Revenir au site
Revenir au site

Tracker les mouvements latéraux avec un SIEM

· Microsoft

Analyse des logs Active Directory (Kerberos et NTLM) avec le SIEM Azure Sentinel pour tracker les mouvements latéraux des pirates!

Pour analyser les logs Active Directory (Kerberos et NTLM) avec le SIEM Azure Sentinel pour suivre les mouvements latéraux des pirates, suivez les étapes ci-dessous :

  1. Configurer la collecte de journaux : Dans Azure Sentinel, configurez la collecte de journaux Active Directory à partir des contrôleurs de domaine et des serveurs qui hébergent les rôles de domaine Active Directory. Assurez-vous que les journaux Kerberos et NTLM sont collectés.

  2. Créer des tables de correspondance : Créez des tables de correspondance pour mapper les comptes d'utilisateurs et d'ordinateurs à leur adresse IP. Cela permettra de faciliter l'analyse ultérieure des journaux.

  3. Développer des requêtes : Utilisez les requêtes Kusto Query Language (KQL) pour extraire des données des journaux Kerberos et NTLM collectés. Vous pouvez créer des requêtes pour détecter les anomalies, telles que les tentatives de connexion à partir d'adresses IP inconnues, les comptes d'utilisateurs qui se connectent à partir de plusieurs machines, etc.

  4. Configurer des règles d'alerte : Configurez des règles d'alerte pour être averti lorsque des activités suspectes sont détectées. Par exemple, vous pouvez configurer des règles pour alerter lorsque des comptes d'utilisateurs se connectent à partir de plusieurs machines en peu de temps.

  5. Effectuer une analyse comportementale : Utilisez la fonctionnalité de profilage d'utilisateur d'Azure Sentinel pour analyser le comportement normal des comptes d'utilisateurs. Cela permettra de détecter les comportements anormaux et de les signaler comme suspects.

  6. Utiliser des modèles d'analyse : Utilisez les modèles d'analyse intégrés d'Azure Sentinel pour détecter les modèles de comportement suspects. Ces modèles incluent la détection des mouvements latéraux, la détection des comptes d'utilisateurs compromis et la détection des attaques de type Pass-the-Hash.

  7. Automatiser les réponses : Configurez des actions automatisées pour répondre aux alertes. Cela peut inclure le blocage des adresses IP suspectes, la désactivation des comptes d'utilisateurs compromis ou l'envoi d'alertes à l'équipe de sécurité.

Il est important de noter que l'analyse des journaux Active Directory pour suivre les mouvements latéraux nécessite une compréhension approfondie de l'infrastructure Active Directory et de l'analyse des journaux. Il est recommandé de travailler avec des experts en sécurité informatique pour mettre en place une stratégie de sécurité efficace.

Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer