Partager via

Identifier et corriger des chemins d’attaque

Defender pour le cloud utilise un algorithme propriétaire pour localiser les chemins d’attaque potentiels spécifiques à votre environnement multicloud. Defender pour Cloud se concentre sur des menaces réelles, pilotées par l’externe et exploitables plutôt que sur des scénarios larges. L’algorithme détecte les chemins d’attaque qui commencent à l’extérieur de votre organisation et progressent vers des cibles critiques pour l’entreprise, ce qui vous aide à réduire le bruit et à agir plus rapidement.

Vous pouvez utiliser l’analyse du chemin d’attaque vous aide à résoudre les problèmes de sécurité qui vous exposent aux menaces immédiates les plus susceptibles d’être exploitées dans votre environnement. Defender pour Cloud analyse les problèmes de sécurité qui font partie des chemins d’attaque exposés en externe que les attaquants pourraient utiliser pour violer votre environnement. Il met également en évidence les recommandations de sécurité que vous devez mettre en œuvre pour atténuer ces problèmes.

Par défaut, les chemins d’attaque sont organisés par niveau de risque. Le niveau de risque est déterminé par un moteur de hiérarchisation des risques intégrant le contexte et qui considère les facteurs de risque de chaque ressource. Apprenez-en davantage sur la façon dont Defender pour le cloud hiérarchise les recommandations de sécurité.

Remarque

Pour le moment, cette fonctionnalité n’est disponible que dans la version préliminaire.
Pour plus d’informations sur les lacunes et restrictions actuelles, consultez limitations connues.

Prérequis

Remarque

Vous pouvez voir une page de chemin d’attaque vide, car les chemins d’attaque se concentrent désormais sur des menaces réelles, pilotées à l’extérieur et exploitables plutôt que sur des scénarios larges. Cela permet de réduire le bruit et de hiérarchiser les risques imminents.

Pour afficher les chemins d’attaque liés aux conteneurs :

Identifier les chemins d’attaque

Vous pouvez utiliser l’Analyse du chemin d’attaque pour localiser les plus grands risques pour votre environnement et y remédier.

La page des chemins d’attaque affiche une vue d’ensemble de tous les chemins d’attaque. Vous pouvez également voir vos ressources affectées et une liste des chemins d’attaque actifs.

Capture d’écran d’un exemple de page des chemins d’attaque.

Pour identifier les chemins d’attaque dans le portail Azure :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Analyse du chemin d'accès de l'attaque.

    Capture d’écran montrant la page d’analyse du chemin d’attaque sur l’écran principal.

  3. Sélectionnez un chemin d’attaque.

  4. Sélectionnez un nœud.

    Capture de l’écran du chemin d’attaque montrant où se trouvent les nœuds pour la sélection.

    Remarque

    Si vous disposez d’autorisations limitées, en particulier entre les abonnements, vous risquez de ne pas voir les détails complets du chemin d’accès d’attaque. Il s’agit du comportement attendu conçu pour protéger les données sensibles. Pour afficher tous les détails, vérifiez que vous disposez des autorisations nécessaires.

  5. Sélectionnez Insight pour afficher les insights associés pour ce nœud.

    Capture d’écran de l’onglet Insights pour un nœud spécifique.

  6. Sélectionnez Recommandations.

    Capture d’écran montrant où sélectionner des recommandations à l’écran.

  7. Sélectionnez une recommandation.

  8. Corrigez la recommandation.

Pour identifier les chemins d’attaque dans le portail Defender :

  1. Connectez-vous au portail Microsoft Defender.

  2. Accédez à Gestion de l’exposition>Surface d’attaque>Chemins d’attaque. Vous verrez une vue d’ensemble de vos chemins d’attaque.

    L’expérience des chemins d’attaque fournit plusieurs vues :

    • Onglet Vue d’ensemble : afficher les chemins d’attaque au fil du temps, les 5 premiers points d’étranglement, les 5 principaux scénarios de chemin d’attaque, les cibles principales et les points d’entrée principaux
    • Liste des chemins d’attaque : vue dynamique et filtrable de tous les chemins d’attaque avec fonctionnalités de filtrage avancées
    • Points d’étranglement : liste des nœuds où convergent plusieurs chemins d’accès d’attaque, marqués comme goulots d’étranglement à haut risque

    Capture d’écran montrant la vue d’ensemble du chemin d’attaque dans le portail Defender.

    Remarque

    Dans le portail Defender, l’analyse du chemin d’attaque fait partie des fonctionnalités de gestion de l’exposition plus étendues, ce qui offre une intégration améliorée avec d’autres solutions de sécurité Microsoft et une corrélation unifiée des incidents.

  3. Sélectionnez l’onglet Chemins d’accès d’attaque .

    Capture d’écran montrant la page du chemin d’accès aux attaques dans le portail Defender.

  4. Utilisez le filtrage avancé dans la liste des chemins d’accès d’attaque pour vous concentrer sur des chemins d’attaque spécifiques :

    • Niveau de risque : Filtrer par chemins d’attaques à haut, moyen ou faible risque
    • Type de ressource : Concentrez-vous sur des types de ressources spécifiques
    • État de correction : Afficher les chemins d'attaque résolus, en cours ou en attente
    • Délai : Filtrer par période spécifique (par exemple, les 30 derniers jours)

  5. Sélectionnez un chemin d’attaque pour afficher la carte des chemins d’attaque, une vue basée sur des graphiques mettant en surbrillance :

    • Nœuds vulnérables : Ressources présentant des problèmes de sécurité
    • Points d’entrée : points d’accès externes où les attaques peuvent commencer
    • Ressources cibles : les ressources critiques que les attaquants tentent d’atteindre
    • Points de choke : points de convergence où plusieurs chemins d’attaque se croisent

  6. Sélectionnez un nœud pour examiner les informations détaillées :

    Capture d’écran de l’écran chemin d’accès d’attaque dans le portail Defender montrant la sélection du nœud.

