Blog ENI : Toute la veille numérique !
-25€ dès 75€ sur les livres en ligne, vidéos... avec le code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Sécurisez votre environnement Microsoft (365, Azure et On-premises)
  3. premises)
Extrait - Sécurisez votre environnement Microsoft (365, Azure et On-premises) Mise en oeuvre d'une stratégie Zero trust
Extraits du livre
Sécurisez votre environnement Microsoft (365, Azure et On-premises) Mise en oeuvre d'une stratégie Zero trust Revenir à la page d'achat du livre

Hardening Microsoft 365

Introduction

Ce chapitre sera dédié à la sécurité globale de l’environnement Microsoft 365 avec les différents produits offerts dans le framework de sécurité Microsoft 365 Defender.

La sécurité de l’environnement sera basée sur la stratégie Zero Trust et du moindre privilège.

Le sujet Identité et accès avec Azure Active Directory étant traité dans le chapitre précédent, nous allons maintenant suivre notre aventure vers la sécurisation granulaire autour des identités Active Directory On-premises, les appareils, les adresses e-mails et la partie contrôle et analyse de l’environnement.

Pour cela, nous allons nous baser sur Microsoft 365 Defender.

Souvenez-vous de cette image qui nous sert de feuille de route afin de construire une stratégie de sécurité Zero Trust pour les environnements cloud et hybrides :

images/CH04_01.png

Dans le chapitre précédent, nous avons traité les étapes primordiales suivantes :

  • Renforcement de l’identité

  • Réduction de la surface d’attaque

Dans l’étape 3 - Extended Detection and Response, nous avons traité le produit Azure Active Directory Identity Protection.

Dans ce chapitre, nous allons traiter globalement les parties suivantes :

Étape

Description

3 : Extended Detection...

Introduction à Microsoft Defender

Nous avons déjà introduit Microsoft Defender dans le chapitre Microsoft 365 Defender, le but ici est d’introduire les produits, les interfaces d’administration ainsi que le niveau de licence nécessaire pour pouvoir en bénéficier sur un environnement Microsoft 365.

Pour rappel : Microsoft 365 Defender pour la partie productivité (Microsoft 365) permet d’être plus proactif face aux menaces avec :

  • une protection contre les attaques informatiques et une parfaite coordination avec les alertes et les actions qui peuvent être automatisées afin de faire de la remédiation ;

  • un suivi complet de l’attaque détectée entre les différentes surfaces d’attaques et produits ;

  • une autoremédiation, avec une possibilité de répondre automatiquement aux attaques détectées afin de briser la cyberattaque rapidement et de manière automatisée ;

  • une vue d’ensemble entre tous les produits et donc une capacité à détecter les attaques sophistiquées en faisant la relation entre les postes de travail, la messagerie, les données et l’identité ;

  • détection à la pointe en relation avec la base de connaissances MITRE ATT&CK fournissant des détails sur de nombreux types d’attaques.

Microsoft 365 Defender agit au niveau des briques suivantes :

  • Identité

  • Endpoints (téléphones mobiles, stations de travail)

  • Applications

  • E-mails et documents (données)

Voici les licences qui permettent de bénéficier de tous les services proposés dans le modèle Microsoft 365 Defender :

  • Enterprise Mobility + Security E5

  • Enterprise Mobility + Security A5

  • Microsoft 365 E5

  • Microsoft 365 A5

  • Microsoft 365 E5 - Security

  • Microsoft 365 A5 - Security

Dans cet ouvrage, nous possédons un tenant avec des licences Microsoft 365 E5.

Centre de sécurité Microsoft 365

Microsoft 365 Defender propose une console centrale (centre de sécurité Microsoft 365) qui permet la corrélation entre toutes les alertes et le traitement des incidents provenant de plusieurs produits dans une seule et unique interface. Ceci est pratique pour le Hunting ainsi que les investigations menées par les équipes...

Microsoft Defender for Identity

Cette section sera consacrée à la protection des identités On-premises Active Directory. 

1. Introduction

Microsoft Defender est un service cloud qui permet de protéger Active Directory et donc les utilisateurs et identités On-premises. Microsoft Defender for Identity se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, il va ainsi analyser les flux liés aux domaines Active Directory (DNS, Kerberos, etc.) afin de repérer les activités anormales ou malicieuses.

