Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
La protection prédictive (préversion) est une stratégie de défense proactive conçue pour anticiper et atténuer les menaces dans le cadre d’une attaque en cours. La protection prédictive étend le Microsoft Defender pile de protection autonome, améliorant ainsi les fonctionnalités d’interruption automatique des attaques avec des mesures proactives.
Cet article fournit une vue d’ensemble de la protection prédictive afin que vous puissiez comprendre ses fonctionnalités et comment il améliore votre posture de sécurité.
Découvrez comment fonctionne la protection prédictive ou comment gérer la protection prédictive dans Microsoft Defender.
Comment la protection prédictive s’étend sur l’interruption automatique des attaques
L’évolution du paysage des menaces crée un déséquilibre : les défenseurs doivent sécuriser chaque ressource, tandis que les attaquants n’ont besoin que d’une seule ouverture. Les défenses traditionnelles sont réactives et répondent après le début d’une activité malveillante. Cette approche laisse les défenseurs poursuivre les attaquants, qui agissent souvent trop rapidement ou subtilement pour les détecter en temps réel. Bien que certains comportements des attaquants doivent être carrément bloqués, la prévention statique perturbe la productivité et ajoute une surcharge opérationnelle.
Pour relever ces défis, la protection prédictive améliore la pile de protection autonome de Defender, en étendant l’interruption des attaques pour inclure des mesures proactives pendant une attaque, en anticipant les risques et en appliquant des protections ciblées uniquement si nécessaire.
Cette approche proactive réduit la chasse réactive, réduit la charge opérationnelle, maintient la facilité d’utilisation et protège l’environnement avant que les attaquants ne puissent avancer.
Bien que l’interruption des attaques identifie et contienne les ressources compromises, la protection prédictive anticipe la progression potentielle des attaques et limite de manière proactive les ressources ou les chemins d’accès vulnérables. Par exemple, alors que l’interruption des attaques automatiques isole un appareil compromis, la protection prédictive peut restreindre de manière proactive l’accès aux données sensibles pour les appareils à risque.
Fonctionnement de la protection prédictive
La protection prédictive utilise l’analytique prédictive et les insights en temps réel pour identifier dynamiquement les risques émergents et applique des protections ciblées.
La protection prédictive intègre la posture, l’activité et le contexte du scénario pour identifier les chemins d’attaque et les cibles potentielles, renforcer de manière sélective les ressources critiques ou limiter les chemins d’attaque juste-à-temps.
Cette approche réduit la surcharge opérationnelle et offre aux équipes de sécurité plus de temps pour répondre. Par exemple, la protection prédictive peut restreindre dynamiquement l’accès aux données sensibles pour les appareils identifiés comme à risque, ce qui réduit le besoin de restrictions étendues à l’échelle de l’environnement.
La protection prédictive s’appuie sur deux piliers :
-
Prédiction
- Implique l’analyse du renseignement sur les menaces, du comportement des attaquants, des incidents passés et de l’exposition de l’organisation.
- Defender utilise ces données de prédiction pour identifier les risques émergents, comprendre la progression probable des attaques et déduire le risque sur les ressources non compromises.
- La mise en œuvre applique des contrôles de protection préventifs pour perturber les chemins d’attaque potentiels en temps réel.
Cette approche double garantit que la protection est à la fois précise et opportune.
Logique de prédiction
La prédiction permet aux organisations d’identifier les ressources à risque et d’appliquer des protections personnalisées en temps réel. La prédiction se concentre sur les risques émergents plutôt que sur la prévention statique, ce qui réduit les frictions opérationnelles et garantit que les mesures de sécurité sont appliquées précisément en cas de besoin. Par exemple, si un outil malveillant spécifique est détecté, la protection prédictive peut déduire la cible probable suivante en fonction des modèles d’attaque passés.
Defender utilise plusieurs couches d’insights pour effectuer des prédictions précises :
- Le renseignement sur les menaces aligne l’activité observée avec les outils et tactiques connus des attaquants.
