Vues :

Office Protect Surveillance vous permet de configurer les événements que vous souhaitez surveiller et de définir les destinataires des Alertes et des Synthèses.

  • Les alertes signalent des événements ayant un impact immédiat sur la sécurité de votre client Microsoft 365. Elles sont envoyées quand elles se produisent. Les notifications sont envoyées au fur et à mesure que les événements se produisent, ou par lots toutes les heures si leur volume est important.

  • Les synthèses sont des résumés d'événements récents et peuvent être utilisées pour vos revues. Elles sont envoyées chaque semaine.

 Tous les événements sont accessibles depuis la rubrique Événements.

Événements configurables

 

Compte supprimé

  • Déclenchement : suppression d'un compte dans Microsoft 365.

  • D'un point de vue sécurité : la suppression de comptes est une action très courante pour les pirates qui accèdent à une organisation. Pour le contrôle interne : la suppression de comptes est souvent une erreur.

     

 

Modification de rôle d'administration

  • Déclenchement : toute modification aux droits administrateurs d'un utilisateur : création d'un nouvel administrateur; suppression d'un compte d'administrateur; octroi de droits d'administrateur à un utilisateur; retrait des droits d'administrateur à un utilisateur.

  • L'escalade des privilèges est un élément important du comportement des pirates. Toute modification des privilèges administratifs est un signal d'alarme et doit être surveillée. Il convient de suivre le « principe du moindre privilège » et d'accorder le moins de droits possible tout en permettant les opérations normales.

     

 

Modification des autorisations d'application

  • Déclenchement : tout changement dans les autorisations d'une application.

  • L'escalade des privilèges est un élément important du comportement des pirates. Toute modification des privilèges administratifs d'une application est un signal d'alarme et doit être surveillée. Il convient de suivre le « principe du moindre privilège » et d'accorder le moins de droits possible tout en permettant les opérations normales.

 

Usurpation d'identité par courriel

  • Déclenchement : tout courriel envoyé en utilisant la fonctionnalité « Envoyer en tant que » d'Exchange pour se faire passer pour quelqu'un d'autre.

  • Exchange permet aux utilisateurs autorisés d'envoyer des courriels en se faisant passer pour quelqu'un d'autre, de manière transparente. Cette possibilité peut être utilisée dans le cadre d'opérations plus vastes telles que l'hameçonnage ou pour des abus internes. Cela diffère de l'utilisation de l'option « Envoyer en tant que » qui est beaucoup plus transparente. Les boîtes aux lettres partagées sont ignorées pour cet événement.

     

 

Règle de transfert de courrier vers une destination externe créée

  • Déclenchement : toute règle Exchange créée pour transférer automatiquement des courriels vers une boîte aux lettres située en dehors de votre organisation.

  • Il s'agit d'une méthode couramment utilisée par les pirates pour extraire des données. Elle envoie automatiquement et discrètement des informations en dehors de l'entreprise. Nous surveillons trois types de règles : règles de flux de courrier (transport), transfert du courrier pour une boîte aux lettres et règles de boîte de réception.

 

Fichier partagé publiquement (partage anonyme)

  • Déclenchement : tout fichier partagé à partir de SharePoint ou OneDrive d'une manière qui permet à des utilisateurs anonymes (c'est-à-dire n'importe qui) d'y accéder.

  • Dans un contexte professionnel, il y a peu de bonnes raisons de partager des fichiers professionnels avec des destinataires anonymes. Cela va à l'encontre de tous les mécanismes de suivi et de conformité relatifs à l'extraction de données. Les utilisateurs devraient utiliser des partages nommés.

 

Déclin de l'état de santé

  • Déclenchement : dégradation de l'état de santé sur votre organisation.

  • La fonctionnalité « État de santé » vous donne une vue d'ensemble du niveau de sécurité actuel de votre organisation. Lorsque ce niveau de sécurité baisse, les pirates potentiels disposent d'une plus grande surface d'attaque.

 

Changement de l'état de santé

  • Déclenchement : changement dans les données relatives à un état de santé critique.

  • La fonctionnalité État de santé fournit une vue d'ensemble du niveau de sécurité actuel de votre organisation. Un état Critique indique que les vulnérabilités ou les risques restent élevés, exposant votre environnement à des menaces potentielles.

 

Amélioration de l'état de santé

  • Déclenchement : amélioration de l'état de santé sur votre organisation.

