Incidents – Guide de référence
Notes
Pour les incidents en préversion : les conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Cet article répertorie les incidents que vous pouvez recevoir de la part de Microsoft Defender pour le cloud et des plans Microsoft Defender que vous avez activés. Les incidents présentés dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Un incident de sécurité est une corrélation d’alertes avec un scénario d’attaque qui partagent une entité. Par exemple, ressource, adresse IP, utilisateur ou partage un modèle chaîne de destruction.
Vous pouvez sélectionner un incident pour afficher toutes les alertes liées à l’incident et obtenir plus d’informations.
Découvrez comment gérer les incidents de sécurité.
Notes
Une même alerte peut s’afficher dans le cadre d’un incident, mais également apparaître sous la forme d’une alerte autonome.
Incident de sécurité
Informations complémentaires et notes
Alerte | Description | Gravité |
---|---|---|
Un incident de sécurité a détecté une activité utilisateur suspecte (préversion) | Cet incident indique des opérations utilisateur suspectes dans votre environnement. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées par cet utilisateur, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Bien que cette activité puisse être légitime, il est possible qu’un intervenant de menace exploite ces opérations pour compromettre des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Élevé |
Un incident de sécurité a détecté une activité suspecte du principal de service (préversion) | Cet incident indique des opérations suspectes du principal de service dans votre environnement. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées par ce principal de service, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Bien que cette activité puisse être légitime, il est possible qu’un intervenant de menace exploite ces opérations pour compromettre des ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. | Élevé |
Un incident de sécurité a détecté une activité d’exploration de crypto suspecte (préversion) | Scénario 1 : Cet incident indique qu’une activité d’exploration de crypto suspecte a été détectée à la suite d’une activité suspecte de l’utilisateur ou du principal de service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité d’exploration de crypto réussie peut suggérer qu’il a compromis votre ressource pour l’utiliser pour l’exploration de crypto-monnaies, ce qui peut entraîner une augmentation des coûts pour votre organisation. Scénario 2 : Cet incident indique qu’une activité d’exploration de crypto suspecte a été détectée à la suite d’une attaque par force brute sur la même ressource de machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. L’attaque par force brute sur la machine virtuelle peut indiquer qu’un intervenant de menace essaie d’obtenir un accès non autorisé à votre environnement, et l’activité d’exploration de crypto réussie peut suggérer qu’il a compromis votre ressource pour l’utiliser pour l’exploration de crypto-monnaies, ce qui peut entraîner une augmentation des coûts pour votre organisation. |
Élevé |
Un incident de sécurité a détecté une activité Key Vault suspecte (préversion) | Scénario 1 : Cet incident indique qu’une activité suspecte a été détectée dans votre environnement en lien avec l’utilisation de Key Vault. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées par cet utilisateur ou ce principal de service, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité Key Vault suspecte peut indiquer qu’un intervenant de menace tente d’accéder à vos données sensibles, telles que des clés, des secrets et des certificats, et que le compte est compromis et utilisé avec une intention malveillante. Scénario 2 : Cet incident indique qu’une activité suspecte a été détectée dans votre environnement en lien avec l’utilisation de Key Vault. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité Key Vault suspecte peut indiquer qu’un intervenant de menace tente d’accéder à vos données sensibles, telles que des clés, des secrets et des certificats, et que le compte est compromis et utilisé avec une intention malveillante. Scénario 3 : Cet incident indique qu’une activité suspecte a été détectée dans votre environnement en lien avec l’utilisation de Key Vault. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité Key Vault suspecte peut indiquer qu’un intervenant de menace tente d’accéder à vos données sensibles, telles que des clés, des secrets et des certificats, et que le compte est compromis et utilisé avec une intention malveillante. |
Élevé |
Un incident de sécurité a détecté une activité SAP suspecte (préversion) | Cet incident indique qu’une activité suspecte a été détectée à la suite de l’utilisation incorrecte potentielle d’un jeton de signature d’accès partagé (SAP). Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. L’utilisation d’un jeton SAP peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre compte de stockage et tente d’accéder à des données sensibles ou de les exfiltrer. | Élevé |
Un incident de sécurité a détecté une activité d’emplacement géographique anormal (préversion) | Scénario 1 : Cet incident indique qu’une activité d’emplacement géographique anormal a été détectée dans votre environnement. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte provenant d’emplacements anormaux peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. Scénario 2 : Cet incident indique qu’une activité d’emplacement géographique anormal a été détectée dans votre environnement. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte provenant d’emplacements anormaux peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. |
Élevé |
Un incident de sécurité a détecté une activité IP suspecte (préversion) | Scénario 1 : Cet incident indique qu’une activité suspecte a été détectée à partir d’une adresse IP suspecte. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte provenant d’une adresse IP suspecte peut indiquer qu’un attaquant a obtenu un accès non autorisé à votre environnement et tente de le compromettre. Scénario 2 : Cet incident indique qu’une activité suspecte a été détectée à partir d’une adresse IP suspecte. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur le même utilisateur ou principal de service, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte provenant d’une adresse IP suspecte peut indiquer qu’un attaquant a obtenu un accès non autorisé à votre environnement et tente de le compromettre. |
Élevé |
Un incident de sécurité a détecté une activité d’attaque sans fichier suspecte (préversion) | Cet incident indique qu’une boîte à outils d’attaque sans fichier a été détectée sur une machine virtuelle à la suite d’une tentative d’exploitation potentielle sur la même ressource. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même machine virtuelle, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. La présence d’une boîte à outils d’attaque sans fichier sur la machine virtuelle peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente d’échapper à la détection tout en effectuant d’autres activités malveillantes. | Élevé |
Un incident de sécurité a détecté une activité DDoS suspecte (préversion) | Cet incident indique qu’une activité suspecte de déni de service distribué (DDoS) a été détectée dans votre environnement. Les attaques DDoS sont conçues pour submerger votre réseau ou votre application avec un volume élevé de trafic, ce qui le rend indisponible pour les utilisateurs légitimes. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. | Élevé |
Un incident de sécurité a détecté une activité d’exfiltration de données suspecte (préversion) | Scénario 1 : Cet incident indique qu’une activité d’exfiltration de données suspecte a été détectée à la suite d’une activité suspecte de l’utilisateur ou du principal de service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité d’exfiltration de données réussie peut suggérer qu’il tente de voler des informations sensibles. Scénario 2 : Cet incident indique qu’une activité d’exfiltration de données suspecte a été détectée à la suite d’une activité suspecte de l’utilisateur ou du principal de service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité d’exfiltration de données réussie peut suggérer qu’il tente de voler des informations sensibles. Scénario 3 : Cet incident indique qu’une activité d’exfiltration de données suspecte a été détectée à la suite d’une réinitialisation de mot de passe inhabituelle sur une machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité d’exfiltration de données réussie peut suggérer qu’il tente de voler des informations sensibles. |
Élevé |
Un incident de sécurité a détecté une activité d’API suspecte (préversion) | Cet incident indique qu’une activité d’API suspecte a été détectée. Plusieurs alertes de Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. L’utilisation suspecte d’une API peut indiquer qu’un intervenant de menace tente d’accéder à des informations sensibles ou d’exécuter des actions non autorisées. | Élevé |
Un incident de sécurité a détecté une activité de cluster Kubernetes suspecte (préversion) | Cet incident indique qu’une activité suspecte a été détectée sur votre cluster Kubernetes à la suite d’une activité suspecte de l’utilisateur. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur le même cluster, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. L’activité suspecte sur votre cluster Kubernetes peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Élevé |
Un incident de sécurité a détecté une activité de stockage suspecte (préversion) | Scénario 1 : Cet incident indique qu’une activité de stockage suspecte a été détectée à la suite d’une activité suspecte de l’utilisateur ou du principal de service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité de stockage suspecte réussie peut suggérer qu’il tente d’accéder à des données potentiellement sensibles. Scénario 2 : Cet incident indique qu’une activité de stockage suspecte a été détectée à la suite d’une activité suspecte de l’utilisateur ou du principal de service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte de compte peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement, et l’activité de stockage suspecte réussie peut suggérer qu’il tente d’accéder à des données potentiellement sensibles. |
Élevé |
