entreprise.

Limitée

Cette politique autorise nos analystes à effectuer des réponses manuelles au nom de votre organisation. Les analystes ne lanceront manuellement une action de réponse que dans les situations confirmées ou fortement soupçonnées d'être malveillantes.

Cette politique tient compte de l'infrastructure (serveur ou ordinateur de bureau) et de l'impact commercial potentiel (vulnérabilité ou menace active) lors du déclenchement d'une action de réponse.

Voici quelques exemples d'actions de réponse pour la politique limitée :

Isolement d'un hôte infecté par un logiciel malveillant.
Blocage d'un ou de plusieurs processus spécifiques reconnus comme malveillants avec un degré élevé de certitude.
Verrouillage d'un compte en nuage présentant des signes évidents de compromission.

Équilibré (politique recommandée)

Cette politique présente toutes les caractéristiques de la politique limitée, mais avec davantage d'actions de réponse disponibles. Elle tient compte de l'infrastructure (serveur ou ordinateur de bureau) et de l'impact potentiel (vulnérabilité ou menace active) lors du déclenchement d'une action de réponse.

Voici quelques exemples d'actions de réponse pour la politique d'équilibre :

Isolement d'un serveur présentant de sérieux indices de compromission.
Verrouillage automatique d'un compte cloud fortement suspecté d'être compromis.
Blocage d'un hôte compromis au sein d'un réseau (exemple : utilisation suspecte de PowerShell sur un hôte Windows).

Agressif

Lorsque cette politique est définie, Field Effect bloque, dans la mesure du possible, toute activité observée dans votre environnement qui pourrait être considérée comme malveillante ou constituant une menace pour la cybersécurité de votre organisation. L'impact commercial potentiel ou les actions au niveau de l'hôte sont moins pris en compte.

Voici quelques exemples d'actions de réponse dans le cadre de la politique d'agressivité :

Blocage des processus et activités anormaux.
Verrouillage d'un compte de messagerie soupçonné d'être compromis.
Désactiver ou limiter l'utilisation d'outils et de fonctions connus pour être utilisés de manière abusive par les attaquants.
- Blocage de l'utilisation de PowerShell.
- Blocage de l'utilisation d'outils d'administration à distance.

Catégories de politiques

Notre équipe de services de sécurité apporte une vaste expérience à Field Effect, et cette expertise a contribué à la création d'un ensemble robuste et complet de politiques de détection pour les menaces connues et théoriques. Les politiques de détection sont classées en fonction des logiciels malveillants courants et du comportement des acteurs de la menace.

Les acteurs de la menace emploient généralement des techniques relevant de plusieurs de ces catégories et le chevauchement de ces politiques de détection permet une défense plus approfondie. Les outils et les logiciels malveillants spécifiques à un comportement sont inclus dans nos politiques de détection, mais l'accent est mis sur la restriction d'activités plus générales qui sont associées à des actions malveillantes ou qui sont nécessaires pour les réaliser. Cette approche permet de se protéger contre les logiciels malveillants connus, ainsi que contre ceux qui n'ont jamais été détectés auparavant.

Les exemples suivants incluent des activités qui pourraient déclencher une réponse de l'agent du poste de travail, lorsqu'elles sont activées et appropriées. Ces mesures de protection peuvent inclure le blocage automatisé et l'arrêt du processus par l'agent du poste de travail. Les analystes seront également alertés pour évaluer l'événement et envisager une réponse au niveau de l'hôte. Les mesures prises dépendent du niveau de confiance associé à la détection et de votre politique de réponse.

Catégorie	Description	Comportement susceptible de déclencher une réaction active
Ransomware	Tentatives d'exfiltration de données d'un réseau, de suppression ou de désactivation de sauvegardes et de cryptage de fichiers.	Utilisation suspecte de commandes et d'outils tiers généralement associés aux attaques de ransomware. Tentatives de cryptage en limitant le comportement attendu des logiciels.
Macros Office	Livrés par le biais de documents contenant des macros malveillantes ou d'autres automatismes attachés. C'est souvent le cas dans les campagnes d'hameçonnage.	Logiciels de diverses suites bureautiques tentant d'exécuter ou de modifier d'autres processus (au-delà de l'utilisation normale). Logiciel tentant d'accéder à un fichier autre que l'éditeur et le visualiseur appropriés au type de fichier.
Persistence	Les acteurs de la menace installent généralement les logiciels malveillants de manière à ce qu'il soit difficile de les arrêter ou de les supprimer. Les systèmes d'exploitation permettent de rendre les logiciels persistants, mais Field Effect empêche les logiciels non fiables de modifier les mécanismes de persistance.	Clés de registre utilisées pour désigner les logiciels à démarrer automatiquement. L'enregistrement de l'amorçage change. Ajout/modification de tâches programmées.
L'escalade des privilèges	Les acteurs de la menace ont souvent besoin de privilèges administratifs pour accéder aux fonctions et répertoires restreints d'un système. Pour ce faire, ils exploitent souvent les vulnérabilités des logiciels.	Techniques d'élévation courantes utilisées par les logiciels malveillants connus. Les outils d'exploitation sont souvent associés à des capacités d'élévation. Commandes suspectes utilisées pour tester les autorisations et l'accès aux comptes. Commandes suspectes généralement nécessaires pour l'élévation.
Propagation	Après avoir compromis un système, les acteurs de la menace tenteront de se propager à d'autres systèmes au sein du réseau.	Tentatives d'exécution à distance de commandes ou de modification des mécanismes de persistance sur un autre système. Tentatives d'exécution de commandes suspectes sur un autre système. Utilisation suspecte d'outils de gestion à distance (outils d'administration à distance). Tentatives d'installation et de démarrage d'interpréteurs de commandes Web et activité courante de l'interpréteur de commandes Web associée à la propagation.
Falsification du système	Les acteurs de la menace peuvent essayer de modifier les paramètres du système pour éviter d'être découverts ou pour permettre une activité qui serait autrement bloquée.	Tente de désactiver les rapports de crash et d'erreur. Tentatives d'abaisser les restrictions en matière de sécurité et d'authentification. Tentative de désactivation d'un logiciel de sécurité. Tentatives de modification des certificats et des chaînes de certificats.
Logiciels malveillants généraux	De nombreuses techniques sont utilisées dans plusieurs catégories de logiciels malveillants. Il s'agit d'une catégorie générale destinée à prendre en compte des comportements plus généraux susceptibles d'être malveillants.	Tentatives de téléchargement et d'exécution de code à partir d'une source distante. Tentatives de modification d'un logiciel, en y injectant un nouveau code ou en remplaçant un logiciel en cours d'exécution dans la mémoire. Tentatives de chargement ou d'exécution de bibliothèques ou d'autres modules non fiables. Des actions suspectes sont tentées par des logiciels non signés ou non fiables. Utilisation suspecte d'interpréteurs de script, tels que PowerShell. Techniques d'exécution de code, telles que l'exécution par procuration par des moteurs de script Microsoft signés. Actions suspectes du navigateur web. Techniques associées à des logiciels malveillants connus et à des acteurs de la menace. Activité associée à des outils d'exploitation connus (Cobalt Strike, Mimikatz, etc.).