Détection avancée d’attaques à plusieurs niveaux dans Azure Sentinel

S’applique à: Microsoft Sentinel in the Azure portal

Importante

Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel Microsoft Defender XDR SIEM. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.

Microsoft Sentinel utilise Fusion, un moteur de corrélation basé sur des algorithmes d’apprentissage automatique évolutifs, pour détecter automatiquement les attaques multiphases (également appelées menaces persistantes avancées ou APT) en identifiant des combinaisons de comportements anormaux et d’activités suspectes observées à différentes étapes de la chaîne de destruction. Sur la base de ces découvertes, Microsoft Sentinel génère des incidents qui seraient autrement difficiles à intercepter. Ces incidents comprennent au moins deux alertes ou activités. Par conception, ces incidents sont de faible volume, de haute fidélité et de gravité élevée.

Personnalisée pour votre environnement, cette technologie de détection réduit non seulement les taux de faux positifs , mais peut également détecter les attaques avec des informations limitées ou manquantes.

Étant donné que Fusion met en corrélation plusieurs signaux provenant de différents produits pour détecter les attaques multiphases avancées, les détections Fusion réussies sont présentées sous forme d’incidents Fusion sur la page Incidents Microsoft Sentinel et non sous forme d’alertes, et sont stockées dans la table SecurityIncident dans Logs et non dans la table SecurityAlert.

Configurer Fusion

Fusion est activée par défaut dans Microsoft Sentinel, sous la forme d’une règle d’analyse appelée Détection avancée des attaques multiphases. Vous pouvez afficher et modifier les status de la règle, configurer les signaux sources à inclure dans le modèle Fusion ML ou exclure de la détection Fusion des modèles de détection spécifiques qui peuvent ne pas être applicables à votre environnement. Découvrez comment configurer la règle Fusion.

Remarque

Microsoft Sentinel utilise actuellement 30 jours de données historiques pour entraîner les algorithmes d’apprentissage automatique du moteur Fusion. Ces données sont toujours chiffrées à l’aide des clés de Microsoft à mesure qu’elles passent par le pipeline d’apprentissage automatique. Toutefois, les données d’apprentissage ne sont pas chiffrées à l’aide de clés gérées par le client (CMK) si vous avez activé CMK dans votre espace de travail Microsoft Sentinel. Pour désactiver Fusion, accédez à Microsoft Sentinel>Configuration>Analytics > Règles actives, cliquez avec le bouton droit sur la règle Détection avancée des attaques multiphases, puis sélectionnez Désactiver.

Pour Microsoft Sentinel espaces de travail intégrés au portail Microsoft Defender, Fusion est désactivé. Ses fonctionnalités sont remplacées par le moteur de corrélation Microsoft Defender XDR.

Fusion pour les menaces émergentes

Importante

Les détections De Fusion indiquées sont actuellement en PRÉVERSION. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.

Configurer Fusion

Fusion est activée par défaut dans Microsoft Sentinel, sous la forme d’une règle d’analyse appelée Détection avancée des attaques multiphases. Vous pouvez afficher et modifier les status de la règle, configurer les signaux sources à inclure dans le modèle Fusion ML ou exclure de la détection Fusion des modèles de détection spécifiques qui peuvent ne pas s’appliquer à votre environnement. Découvrez comment configurer la règle Fusion.

Vous souhaiterez peut-être désactiver Fusion si vous avez activé les clés gérées par le client (CMK) dans votre espace de travail. Microsoft Sentinel utilise actuellement 30 jours de données historiques pour entraîner les algorithmes d’apprentissage automatique du moteur Fusion, et ces données sont toujours chiffrées à l’aide des clés de Microsoft à mesure qu’elles passent par le pipeline d’apprentissage automatique. Toutefois, les données d’apprentissage ne sont pas chiffrées à l’aide de CMK. Pour désactiver Fusion, désactivez la règle analytique Détection avancée des attaques multiphases dans Microsoft Sentinel. Pour plus d’informations, consultez Configurer des règles fusion.

Fusion est désactivé quand Microsoft Sentinel est intégré au portail Defender. Au lieu de cela, lorsque vous travaillez dans le portail Defender, les fonctionnalités fournies par Fusion sont remplacées par le moteur de corrélation Microsoft Defender XDR.

Fusion pour les menaces émergentes (préversion)

Le volume des événements de sécurité ne cesse de croître, et l’étendue et la sophistication des attaques ne cessent d’augmenter. Nous pouvons définir les scénarios d’attaque connus, mais qu’en est-il des menaces émergentes et inconnues dans votre environnement ?