Un incident de sécurité a détecté une activité suspecte d’une boîte à outils Azure (préversion) | Cet incident indique qu’une activité suspecte a été détectée à la suite de l’utilisation potentielle d’une boîte à outils Azure. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur le même utilisateur ou principal de service, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. L’utilisation d’une boîte à outils Azure peut indiquer qu’un attaquant a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Élevée |
Un incident de sécurité a détecté une activité DNS suspecte (préversion) | Scénario 1 : cet incident indique qu’une activité DNS suspecte a été détectée. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité DNS suspecte peut indiquer qu’un intervenant menaçant a obtenu un accès non autorisé à votre environnement et tente de le compromettre. Scénario 2 : cet incident indique qu’une activité DNS suspecte a été détectée. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité DNS suspecte peut indiquer qu’un intervenant menaçant a obtenu un accès non autorisé à votre environnement et tente de le compromettre. |
Moyenne |
Un incident de sécurité a détecté une activité SQL suspecte (préversion) | Scénario 1 : cet incident indique qu’une activité SQL suspecte a été détectée. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité SQL suspecte peut indiquer qu’un intervenant menaçant cible votre serveur SQL et tente de le compromettre. Scénario 2 : cet incident indique qu’une activité SQL suspecte a été détectée. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité SQL suspecte peut indiquer qu’un intervenant menaçant cible votre serveur SQL et tente de le compromettre. |
Élevée |
Un incident de sécurité a détecté une activité suspecte du service d’application (préversion) | Scénario 1 : Cet incident indique qu’une activité suspecte a été détectée dans votre environnement App service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées sur la même ressource, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte du service d’application peut indiquer qu’un attaquant cible votre application et tente peut-être de la compromettre. Scénario 2 : Cet incident indique qu’une activité suspecte a été détectée dans votre environnement App service. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées à partir de la même adresse IP, ce qui augmente la fidélité d’une activité malveillante dans votre environnement. Une activité suspecte du service d’application peut indiquer qu’un attaquant cible votre application et tente peut-être de la compromettre. |
Élevé |
Un incident de sécurité a détecté une machine compromise avec une communication botnet | Cet incident indique une activité botnet suspecte sur votre machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées dans l’ordre chronologique sur la même ressource, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Moyenne/élevée |
Un incident de sécurité a détecté des machines compromises avec une communication botnet | Cet incident indique une activité botnet suspecte sur vos machines virtuelles. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées dans l’ordre chronologique sur la même ressource, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Moyenne/élevée |
Un incident de sécurité a détecté une machine compromise avec une activité sortante malveillante | Cet incident indique une activité sortante suspecte sur votre machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées dans l’ordre chronologique sur la même ressource, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Moyenne/élevée |
Un incident de sécurité a détecté des machines compromises | Cet incident indique une activité suspecte sur une ou plusieurs de vos machines virtuelles. Plusieurs alertes provenant de différents plans de Defender pour le cloud ont été déclenchées par ordre chronologique sur les mêmes ressources, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et est parvenu à compromettre ces machines. | Moyenne/élevée |
Un incident de sécurité a détecté des machines compromises avec une activité sortante malveillante | Cet incident indique une activité sortante suspecte provenant de vos machines virtuelles. Plusieurs alertes provenant de différents plans de Defender pour le cloud ont été déclenchées par ordre chronologique sur les mêmes ressources, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Moyenne/élevée |
Incident de sécurité détecté sur plusieurs machines | Cet incident indique une activité suspecte sur une ou plusieurs de vos machines virtuelles. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées dans l’ordre chronologique sur la même ressource, en suivant l’infrastructure MITRE ATT&CK. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. | Moyenne/élevée |
Incident de sécurité avec processus partagé détecté | Scénario 1 : Cet incident indique une activité suspecte sur votre machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées et partagent le même processus. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. Scénario 2 : Cet incident indique une activité suspecte sur votre machine virtuelle. Plusieurs alertes de différents plans Defender pour le cloud ont été déclenchées et partagent le même processus. Cela peut indiquer qu’un intervenant de menace a obtenu un accès non autorisé à votre environnement et tente de le compromettre. |
Moyenne/élevée |
Étapes suivantes
Gérer les incidents de sécurité dans Microsoft Defender pour le cloud