Il permet aux équipes de sécurité de détecter les menaces et activités suspectes en se basant sur du machine learning et une analyse comportementale des utilisateurs au sein de l’Active Directory. Il permet également grâce à une console web d’effectuer des investigations poussées. Son interaction avec Cloud App Security et la console de sécurité Microsoft 365 lui permet de rentrer dans une démarche SecOPS afin de corréler tous les incidents de sécurité sur un seul et unique Dashboard qui offrira une meilleure investigation.

Microsoft Defender for Identity va établir une cartographie de l’annuaire Active Directory et surveiller les appartenances aux groupes, les autorisations, les ACL pour chaque utilisateur présent dans l’annuaire. Il sera ensuite capable de détecter des comportements anormaux en se basant sur la cartographie apprise auparavant, et en cas de comportement anormal, les ingénieurs de sécurité seront aussitôt alertés.

Microsoft Defender for Identity offre les services suivants :

  • Basée sur du machine learning et de l’apprentissage sur l’ensemble de l’annuaire Active Directory, il permet de surveiller des utilisateurs en quasi temps réel en analysant leur comportement au niveau des accès et de l’authentification. L’outil est sans cesse en train d’apprendre malgré les ajouts de nouveaux objets (utilisateurs, groupes, serveurs).

  • Investigation granulaire en cas d’attaque ou d’activité anormale sur l’annuaire Active Directory.

  • Protection des identités sur une ou plusieurs forêts.

Microsoft Defender for Identity protège les identités...

Microsoft Defender for Office 365

Dans cette section, nous allons traiter de Microsoft Defender for 365 qui permet de protéger la partie e-mail ainsi que la partie collaborative SharePoint Online et OneDrive for Business.

1. Introduction

Depuis toujours, l’une des portes d’entrée favorite des attaquants est l’utilisateur final via de l’hameçonnage ou phishing en anglais. Cette attaque consiste à récupérer les informations confidentielles des utilisateurs telles que mot de passe et informations bancaires par exemple, en imitant un e-mail officiel d’une entreprise bien connue sous prétexte de vérifier la sécurité de leurs informations.

L’utilisateur crédule saisit son identifiant et son mot de passe et là, c’est trop tard : l’attaquant a récupéré les informations d’identification de l’utilisateur. Il peut se connecter à sa messagerie, effectuer une règle de transfert automatique par exemple et recevoir tous les e-mails destinés à sa victime.

Autre exemple d’attaque par e-mail : un utilisateur reçoit un e-mail avec une pièce jointe et en cliquant dessus, un malware s’installe sur son ordinateur. Le programme commence à faire de la reconnaissance de manière automatique, il peut même désactiver les antivirus et firewalls de manière silencieuse.

Ensuite, il se propage par ce que l’on appelle un mouvement latéral jusqu’à l’annuaire Active Directory, la pièce maîtresse, et peut ainsi provoquer de gros dégâts, notamment effectuer le chiffrement de l’ensemble du système d’information en vue de demander une rançon. C’est ce qu’on appelle le ransomware.

Afin de se protéger contre ces attaques par e-mail, Microsoft met à disposition de la production Microsoft Defender for Office 365 qui va protéger l’organisation contre les spams, les e-mails frauduleux, les malwares ainsi que les attaques de phishing. Microsoft Defender for Office 365 se base aussi sur du machine learning et Microsoft Graph. Il offre une interface moderne qui permettra de faire des investigations granulaires.

Microsoft Defender for Office 365 protège également les pièces jointes...

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint, anciennement nommé Microsoft Defender Advanced Threat Protection, est une solution XDR (Extended Detection Response) qui permet de protéger tous les appareils d’un système d’information, à savoir les appareils mobiles, les stations de travail ainsi que les serveurs.

Microsoft Defender dispose d’une forme d’intelligence contre les menaces permettant de prévenir, de détecter les attaques, ainsi que d’investiguer en cas d’incident.

On peut voir concrètement comment Microsoft Defender for Endpoint a protégé les clients contre l’incident de sécurité Solarwinds : https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/

1. Introduction

Microsoft Defender for Identity propose plusieurs fonctions afin de sécuriser aux mieux les appareils au sein d’un système d’information.

