Afin d'aider les équipes de sécurité à faire face aux nombreuses alertes critiques qu'ils reçoivent quotidiennement, Microsoft a mis sa réponse automatisée d'incident dans ATP (Protection contre les menaces avancées) d'Office 365 à la disposition de tous les clients de l'entreprise.
La fonction d'automatisation du géant du logiciel est conçue pour aider les analystes de la sécurité à répondre aux alertes plus rapidement et de manière plus systématique.
Dans un article de blog récent, Microsoft a annoncé la mise à la disposition des entreprises clientes de deux catégories de réponses automatisées aux incidents. La première catégorie concerne les enquêtes automatiques déclenchées en réponse aux nouvelles alertes qui se produisent lorsque les utilisateurs signalent des e-mails de phishing, cliquent sur un lien malveillant ou lorsque des e-mails malveillants ou de phishing sont trouvés dans leurs boîtes aux lettres.
La deuxième catégorie comprend les enquêtes lancées manuellement et qui utilisent les propres séquences du «livre de jeu automatisé» de Microsoft pour aller au fond des différents scénarios et types d'attaques.
Sommaire
Playbooks de sécurité riches
L'automatisation de Microsoft suit ses riches livres de travail sur la sécurité, qui consistent essentiellement en une série d'étapes soigneusement consignées que les équipes de sécurité peuvent utiliser pour enquêter de manière exhaustive sur une alerte. Ils proposent également un ensemble d’actions recommandées en matière de confinement et d’atténuation lorsqu’il s’agit de traiter une alerte.
Les playbooks de la société mettent en corrélation des courriels similaires envoyés ou reçus au sein d'une organisation afin de détecter toute activité suspecte pour les utilisateurs concernés. Microsoft donne quelques exemples d’activités marquées dans son billet de blog, citant le transfert de courrier, la délégation de courrier, les violations DLP (Office 365 Data Loss Prevention) et les schémas d’envoi de courrier électronique suspects.
Dans le cadre de la promesse de Microsoft Threat Protection, ces playbooks intègrent également les signaux et les détections de Microsoft Cloud App Security et Microsoft Defender ATP.
Les organisations disposant d'un plan de niveau Office 365 ATP Plan 2 ou Office 365 Entreprise E5 peuvent tirer parti des fonctionnalités de réponse automatisée aux incidents de la société à partir d'aujourd'hui.
Via ZDNet