  • La fonctionnalité « État de santé » vous donne une vue d'ensemble du niveau de sécurité actuel de votre organisation. Vous pourriez souhaiter être informé lorsque ce niveau de sécurité revient à la normale.

 

Élément SharePoint supprimé définitivement

  • Déclenchement : suppression manuelle d'un élément des mécanismes de rétention, comme la corbeille de 2nd niveau de SharePoint.

  • Un pirate qui tente de supprimer des fichiers de manière irréversible les effacera du mécanisme de rétention. Cela ne se produit pratiquement jamais dans le cadre d'opérations normales. Cet événement se déclenche lorsque des éléments sont supprimés de la corbeille de second niveau de SharePoint (corbeille de la corbeille). Le nettoyage automatique normal des éléments des mécanismes de rétention ne déclenche pas cet événement.

 

Licences assignées

  • Déclenchement : nouvelle licence attribuée à un compte existant.

  • Selon le « principe du moindre privilège », les utilisateurs ne devraient pas avoir accès aux services dont ils n'ont pas besoin. Une bonne gestion des licences permet également de contrôler les coûts.

 

Licences supprimées

  • Déclenchement : suppression d'une licence d'un compte existant.

  • La suppression des licences d'utilisateurs est un moyen efficace pour les pirates de désactiver les comptes, car cela bloque l'accès aux ressources et services essentiels, tels que les courriels, les fichiers dans SharePoint, et les outils collaboratifs comme Teams. Cette action peut entraîner des perturbations majeures dans les opérations quotidiennes, nuisant à la productivité et compliquant la gestion des incidents de sécurité.

 

Accès à une boîte aux lettres par un non-propriétaire

  • Déclenchement : accès à une boîte aux lettres par un utilisateur à qui n'en est pas le propriétaire.

  • L'escalade de privilèges est une cible majeure pour les pirates. L'une des raisons est qu'elle permet d'accéder à plusieurs comptes sans avoir à les compromettre individuellement. Cet événement est un indicateur qu'un pirate explore vos données. Il peut également signaler des comportements inappropriés de la part d'acteurs internes abusant de leurs accès. Veuillez noter que les boîtes aux lettres partagées ne déclencheront pas cet événement.

 

Accès à une boîte aux lettres accordé à un non-propriétaire

  • Déclenchement : accès à une boîte aux lettres accordé de manière permanente à un utilisateur qui n'en est pas le propriétaire.

  • L'escalade des privilèges est une cible importante pour les pirates. Elle permet d'accéder à plusieurs comptes sans avoir à tous les pirater. Cet événement peut être le signe qu'un pirate explore vos données. Il peut également indiquer que des acteurs internes abusent de leurs accès.

 

Nouveau compte créé

  • Déclenchement : création d'un nouveau compte dans Microsoft 365.

  • D'un point de vue sécurité : la création d'un nouveau compte est une action très courante pour les pirates qui accèdent à une organisation. Pour le contrôle interne : vous pouvez réduire les coûts et améliorer la conformité en limitant les comptes créés sans autorisation.

 

Nouveau site SharePoint créé

  • Déclenchement : création d'un nouveau site SharePoint.

  • Les sites SharePoint peuvent être utilisés pour l'extraction de données et peuvent entraîner une prolifération des données. Ils peuvent également générer des coûts.

 

Nouvelle application Teams installée

  • Déclenchement : installation d'une nouvelle application par un utilisateur pour la première fois dans Teams.

  • Il est essentiel de vérifier rigoureusement les applications installées par vos utilisateurs. Une application certifiée par Microsoft peut sembler inoffensive en soi, mais elle peut aussi présenter des vulnérabilités susceptibles d'exposer les données de l'entreprise. Nous vous recommandons de limiter l'installation et le consentement des applications dans Teams aux administrateurs.

 

Paramètre Microsoft 365 réappliqué par Office Protect

  • Déclenchement : réapplication automatique d'un paramètre par Office Protect.

  • Dès lors qu'Office Protect détecte un changement dans votre configuration Microsoft 365 et réapplique automatiquement le paramètre, cet événement sera déclenché.

  • Paramètres affectés, si activés : Toujours activer la journalisation d'audit administrateur, Retirer l'accès aux scripts Exchange (PowerShell), Signaler les courriels d’hameçonnage usurpant le domaine ou le personnel du locataire et Toujours activer la journalisation d'audit de boîte aux lettres.

