Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des liens vers des pages répertoriant les alertes de sécurité que vous pouvez recevoir de Microsoft Defender pour cloud et tous les plans Microsoft Defender activés. Les alertes affichées dans votre environnement dépendent des ressources et des services que vous protégez et de votre configuration personnalisée.
Note
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Cette page inclut également un tableau décrivant la chaîne de destruction Microsoft Defender pour Cloud alignée sur la version 9 de la matrice MITRE ATT&CK.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Note
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Pages d’alerte de sécurité par catégorie
- Alertes pour les machines Windows
- Alertes pour les machines Linux
- Alertes pour DNS
- Alertes pour les extensions de machine virtuelle Azure
- Alertes pour Azure App Service
- Alertes pour les conteneurs - Clusters Kubernetes
- Alertes pour SQL Database et Azure Synapse Analytics
- Alertes pour les bases de données relationnelles open source
- Alertes pour Resource Manager
- Alertes pour stockage Azure
- Alertes pour Azure Cosmos DB
- Alertes pour la couche réseau Azure
- Alertes pour Azure Key Vault
- Alertes pour Azure DDoS Protection
- Alertes pour Defender pour les API
- Alertes pour les charges de travail IA
- Alertes de sécurité déconseillées
Tactiques MITRE ATT&CK
Comprendre l’intention d’une attaque peut vous aider à examiner et à signaler l’événement plus facilement. Pour faciliter ces efforts, les alertes Microsoft Defender pour Cloud incluent les tactiques MITRE avec de nombreuses alertes.
La série d’étapes qui décrivent la progression d’une cyberattaque de reconnaissance vers l’exfiltration des données est souvent appelée « chaîne de destruction ».
Les intentions de chaîne de destruction prises en charge par Defender pour cloud sont basées sur la version 9 de la matrice MITRE ATT&CK et décrites dans le tableau ci-dessous.
| Tactique | ATT&CK Version | Descriptif |
|---|---|---|
| PreAttack | PreAttack peut être une tentative d’accès à une certaine ressource, quelle que soit l’intention malveillante, ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative, provenant de l’extérieur du réseau, pour analyser le système cible et identifier un point d’entrée. | |
| Accès initial | V7, V9 | L’accès initial est l’étape où un attaquant parvient à obtenir un pied de page sur la ressource attaquée. Cette étape est pertinente pour les hôtes de calcul et les ressources, comme les comptes d’utilisateur, les certificats, etc. Les acteurs des menaces pourront souvent contrôler la ressource après cette étape. |
| Persistance | V7, V9 | La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un acteur de menace une présence persistante sur ce système. Les acteurs des menaces devront souvent maintenir l’accès aux systèmes par le biais d’interruptions telles que les redémarrages du système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès à distance pour redémarrer ou fournir une autre porte dérobée pour qu’ils récupèrent l’accès. |
| Réaffectation des privilèges | V7, V9 | L’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur pour fonctionner et sont probablement nécessaires à de nombreux points tout au long d’une opération. Les comptes d’utilisateur disposant d’autorisations pour accéder à des systèmes spécifiques ou exécuter des fonctions spécifiques nécessaires aux adversaires pour atteindre leur objectif peuvent également être considérés comme une escalade de privilèges. |
| Fraude à la défense | V7, V9 | L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont les mêmes que (ou variantes) de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulières. |
| Accès informations d'identification | V7, V9 | L’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateur (administrateur système local ou utilisateurs de domaine disposant d’un accès administrateur) à utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure dans l’environnement. |
| Découverte | V7, V9 | La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque les adversaires accèdent à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent maintenant et les avantages que l’exploitation de ce système donne à leur objectif actuel ou à leurs objectifs globaux pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs qui facilitent cette phase de collecte d’informations post-compromis. |
| LateralMovement | V7, V9 | Le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants et de contrôler les systèmes distants sur un réseau et ne peut pas nécessairement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral pourraient permettre à un adversaire de recueillir des informations à partir d’un système sans avoir besoin d’outils supplémentaires, tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution à distance d’outils, la pivotation vers plus de systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à plus d’informations d’identification ou pour provoquer un effet. |
| Exécution | V7, V9 | La tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès aux systèmes distants sur un réseau. |
| Collection | V7, V9 | La collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| Commande et contrôle | V7, V9 | La tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| Exfiltration | V7, V9 | L’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| Impact | V7, V9 | Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela ferait souvent référence à des techniques telles que les ransomwares, la défacement, la manipulation des données et d’autres. |
Note
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.