Voici l’étendue des possibilités offertes en matière de sécurité et de protection :

images/CH04-4-1_01.png

Source : Microsoft

Gestion des menaces et des vulnérabilités : cette fonctionnalité permet de détecter les vulnérabilités au niveau des appareils, de les classer, ainsi que de les corriger. 

Réduction de la surface d’attaque : cette fonctionnalité permet de renforcer la posture de sécurité des appareils en vérifiant les paramètres de sécurité et en s’assurant que toutes les bonnes pratiques de sécurité sont mises en place. Elle inclut également le renforcement du filtrage web et tout ce qui concerne le réseau (accès depuis des IP publiques anonymes, des URL malveillantes, etc.).

Protection : cette fonctionnalité offre des mécanismes basés sur une intelligence évoluée qui permet d’offrir une protection optimale contre toutes sortes de programmes malveillants.

Détection et réponse au point de terminaison : cette fonctionnalité offre une détection très précise des menaces et brèches de sécurité. Elle permet de mener des investigations granulaires grâce à un outil de recherche de menaces par requête qui permettra...

Microsoft Cloud App Security

Dans cette dernière section, nous allons aborder Microsoft Cloud App Security.

Ensuite, nous avons mis en place les outils nécessaires pour protéger les identités avec Defender for Identity, les adresses e-mails et autres données avec Defender for Office 365 et pour terminer, les appareils avec Defender for Endpoint.

Voici l’état des lieux de notre implémentation des outils Microsoft 365 Defender :

Images/Defender03.png

Nous allons ici étudier la tour de contrôle de ces outils qui est Cloud App Security.

Juste pour rappel, au niveau de la surface d’attaque avec l’offre Microsoft 365 Defender nous avons traité :

  • Defender for Office 365 : protection des e-mails, protection contre le phishing, protection des environnements OneDrive, SharePoint et Teams.

  • Defender for Endpoint : protection des appareils contre les logiciels malveillants, analyse en temps réel et investigation granulaire en cas d’incident.

  • Defender for Identity : protection des identités On-premises contre tous types d’attaques (Pass-the-Hash, Pass-the-Ticket, Golden ticket, DC shadow, enumeration).

images/CH04-5_02.png

1. Introduction

Microsoft Cloud App Security est un CASB Microsoft qui offre un contrôle sur les événements et accès de l’environnement Microsoft 365. Il donne une vision globale sur les activités des utilisateurs, les types d’applications utilisées et permet de réaliser des analyses granulaires afin d’identifier les brèches de sécurité et d’apporter des remédiations via des stratégies d’accès fixées par les administrateurs.

Microsoft Cloud App Security s’interface avec l’environnement Microsoft 365 ainsi que Microsoft Azure pour récolter tous les événements et les analyser.

Il s’interface également avec d’autres produits non Microsoft. De plus, il est capable de prendre en compte les logs des pare-feux de l’entreprise afin d’analyser le trafic de toute l’organisation et des applications.

Il apporte de la visibilité, de la sécurité, la protection contre les brèches de sécurité et de la conformité liée aux données et aux réglementations.

Cloud App Security apporte plusieurs avantages :

  • Découverte...

État des lieux

Dans ce chapitre important, nous avons étudié la protection de l’environnement Microsoft 365 en entier ainsi que la partie On-premises avec la suite Microsoft 365 Defender qui regroupe, pour rappel, les éléments suivants :

  • Microsoft Defender for Office 365

  • Microsoft Defender for Endpoint

  • Microsoft Defender for Identity

  • Microsoft Cloud App Security

Nous avons vu le Hardening d’un tenant Microsoft 365 consistant à renforcer tous les silos (identités, appareils, données et adresses e-mails) avec une vision SecOps, à partir des portails de sécurité de Microsoft 365 et Cloud App Security. Ces outils nous permettent tout autant de détecter des incidents que de réaliser des investigations granulaires sur toutes les surfaces d’attaque.

Au travers de ce chapitre, le lecteur est à présent capable de mettre en place une stratégie de Hardening complète et optimale d’un environnement Microsoft 365.