    Si Office Protect ne peut pas réappliquer automatiquement le paramètre, vous serez également alerté. Les modifications appliquées à partir d'Office Protect ne déclencheront pas l'événement.

 

Paramètre Microsoft 365 modifié en dehors d'Office Protect

  • Déclenchement : toute modification apportée dans Microsoft 365 aux configurations de paramètres appliqués à partir Office Protect.

  • Toutes les modifications effectuées directement dans Microsoft 365 qui ne correspondent pas à la politique que vous avez choisie dans Office Protect seront signalées. Elles permettront souvent d'identifier les utilisateurs qui ne respectent pas les meilleures pratiques en matière de sécurité. Les modifications appliquées à partir d'Office Protect ne déclencheront pas cet événement.

 

Site SharePoint supprimé

  • Déclenchement : suppression d'un site SharePoint.

  • Les pirates peuvent causer de graves perturbations en supprimant des sites SharePoint. La perte de ces sites peut entraîner des interruptions majeures dans les flux de travail, perturber la collaboration entre les équipes, et entraîner des coûts considérables pour la récupération des données perdues.

 

Connexion depuis un emplacement non autorisé

  • Déclenchement : connexion utilisateur depuis un pays listé comme non autorisé, ou depuis un proxy anonyme.

  • Toute connexion provenant d'un pays inhabituel ou d'un proxy anonyme doit faire l'objet d'une enquête afin de déterminer s'il s'agit d'une brèche potentielle. Si aucune explication professionnelle n'est fournie, il convient d'envisager la suspension compte jusqu’à clarification de la situation. Vous pouvez sélectionner les pays que vous souhaitez autoriser et choisir si vous souhaitez être alerté en cas de connexion depuis un proxy anonyme. Si vous activez l'option proxy anonyme, les connexions depuis des proxies anonymes déclencheront également une alerte, même si le pays est autorisé.

 

Règle de boîte de réception suspicieuse détectée

  • Déclenchement : création d'une règle de boîte de réception suspecte sur une boîte aux lettres. La règle est considérée comme suspecte en raison de son nom ou des actions qu'elle effectue.

  • Les pirates créent souvent des règles de boîte de réception malveillantes lorsqu'ils accèdent à une boîte aux lettres, dans le but de dissimuler leurs actions. Bien qu'il soit difficile d'analyser chaque règle de boîte de réception dans votre locataire en raison du volume, toute règle mal nommée ou redirigeant des messages vers des dossiers spécifiques (Archive, RSS Feeds, ...) doit attirer votre attention et être vérifiée.

 

Trop de connexions

  • Déclenchement : tout accès à un compte à une fréquence supérieure au seuil spécifié.

  • Le fait d'avoir plusieurs connexions réussies pour un seul compte dans un court laps de temps indique généralement que les informations d'identification du compte ont été publiées publiquement.

 

Consentement utilisateur à une application

  • Déclenchement : consentement par un utilisateur à une application dans Microsoft 365.

  • Les applications enregistrées dans Entra ID peuvent demander l'accès à des données telles que les informations de contact, les courriels, les documents, etc. Cela en fait une cible de choix pour les pirates, qui peuvent se faire passer pour une application légitime afin d'accéder aux données de l'utilisateur, ainsi qu'aux informations d'authentification. Il est également possible qu'une application légitime soit compromise, ce qui peut entraîner des fuites de données d'identification des utilisateurs. Nous recommandons d'être prudent avec les applications qui requièrent l'autorisation de l'administrateur pour consentir au nom de tous les utilisateurs, car cela peut potentiellement exposer une très large quantité de données sensibles.

 

Accès utilisateur avec une adresse IP et une plateforme non connues

  • Déclenchement : tout accès à un compte Microsoft 365 depuis une nouvelle adresse IP et une nouvelle plateforme (agent utilisateur).

  • Nous combinons l'adresse IP et l'agent utilisateur (plateforme) pour déterminer si un utilisateur est « connu » du système. Bien que les personnes se déplacent, entraînant un changement d'adresse IP, et qu'elles puissent parfois changer d'appareil ou de logiciel, modifiant ainsi l'agent utilisateur, ces deux changements simultanés sont moins fréquents. Exemple bénin : une connexion depuis un ordinateur public lors d'un déplacement.

 

Si vous avez des questions, veuillez consulter les autres articles ou nous contacter directement.