    Remarque

    Si vous disposez d’autorisations limitées, en particulier entre les abonnements, vous risquez de ne pas voir les détails complets du chemin d’accès d’attaque. Il s’agit du comportement attendu conçu pour protéger les données sensibles. Pour afficher tous les détails, vérifiez que vous disposez des autorisations nécessaires.

  7. Passez en revue les détails du nœud, notamment :

    • Tactiques et techniques MITRE ATT&CK : Compréhension de la méthodologie d’attaque
    • Facteurs de risque : facteurs environnementaux contribuant au risque
    • Recommandations associées : Améliorations de sécurité pour atténuer le problème

  8. Sélectionnez Insight pour afficher les insights associés pour ce nœud.

  9. Sélectionnez Recommandations pour afficher des conseils actionnables avec le suivi de l’état de correction.

    Capture d’écran montrant où sélectionner des recommandations dans le portail Defender.

  10. Sélectionnez une recommandation.

  11. Corrigez la recommandation.

    Une fois que vous avez terminé votre enquête sur un chemin d'attaque et que vous avez examiné toutes les conclusions et recommandations associées, vous pouvez commencer à remédier au chemin d'attaque.

  12. Corrigez la recommandation.

Une fois qu’un chemin d’attaque est corrigé, jusqu’à 24 heures peuvent s’écouler avant qu’il soit supprimé de la liste.

Corriger les chemins d’attaque

Une fois que vous avez terminé votre enquête sur un chemin d'attaque et que vous avez examiné toutes les conclusions et recommandations associées, vous pouvez commencer à remédier au chemin d'attaque.

Pour corriger un chemin d’attaque dans le portail Azure :

  1. Accédez à Microsoft Defender pour le cloud>Analyse du chemin d'accès de l'attaque.

  2. Sélectionnez un chemin d’attaque.

  3. Sélectionnez Correction.

    Capture d’écran du chemin d’attaque qui montre où sélectionner la correction.

  4. Sélectionnez une recommandation.

  5. Corrigez la recommandation.

Une fois qu’un chemin d’attaque est corrigé, jusqu’à 24 heures peuvent s’écouler avant qu’il soit supprimé de la liste.

Corriger toutes les recommandations dans un chemin d’attaque

L’Analyse du chemin d’attaque vous permet de voir toutes les recommandations par chemin d’attaque sans avoir à vérifier chaque nœud individuellement. Vous pouvez résoudre toutes les recommandations sans avoir à afficher chaque nœud individuellement.

Le chemin de correction contient deux types de recommandation :

  • Recommandations : recommandations qui atténuent le chemin d’attaque.
  • Recommandations supplémentaires : recommandations qui réduisent les risques d’exploitation, mais n’atténuent pas le chemin d’attaque.

Pour résoudre toutes les recommandations dans le portail Azure :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Analyse du chemin d'accès de l'attaque.

  3. Sélectionnez un chemin d’attaque.

  4. Sélectionnez Correction.

    Capture d’écran montrant où sélectionner sur l’écran pour afficher la liste complète des recommandations liées aux chemins d’attaque.

  5. Développez Recommandations supplémentaires.

  6. Sélectionnez une recommandation.

  7. Corrigez la recommandation.

Une fois qu’un chemin d’attaque est corrigé, jusqu’à 24 heures peuvent s’écouler avant qu’il soit supprimé de la liste.

Pour résoudre toutes les recommandations dans le portail Defender :

  1. Connectez-vous au portail Microsoft Defender.

  2. Accédez à Gestion de l'exposition>Analyse du chemin d'attaque.

  3. Sélectionnez un chemin d’attaque.

  4. Sélectionnez Correction.

    Remarque

    Le portail Defender fournit un suivi amélioré de la progression de la correction et peut mettre en corrélation les activités de correction avec des opérations de sécurité et des flux de travail de gestion des incidents plus larges.

  5. Développez Recommandations supplémentaires.

  6. Sélectionnez une recommandation.

  7. Corrigez la recommandation.

Une fois qu’un chemin d’attaque est corrigé, jusqu’à 24 heures peuvent s’écouler avant qu’il soit supprimé de la liste.

Fonctionnalités améliorées de gestion de l’exposition

Le portail Defender fournit des fonctionnalités supplémentaires pour l’analyse des chemins d’attaque par le biais de son framework de gestion de l’exposition intégré :

  • Corrélation unifiée des incidents : les chemins d’accès aux attaques sont automatiquement corrélés avec les incidents de sécurité dans votre écosystème de sécurité Microsoft.
  • Insights inter-produits : les données de chemin d'attaque sont intégrées aux résultats de Microsoft Defender pour point de terminaison, Microsoft Sentinel, ainsi que d'autres solutions de sécurité Microsoft.
  • Informations avancées sur les menaces : contexte amélioré des flux de renseignement sur les menaces Microsoft pour mieux comprendre les modèles d’attaque et les comportements des acteurs.
  • Flux de travail de correction intégrés : processus de correction simplifiés qui peuvent déclencher des réponses automatisées sur plusieurs outils de sécurité.
  • Rapports exécutifs : fonctionnalités de création de rapports améliorées pour la direction de la sécurité avec des évaluations d’impact métier.

Ces fonctionnalités fournissent une vue plus complète de votre posture de sécurité et permettent une réponse plus efficace aux menaces potentielles identifiées par l’analyse du chemin d’attaque.

En savoir plus sur les chemins d’attaque dans Defender pour cloud.

Étape suivante

Créez des requêtes avec l’explorateur de sécurité du cloud.

  • Last updated on