Analyse des logs Active Directory (Kerberos et NTLM) avec le SIEM Azure Sentinel pour tracker les mouvements latéraux des pirates!
Pour analyser les logs Active Directory (Kerberos et NTLM) avec le SIEM Azure Sentinel pour suivre les mouvements latéraux des pirates, suivez les étapes ci-dessous :
Configurer la collecte de journaux : Dans Azure Sentinel, configurez la collecte de journaux Active Directory à partir des contrôleurs de domaine et des serveurs qui hébergent les rôles de domaine Active Directory. Assurez-vous que les journaux Kerberos et NTLM sont collectés.
Créer des tables de correspondance : Créez des tables de correspondance pour mapper les comptes d'utilisateurs et d'ordinateurs à leur adresse IP. Cela permettra de faciliter l'analyse ultérieure des journaux.
Développer des requêtes : Utilisez les requêtes Kusto Query Language (KQL) pour extraire des données des journaux Kerberos et NTLM collectés. Vous pouvez créer des requêtes pour détecter les anomalies, telles que les tentatives de connexion à partir d'adresses IP inconnues, les comptes d'utilisateurs qui se connectent à partir de plusieurs machines, etc.
Configurer des règles d'alerte : Configurez des règles d'alerte pour être averti lorsque des activités suspectes sont détectées. Par exemple, vous pouvez configurer des règles pour alerter lorsque des comptes d'utilisateurs se connectent à partir de plusieurs machines en peu de temps.
Effectuer une analyse comportementale : Utilisez la fonctionnalité de profilage d'utilisateur d'Azure Sentinel pour analyser le comportement normal des comptes d'utilisateurs. Cela permettra de détecter les comportements anormaux et de les signaler comme suspects.
Utiliser des modèles d'analyse : Utilisez les modèles d'analyse intégrés d'Azure Sentinel pour détecter les modèles de comportement suspects. Ces modèles incluent la détection des mouvements latéraux, la détection des comptes d'utilisateurs compromis et la détection des attaques de type Pass-the-Hash.
Automatiser les réponses : Configurez des actions automatisées pour répondre aux alertes. Cela peut inclure le blocage des adresses IP suspectes, la désactivation des comptes d'utilisateurs compromis ou l'envoi d'alertes à l'équipe de sécurité.
Il est important de noter que l'analyse des journaux Active Directory pour suivre les mouvements latéraux nécessite une compréhension approfondie de l'infrastructure Active Directory et de l'analyse des journaux. Il est recommandé de travailler avec des experts en sécurité informatique pour mettre en place une stratégie de sécurité efficace.