Microsoft Sentinel moteur Fusion alimenté par ML peut vous aider à trouver les menaces émergentes et inconnues dans votre environnement en appliquant une analyse ML étendue et en comettant en corrélation une plus grande étendue de signaux anormaux, tout en maintenant une fatigue d’alerte faible.

Les algorithmes ML du moteur Fusion apprennent constamment des attaques existantes et appliquent une analyse basée sur la façon dont les analystes de sécurité pensent. Il peut donc détecter des menaces précédemment non détectées provenant de millions de comportements anormaux dans la chaîne de destruction dans votre environnement, ce qui vous permet de garder une longueur d’avance sur les attaquants.

Fusion pour les menaces émergentes prend en charge la collecte et l’analyse des données à partir des sources suivantes :

Détections d’anomalies prêtes à l’emploi
Alertes des services Microsoft :
- Protection Microsoft Entra ID
- Microsoft Defender pour le cloud
- Microsoft Defender pour IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Defender pour Office 365
Alertes provenant de règles d’analyse planifiées. Les règles d’analyse doivent contenir des informations de kill-chain (tactiques) et de mappage d’entités pour pouvoir être utilisées par Fusion.

Vous n’avez pas besoin d’avoir connecté toutes les sources de données répertoriées ci-dessus pour que Fusion fonctionne pour les menaces émergentes. Toutefois, plus vous avez connecté de sources de données, plus la couverture est large et plus Fusion trouvera de menaces.

Lorsque les corrélations du moteur Fusion entraînent la détection d’une menace émergente, Microsoft Sentinel génère un incident de gravité élevée intitulé Possibles activités d’attaque multiphases détectées par Fusion.

Fusion pour les rançongiciels

Le moteur Fusion de Microsoft Sentinel génère un incident lorsqu’il détecte plusieurs alertes de types différents à partir des sources de données suivantes, et détermine qu’elles peuvent être liées à l’activité de ransomware :

Microsoft Defender pour le cloud
Microsoft Defender pour point de terminaison
connecteur Microsoft Defender pour Identity
Microsoft Defender for Cloud Apps
Microsoft Sentinel règles d’analyse planifiées. Fusion prend uniquement en compte les règles d’analyse planifiées avec des informations tactiques et des entités mappées.

Ces incidents Fusion sont nommés Alertes multiples potentiellement liées à l’activité de ransomware détectée, et sont générés lorsque des alertes pertinentes sont détectées pendant une période spécifique et sont associées aux étapes d’exécution et d’évasion de défense d’une attaque.

Par exemple, Microsoft Sentinel générerait un incident pour les activités de ransomware possibles si les alertes suivantes sont déclenchées sur le même hôte dans un délai spécifique :

Alerte	Source	Severity
Événements d’erreur et d’avertissement Windows	Microsoft Sentinel règles d’analytique planifiée	Information
Le ransomware « GandCrab » a été évité	Microsoft Defender pour le cloud	medium
Le programme malveillant « Emotet » a été détecté	Microsoft Defender pour point de terminaison	Information
La porte dérobée 'Tofsee' a été détectée	Microsoft Defender pour le cloud	Faible
Un programme malveillant 'Parite' a été détecté	Microsoft Defender pour point de terminaison	Information

Détections fusion basées sur un scénario

La section suivante répertorie les types d’attaques multiphases basées sur un scénario, regroupées par classification des menaces, que Microsoft Sentinel détecte à l’aide du moteur de corrélation Fusion.

Pour activer ces scénarios de détection d’attaque avec Fusion, les sources de données associées doivent être ingérées dans votre espace de travail Log Analytics. Sélectionnez les liens dans le tableau ci-dessous pour en savoir plus sur chaque scénario et ses sources de données associées.

