Le cloud est devenu un point faible de sécurité de l’entreprise, et les défis liés à la collecte des journaux d’activités de votre fournisseur n’aident pas. Voici comment obtenir ce dont vous avez besoin de Microsoft.
La sécurité de l’entreprise n’a jamais été un exercice de vérification des boîtes, mais la liste des technologies et configurations de protection nécessaires ne semble jamais être plus courte. Et pourtant, la véritable tranquillité d’esprit reste insaisissable.
Considérez le scénario de protection des points de terminaison typique: votre réseau est protégé et vous avez sur la surveillance de vos postes de travail. Vous êtes alerté des menaces virales chaque fois que quelqu’un essaie d’installer des logiciels malveillants. Vous êtes alerté lorsque Windows est obsolète et a besoin d’un correctif de sécurité, lorsqu’un correctif de navigateur doit être installé, lorsque le logiciel tiers doit être mis à jour. Vos politiques Microsoft Intune surveillent et vous alertent lorsque des points de terminaison sont en danger. L’intégration SIEM vous permet de surveiller tous vos points de terminaison. L’automatisation bloque immédiatement la communication lorsqu’elle détecte une menace pour les postes de travail.
Mais êtes-vous vraiment protégé?
Il n’y a pas longtemps, le réseau décrit ci-dessus serait considéré comme sécurisé et protégé. Mais maintenant, beaucoup diraient que ce n’est pas le cas. Qu’est-il arrivé pour rendre nos points de terminaison moins sécurisés?
Les attaquants savent que nous avons investi un peu dans la sécurisation de nos ordinateurs de bureau hérités. Ils savent que nous avons ajouté un logiciel de détection et de correction des points de terminaison pour s’assurer que nos ordinateurs de bureau et notre ordinateur portable sont protégés. Ils recherchent donc plutôt des points faibles que nous ne passons pas autant de temps et de ressources pour protéger.
Dans l’entreprise d’aujourd’hui, cela signifie souvent le cloud – un environnement complexe qui est difficile non seulement pour sécuriser, mais pour obtenir les types de preuves médico-légales nécessaires pour faire face rapidement aux problèmes.
Anatomie du nouveau chemin d’accès
Récemment, Volexity a indiqué que les attaquants ciblaient les ressources informatiques commerciales au-delà des ordinateurs de bureau et des ordinateurs portables. Ils utilisent des applications de communication telles que Signal et WhatsApp pour initier la communication avec leur cible. Les liens de phishing sont ensuite envoyés non seulement pour obtenir les informations d’identification de l’utilisateur ciblé, mais pour les inciter à terminer un workflow pour approuver les informations d’identification OAuth. Comme les chercheurs de volexité l’ont souligné dans leur enquête, les URL utilisées dans les campagnes ont souligné d’autres workflows d’authentification Microsoft OAuth 2.0 associés à diverses applications de Microsoft de première partie légitimes.
Une fois qu’ils ont eu accès via un jeton OAuth, les attaquants peuvent accéder à tout ce qui se trouve dans les ressources cloud de l’utilisateur. De nos jours, qui peuvent aller des ressources Microsoft 365, au contrôle AWS, à Google Workspace. Les attaquants partout dans le monde peuvent accéder aux fichiers stockés dans des référentiels cloud.
Pourquoi facilitons-nous les attaquants plus faciles à accéder? En partie, nous n’avons pas attribué de ressources et de budget pour ajouter le suivi et la protection nécessaires aux ressources cloud. Nous avons également compliqué nos réseaux avec des appareils IoT intégrés dans nos réseaux qui ont rendu difficile le suivi et l’audit des points d’entrée.
De plus, les ressources cloud rendent particulièrement difficile d’effectuer des examens médico-légaux. L’enregistrement n’est souvent pas natif, non activé ou non disponible pour votre niveau d’abonnement cloud.
Par exemple, pour permettre la journalisation du niveau médico-légal pour Microsoft 365, vous devez répondre à certaines exigences. Sinon, vous ne recevrez pas les ressources nécessaires pour analyser et étudier les intrusions. Cela signifie avoir:
- Une licence Microsoft 365 E5 (E5, E5 Compliance ou E5 Insider Risan Management)
- Nésions de travail qui exécutent Windows 11 Enterprise avec des applications Microsoft 365
- Appareils rejoints via Microsoft Entra avec certaines versions antivirus de défenseur et versions d’application à bord
Seules les organisations qui répondent à ces critères seront en mesure d’exécuter la gestion des risques d’initiés de Microsoft Purview pour obtenir les preuves médico-légales dont elles ont besoin du cloud.
