Barracuda full logo

Automatisation des réponses en temps réel dans Microsoft 365 avec Automated Threat Response

Thèmes:
26 nov. 2024
|
Adam Searcy

De nombreuses entreprises utilisent Microsoft 365, ce qui en fait une cible fréquente des acteurs malveillants. Les solutions de sécurité conventionnelles, telles que les plateformes de gestion des informations et des événements de sécurité (SIEM) et les outils de détection et de réponse aux points de terminaison (EDR), sont essentielles mais nécessitent souvent une intervention manuelle lors d'un piratage de compte. Aujourd'hui, Automated Threat Response intégré à Barracuda XDR Cloud Security transforme la façon dont les entreprises remédient à la compromission des comptes Microsoft 365, en atténuant instantanément les dommages et en améliorant votre posture de sécurité.

Qu'est-ce que Automated Threat Response intégré à XDR Cloud Security ?

Barracuda XDR est une plateforme de sécurité unifiée qui met en corrélation plusieurs flux de télémétrie de sécurité provenant de diverses sources de données afin de détecter les menaces et d'y répondre. Grâce à des règles prédéfinies, à l'apprentissage automatique et à l'analyse des données en temps réel, XDR offre une visibilité et une détection sur l'ensemble de l'environnement numérique de l'entreprise afin de proposer des conseils de remédiation aux menaces en temps opportun.

Automated Threat Response (ATR), qui fait partie des capacités d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) intégrées à XDR, va encore plus loin en répondant aux menaces sans intervention humaine. Lorsqu'un incident de sécurité est détecté, tel que la propagation d'un malware ou un trafic réseau inhabituel, ATR peut agir immédiatement en isolant les points de terminaison concernés ou en bloquant les adresses IP malveillantes.

XDR Cloud Security est le module de Barracuda Managed XDR qui surveille les services cloud tels que Microsoft 365, Azure, Google Workspace, AWS, etc. Avec l'intégration d'ATR à XDR Cloud Security, les comptes utilisateurs Microsoft 365 peuvent être automatiquement désactivés en temps réel lorsqu'il est établi qu'ils sont compromis. Le principal avantage est que la réponse est instantanée, ce qui réduit les dommages que l'attaquant peut infliger à sa victime, souvent avant même qu'un analyste humain ne prenne conscience de la menace.

Pourquoi ATR intégré à XDR Cloud Security est-il important ?

Les comptes Microsoft 365 permettent d'accéder à l'infrastructure de l'entreprise, aux systèmes de messagerie, aux outils de collaboration et aux données sensibles. Les comptes compromis permettent donc à un pirate d'accéder à ces systèmes. Les auteurs de menace utilisent fréquemment ces comptes pour les opérations suivantes :

  • Exfiltration de données, chiffrement et extorsion : les attaquants volent des données sensibles (informations personnelles identifiables (PII), informations personnelles sur la santé (PHI) ou encore propriétés intellectuelles), rendent ces données inaccessibles à la victime et la contraignent à payer pour rétablir l'accès aux données ou éviter leur publication.
  • Espionnage : les cybercriminels manipulent les données des systèmes pour causer des dommages (par exemple, modifier un résultat de test ou un groupe sanguin dans les dossiers médicaux ou libérer des quantités dangereuses de chlore dans l'eau potable).
  • Escalade des privilèges pour accéder à d'autres systèmes : les acteurs malveillants exploitent une vulnérabilité dans un système accessible au compte utilisateur compromis pour obtenir des privilèges administratifs ou de niveau racine dans un autre système ou domaine.
  • Attaques de la chaîne d'approvisionnement ou par hameçonnage : il s'agit d'utiliser l'identité fiable de la victime pour lancer des attaques par hameçonnage ou compromettre d'autres victimes.
  • Établir une persistance et vendre l'accès : les pirates établissent des points d'ancrage persistants dans l'environnement de leurs victimes, ce qui leur permet de facturer un prix élevé sur le dark web pour un accès fiable à la victime.

Les réponses manuelles traditionnelles sont souvent trop lentes pour éviter les dommages, ce qui rend l'automatisation indispensable. Une réponse rapide est essentielle pour contrer la menace des hackers qui utilisent des comptes compromis.

Comment fonctionne ATR dans la sécurité cloud XDR ?

Barracuda XDR Cloud Security intègre la détection automatisée des menaces et la réponse automatisée aux menaces SOAR pour protéger les identifiants de Microsoft 365.

Voici comment cela fonctionne :

1. Détection des anomalies : à l'aide de modèles avancés d'apprentissage automatique alimentés par des algorithmes propriétaires de détection des anomalies, XDR Cloud Security surveille en permanence les journaux d'authentification de Microsoft 365 pour détecter les signes de compromission. Recherche des indicateurs communs de compromission en surveillant :

  • Le nombre de connexions réussies au cours des dernières 24 heures afin de repérer des schémas de connexion inhabituels ;
  • L'emplacement des connexions réussies afin d'identifier les lieux d'accès inhabituels ou suspects ;
  • Si un utilisateur a désactivé ou modifié l'authentification multifactorielle au cours des dernières 24 heures ;
  • Combien de fois, au cours des dernières 24 heures, un utilisateur s'est connecté depuis différents lieux où les déplacements ne sont pas possibles.

2. Évaluation des risques : XDR Cloud Security utilise des politiques basées sur les risques pour classer les alertes selon leur gravité (faible, moyenne ou élevée). Lorsqu'une alerte de gravité élevée est identifiée, ATR réagit rapidement en se connectant à Microsoft 365 via l'intégration API pour déclencher des actions automatisées.

3. Automatisation de la réponse : lorsqu'un compte est signalé comme compromis, ATR effectue les actions suivantes :

  • Désactive le compte concerné
  • Déconnexion de l'utilisateur concerné ;
  • Met fin à toutes les sessions actives
  • Alerte du contact désigné du compte.

Conclusion

Automated Threat Response intégré à XDR Cloud Security constitue une avancée significative en matière de cybersécurité moderne. En combinant des détections automatisées et des réponses en temps réel, ATR permet aux entreprises de se défendre plus efficacement contre les acteurs malveillants et aide les prestataires de services gérés et les partenaires de distribution à fournir une sécurité renforcée. Les entreprises étant confrontées à des menaces de plus en plus complexes et persistantes, l'adoption d'une réponse automatisée aux menaces sera essentielle pour garder une longueur d'avance sur les attaquants et alléger la charge qui pèse sur les équipes de sécurité.

Avec les améliorations continues de l'IA, de l'apprentissage automatique et de l'analyse comportementale, l'avenir de XDR s'annonce plus prometteur que jamais. L'intégration de ces systèmes à votre programme de sécurité garantit des défenses plus rapides, plus cohérentes et plus résistantes contre l'écosystème en constante évolution de la cybercriminalité.

Webinaire : Atténuer automatiquement la compromission des comptes Microsoft 365
Adam Searcy

Adam Searcy est directeur du marketing produit technique chez Barracuda, division Protection des e-mails. Après avoir obtenu un diplôme en management de l'Université Purdue, puis une série de certifications en informatique, Adam a lancé un cabinet de conseil informatique en 2002, axé sur le développement de logiciels et les fournisseurs ASP/SaaS. En 2009, l'entreprise est devenue prestataire de services gérés, et possède des bureaux de San Francisco à Raleigh et de Chicago à Tampa. Adam a vendu l'entreprise en 2019 pour se concentrer sur la cybersécurité et travaillé pour une société de MDR locale, suivie par Tripwire, avant de rejoindre Barracuda.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.