Classification des menaces	Scénarios
Utilisation abusive des ressources de calcul	(PRÉVERSION) Plusieurs activités de création de machine virtuelle suite à une connexion Microsoft Entra suspecte
Accès aux informations d’identification	(PRÉVERSION) Réinitialisation de plusieurs mots de passe par l’utilisateur suite à une connexion suspecte (PRÉVERSION) Connexion suspecte coïncidant avec une connexion réussie à Palo Alto VPN par adresse IP avec plusieurs échecs de connexion Microsoft Entra
Collecte des informations d’identification	Exécution d’un outil de vol d’informations d’identification malveillante après une connexion suspecte Suspicion d’activité de vol d’informations d’identification suite à une connexion suspecte
Exploration de chiffrement	Activité d’exploration de chiffrement après une connexion suspecte
Destruction des données	Suppression de fichiers en masse suite à une connexion suspecte Microsoft Entra (PRÉVERSION) Suppression de fichiers en masse après Microsoft Entra connexion réussie à partir de ADRESSE IP bloquée par un pare-feu Cisco Appliance (PRÉVERSION) Suppression de fichiers en masse après une connexion réussie à Palo Alto VPN par adresse IP avec plusieurs échecs de connexion Microsoft Entra (PRÉVERSION) Activité suspecte de suppression d’e-mails suite à une connexion Microsoft Entra suspecte
Data exfiltration	(PRÉVERSION) Activités de transfert de courrier suite à une nouvelle activité admin-account qui n’a pas été vue récemment Téléchargement de fichiers en masse suite à une connexion suspecte Microsoft Entra (PRÉVERSION) Téléchargement de fichiers en masse après Microsoft Entra connexion réussie à partir de ADRESSE IP bloquée par un pare-feu Cisco Appliance (PRÉVERSION) Téléchargement de fichiers en masse coïncidant avec l’opération de fichier SharePoint à partir d’une adresse IP précédemment invisible Partage de fichiers en masse après une connexion Microsoft Entra suspecte (PRÉVERSION) Plusieurs activités de partage de rapports Power BI suite à une connexion Microsoft Entra suspecte Office 365 exfiltration de boîte aux lettres suite à une connexion Microsoft Entra suspecte (PRÉVERSION) Opération de fichier SharePoint à partir d’une adresse IP précédemment invisible suite à la détection de programmes malveillants (PRÉVERSION) Règles de manipulation de boîte de réception suspectes définies après une connexion Microsoft Entra suspecte (PRÉVERSION) Partage de rapports Power BI suspects après une connexion Microsoft Entra suspecte
Déni de service	(PRÉVERSION) Plusieurs activités de suppression de machine virtuelle suite à une connexion Microsoft Entra suspecte
Déplacement latéral	Office 365 emprunt d’identité suite à une connexion suspecte Microsoft Entra (PRÉVERSION) Règles de manipulation de boîte de réception suspectes définies après une connexion Microsoft Entra suspecte
Activité d’administration malveillante	Activité d’administration d’application cloud suspecte après une connexion Microsoft Entra suspecte (PRÉVERSION) Activités de transfert de courrier suite à une nouvelle activité admin-account qui n’a pas été vue récemment
Exécution malveillante avec processus légitime	(PRÉVERSION) PowerShell a créé une connexion réseau suspecte, suivie de trafic anormal signalé par le pare-feu Palo Alto Networks (PRÉVERSION) Exécution WMI distante suspecte suivie de trafic anormal signalé par le pare-feu Palo Alto Networks Ligne de commande PowerShell suspecte après une connexion suspecte
Programme malveillant C2 ou téléchargement	(PRÉVERSION) Modèle de balise détecté par Fortinet après plusieurs échecs de connexion utilisateur à un service (PRÉVERSION) Modèle de balise détecté par Fortinet suite à une connexion suspecte Microsoft Entra (PRÉVERSION) Demande réseau au service d’anonymisation TOR suivie de trafic anormal signalé par le pare-feu Palo Alto Networks (PRÉVERSION) Connexion sortante à l’adresse IP avec un historique des tentatives d’accès non autorisé suivies de trafic anormal signalé par le pare-feu Palo Alto Networks
Persistance	(PRÉVERSION) Consentement d’application rare après une connexion suspecte
Rançongiciel	Exécution d’un rançongiciel suite à une connexion Microsoft Entra suspecte
Exploitation à distance	(PRÉVERSION) Suspicion d’utilisation de l’infrastructure d’attaque suivie de trafic anormal signalé par le pare-feu Palo Alto Networks
Détournement de ressources	(PRÉVERSION) Déploiement suspect d’une ressource ou d’un groupe de ressources par un appelant précédemment invisible suite à une connexion Microsoft Entra suspecte

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23

Détection avancée d’attaques à plusieurs niveaux dans Azure Sentinel

Configurer Fusion

Fusion pour les menaces émergentes

Configurer Fusion

Fusion pour les menaces émergentes (préversion)

Fusion pour les rançongiciels

Détections fusion basées sur un scénario

Contenu connexe

Commentaires

Ressources supplémentaires