Comment capturer les preuves médico-légales de Microsoft
Pour commencer l’exploitation forestière, assurez-vous que vous disposez de l’abonnement approprié qui comprend la fonction de gestion des risques d’initié. Vous devrez également configurer l’accès au stockage des données afin de stocker la journalisation nécessaire, et vous devrez consulter vos paramètres de pare-feu pour vous assurer que vous n’avez pas de filtrage de sortie activé qui bloquera la transmission d’informations à des domaines Microsoft spécifiques tels que compliancedrive.microsoft.com et *.events.data.microsoft.com. (Remarque: assurez-vous de consulter ce site Web pour vous tenir au courant des dernières URL utilisées par Microsoft Monitoring. Au fur et à mesure que les solutions Microsoft évoluent, vous devrez peut-être revisiter ces règles et ajuster en conséquence.)
Ensuite, vous avez besoin de l’un des rôles suivants pour configurer les paramètres nécessaires: l’administrateur de la conformité ID Microsoft ENTRA, l’administrateur global, la gestion de l’organisation de la compétence, l’administrateur de la conformité à la compétence ou l’administrateur de gestion des risques d’initié.
Pour permettre la capture des preuves médico-légales, connectez-vous au portail Microsoft Purview avec l’un des comptes d’administrateur ci-dessus, puis effectuez les actions suivantes:
- Aller à la lame pour la «gestion des risques d’initiés»
- Sélectionnez «preuves médico-légales» dans la navigation gauche, puis «Paramètres de preuve médico-légale»
- Allumez la «capture des preuves médico-légales» pour permettre le soutien aux politiques de preuve médico-légale.
Vous devrez à bord des systèmes que vous souhaitez surveiller. Vous pouvez utiliser des scripts ou Intune pour les connecter à votre journalisation.
Configurez ensuite les paramètres de preuve médico-légale que vous souhaitez pour votre organisation. Vous devrez définir la fenêtre de capture, en enregistrant chaque nombre de secondes ou chaque minute comme vous le jugez bon pour votre environnement. Déterminez si vous devez définir des limites de bande passante de téléchargement. Vous devrez peut-être surveiller et déterminer l’impact sur votre bande passante et déterminer si elle a un impact sur l’environnement de votre réseau. Déterminez si vous devez définir des limites telles qu’une limite de bande passante spécifique par utilisateur par jour (par exemple, 100 Mo ou 1 Go). Déterminez si vous souhaitez limiter l’utilisation du processeur à un certain pourcentage.
Ensuite, vous devrez décider si vous devez avoir des paramètres pour les appareils hors ligne. Dans ce cas, il existe des limites de cache de capture hors ligne que vous pourriez devoir définir. Définissez la limite de cache de capture hors ligne pour le stockage local lorsque les périphériques sont hors ligne.
Ensuite, vous devez créer vos politiques de preuve médico-légale. Dans le portail de compétence, accédez aux «politiques de preuve médico-légales» et sélectionnez «Créer une politique de preuve médico-légale». Spécifiez les activités à capturer, telles que l’impression, l’exfiltration de fichiers, des applications ou des sites Web spécifiques, ou toutes les activités pour les utilisateurs sélectionnés. «Toutes les activités» n’est pas un cadre typique et n’est utilisée que pour une période définie lors d’une enquête. Vous pouvez également utiliser les fonctionnalités avancées de la chasse et du journal d’activité de Microsoft 365 Defender pour une analyse médico-légale supplémentaire.
Mises en garde et limitations
Même avec ces paramètres, il peut y avoir des moments où vous êtes à la merci du vendeur. Les examens médico-légaux des actifs du cloud peuvent être compliqués. Le suivi via vos fichiers journaux pour examiner ce que l’authentification OAuth a été abusée prend souvent un examen expert de ces fichiers journaux. En plus, vous n’obtenez pas de vidages de mémoire ou de contrôle complet comme vous le faites sur les points de terminaison. Vous devez souvent ouvrir un ticket d’assistance avec votre fournisseur pour demander des fichiers journaux, retardant ainsi votre enquête et votre réponse.
Il existe également des limitations budgétaires à connaître. Par exemple, vous devrez peut-être acheter un stockage supplémentaire pour stocker les preuves médico-légales que vous souhaitez capturer.
Avec les vecteurs d’attaque liés au cloud en augmentation, il est essentiel de passer en revue vos options et risques cloud. Vous pouvez avoir toutes les ressources nécessaires à vos enquêtes sur site, mais il est très probable que vous deviez attribuer plus de ressources à vos interactions cloud.
Le moment de connaître vos options est maintenant, avant qu’une intrusion ne se produise.