- Les enseignements tirés des incidents passés sont utilisés pour reconnaître les modèles statistiques et extrapoler les étapes suivantes les plus probables.
- Les données d’exposition organisationnelles sont utilisées pour mapper la façon dont l’environnement est structuré : quelles ressources et identités sont connectées, quelles autorisations ces identités disposent, quelles vulnérabilités ou erreurs de configuration existent et comment les risques peuvent se propager entre elles.
Ensemble, ces insights créent une compréhension dynamique de l’environnement et de ses risques.
Logique basée sur un graphique
La logique de prédiction basée sur des graphiques comble l’écart entre les systèmes pré-violation et post-violation, fournissant une vue unifiée de l’activité des attaquants dans la topologie de l’organisation. Cette vue unifiée inclut les ressources, les connexions et les vulnérabilités du organization. La logique basée sur un graphique combine des données d’activité en direct avec la carte structurelle de l’environnement.
Cette intégration permet à Defender d’ajuster dynamiquement les protections en fonction des vulnérabilités les plus critiques, ce qui permet de hiérarchiser les défenses en temps réel et d’arrêter les attaquants avant qu’ils n’atteignent les ressources critiques.
Le processus implique trois étapes clés :
- Defender superpose l’activité post-violation sur le graphique d’exposition de l’organization, créant ainsi une vue complète des chemins d’attaque potentiels.
- Defender identifie le rayon d’explosion, c’est-à-dire les ressources associées que l’activité identifiée peut affecter.
- Les modèles de raisonnement prédisent les chemins que les attaquants sont les plus susceptibles de prendre, en factorisant les comportements passés, les caractéristiques des ressources et les vulnérabilités environnementales.
Cette compréhension dynamique permet à Defender d’aller au-delà des réponses réactives, ce qui permet une protection juste-à-temps qui arrête les attaquants avant qu’ils n’atteignent les ressources critiques.
Actions de protection prédictives
La protection prédictive utilise les actions basées sur Defender pour point de terminaison. Pour utiliser ces actions, vous avez besoin d’une licence Defender pour point de terminaison.
Renforcement du démarrage sécurisé : renforce le démarrage de l’appareil en mode sans échec. Le démarrage en mode sans échec est une tactique courante utilisée par les attaquants pour contourner les contrôles de sécurité et maintenir la persistance sur les systèmes compromis.
Renforcement des objets de stratégie de groupe : renforce les objets stratégie de groupe (GPO) pour empêcher les attaquants d’exploiter des erreurs de configuration ou des faiblesses dans les paramètres d’objet de stratégie de groupe pour remonter les privilèges ou se déplacer latéralement au sein du réseau.
Contenu proactif de l’utilisateur (contenir l’utilisateur) : insuffle des données d’activité avec des données d’exposition pour identifier les informations d’identification exposées au risque d’être compromises et réutilisées pour mener des activités malveillantes. Restreint de manière proactive l’activité des utilisateurs associés à ces informations d’identification.
Remarque
Bien que l’action de l’utilisateur conteneur soit utilisée à la fois dans la perturbation des attaques et la protection prédictive, cette action est appliquée différemment dans chaque contexte. Dans la protection prédictive, l’action conteneur de l’utilisateur applique les restrictions de manière plus sélective, en mettant l’accent sur les utilisateurs identifiés comme à haut risque par le biais d’une logique de prédiction. Cette action empêche les nouvelles sessions plutôt que d’arrêter des sessions existantes.
Étapes suivantes
- Gérer la protection prédictive dans Microsoft Defender : découvrez comment gérer les actions de protection prédictives et examiner leur impact dans votre environnement.
- Interruption des attaques automatiques dans Microsoft Defender : découvrez comment fonctionne l’interruption des attaques automatiques pour identifier et neutraliser les activités malveillantes confirmées.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.