Hardening Microsoft 365

1. Introduction

Microsoft Defender est un service cloud qui permet de protéger Active Directory et donc les utilisateurs et identités On-premises. Microsoft Defender for Identity se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, il va ainsi analyser les flux liés aux domaines Active Directory (DNS, Kerberos, etc.) afin de repérer les activités anormales ou malicieuses.

Il permet aux équipes de sécurité de détecter les menaces et activités suspectes en se basant sur du machine learning et une analyse comportementale des utilisateurs au sein de l’Active Directory. Il permet également grâce à une console web d’effectuer des investigations poussées. Son interaction avec Cloud App Security et la console de sécurité Microsoft 365 lui permet de rentrer dans une démarche SecOPS afin de corréler tous les incidents de sécurité sur un seul et unique Dashboard qui offrira une meilleure investigation.

Microsoft Defender for Identity va établir une cartographie de l’annuaire Active Directory et surveiller les appartenances aux groupes, les autorisations, les ACL pour chaque utilisateur présent dans l’annuaire. Il sera ensuite capable de détecter des comportements anormaux en se basant sur la cartographie apprise auparavant, et en cas de comportement anormal, les ingénieurs de sécurité seront aussitôt alertés.

Microsoft Defender for Identity offre les services suivants :

1. Introduction

Depuis toujours, l’une des portes d’entrée favorite des attaquants est l’utilisateur final via de l’hameçonnage ou phishing en anglais. Cette attaque consiste à récupérer les informations confidentielles des utilisateurs telles que mot de passe et informations bancaires par exemple, en imitant un e-mail officiel d’une entreprise bien connue sous prétexte de vérifier la sécurité de leurs informations.

L’utilisateur crédule saisit son identifiant et son mot de passe et là, c’est trop tard : l’attaquant a récupéré les informations d’identification de l’utilisateur. Il peut se connecter à sa messagerie, effectuer une règle de transfert automatique par exemple et recevoir tous les e-mails destinés à sa victime.

Autre exemple d’attaque par e-mail : un utilisateur reçoit un e-mail avec une pièce jointe et en cliquant dessus, un malware s’installe sur son ordinateur. Le programme commence à faire de la reconnaissance de manière automatique, il peut même désactiver les antivirus et firewalls de manière silencieuse.

Ensuite, il se propage par ce que l’on appelle un mouvement latéral jusqu’à l’annuaire Active Directory, la pièce maîtresse, et peut ainsi provoquer de gros dégâts, notamment effectuer le chiffrement de l’ensemble du système d’information en vue de demander une rançon. C’est ce qu’on appelle le ransomware.

Afin de se protéger contre ces attaques par e-mail, Microsoft met à disposition de la production Microsoft Defender for Office 365 qui va protéger l’organisation contre les spams, les e-mails frauduleux, les malwares ainsi que les attaques de phishing. Microsoft Defender for Office 365 se base aussi sur du machine learning et Microsoft Graph. Il offre une interface moderne qui permettra de faire des investigations granulaires.

Microsoft Defender for Office 365 protège également les pièces jointes...

1. Introduction

Microsoft Defender for Identity propose plusieurs fonctions afin de sécuriser aux mieux les appareils au sein d’un système d’information.

Voici l’étendue des possibilités offertes en matière de sécurité et de protection :

Source : Microsoft

Gestion des menaces et des vulnérabilités : cette fonctionnalité permet de détecter les vulnérabilités au niveau des appareils, de les classer, ainsi que de les corriger. 

Réduction de la surface d’attaque : cette fonctionnalité permet de renforcer la posture de sécurité des appareils en vérifiant les paramètres de sécurité et en s’assurant que toutes les bonnes pratiques de sécurité sont mises en place. Elle inclut également le renforcement du filtrage web et tout ce qui concerne le réseau (accès depuis des IP publiques anonymes, des URL malveillantes, etc.).

Protection : cette fonctionnalité offre des mécanismes basés sur une intelligence évoluée qui permet d’offrir une protection optimale contre toutes sortes de programmes malveillants.

Détection et réponse au point de terminaison : cette fonctionnalité offre une détection très précise des menaces et brèches de sécurité. Elle permet de mener des investigations granulaires grâce à un outil de recherche de menaces par requête qui permettra...

1. Introduction

Microsoft Cloud App Security est un CASB Microsoft qui offre un contrôle sur les événements et accès de l’environnement Microsoft 365. Il donne une vision globale sur les activités des utilisateurs, les types d’applications utilisées et permet de réaliser des analyses granulaires afin d’identifier les brèches de sécurité et d’apporter des remédiations via des stratégies d’accès fixées par les administrateurs.

Microsoft Cloud App Security s’interface avec l’environnement Microsoft 365 ainsi que Microsoft Azure pour récolter tous les événements et les analyser.

Il s’interface également avec d’autres produits non Microsoft. De plus, il est capable de prendre en compte les logs des pare-feux de l’entreprise afin d’analyser le trafic de toute l’organisation et des applications.

Il apporte de la visibilité, de la sécurité, la protection contre les brèches de sécurité et de la conformité liée aux données et aux réglementations.

Cloud App Security apporte plusieurs avantages :