Security

Microsoft Sentinel UEBA : détection AWS enrichie

3 min de lecture

Résumé

Microsoft Sentinel UEBA ajoute désormais des analyses comportementales plus riches pour les données AWS CloudTrail, offrant aux équipes de sécurité un contexte intégré comme une première géographie observée, un ISP inhabituel, des actions inhabituelles et un volume d’opérations anormal. Cette mise à jour aide les défenseurs à détecter plus rapidement les activités AWS suspectes et réduit le besoin de lignes de base KQL complexes et d’enrichissements manuels.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft étend Microsoft Sentinel UEBA pour renforcer la détection des menaces AWS grâce à des analyses comportementales plus riches. Pour les équipes des opérations de sécurité qui gèrent des environnements hybrides et multi-cloud, cela compte, car les événements AWS CloudTrail arrivent désormais avec un contexte intégré capable d’accélérer les investigations et d’améliorer la qualité de détection.

Au lieu de s’appuyer sur des requêtes KQL complexes, des seuils statiques ou des lignes de base maintenues manuellement, les défenseurs peuvent utiliser des informations UEBA précalculées pour identifier plus rapidement les comportements suspects dans l’activité AWS.

Nouveautés de Microsoft Sentinel UEBA pour AWS

Microsoft a élargi la prise en charge UEBA à davantage de sources de données multi-cloud et d’identité, notamment AWS, GCP, Okta et d’autres journaux d’authentification. Pour AWS plus précisément, les principales améliorations incluent :

  • Davantage d’enrichissements comportementaux AWS pour les événements CloudTrail au moment de l’ingestion
  • Informations binaires telles que :
    • Première géographie observée
    • ISP inhabituel
    • Action inhabituelle
    • Volume d’opérations anormal
  • Prise en charge de la table BehaviorAnalytics pour l’activité AWS, avec exposition d’informations sur l’utilisateur, l’appareil et l’activité
  • Table Anomalies avec six détections d’anomalies AWS intégrées issues des modèles de machine learning de Microsoft
  • Intégration au portail Defender pour afficher les anomalies UEBA dans les pages d’entité utilisateur et les graphes d’incident

Microsoft désigne cette approche comme le binary feature stacking, où les analystes combinent de simples indicateurs comportementaux vrai/faux pour repérer rapidement une activité d’attaquant qui pourrait autrement se fondre dans les opérations AWS normales.

Pourquoi c’est important pour les équipes de sécurité

Les investigations AWS dépendent souvent de journaux CloudTrail bruts et d’une logique personnalisée pour déterminer si un comportement est réellement suspect. Ce processus peut être long et coûteux, en particulier dans des environnements cloud qui évoluent rapidement.

Avec Sentinel UEBA, les administrateurs et les analystes bénéficient de :

  • Une qualification plus rapide des alertes AWS
  • Une dépendance réduite aux lignes de base KQL conçues manuellement
  • Un meilleur contexte pour les identités humaines et non humaines
  • Une détection d’anomalies plus cohérente dans les environnements hybrides et multi-cloud

Cette mise à jour est particulièrement utile pour les équipes SOC qui veulent réduire la fatigue liée aux alertes tout en améliorant la visibilité sur les actions AWS à risque, comme des connexions inhabituelles, des changements de privilèges IAM ou des user agents jamais vus auparavant.

Détails clés de mise en œuvre

Le contexte comportemental AWS apparaît dans deux tables principales :

BehaviorAnalytics

Il s’agit de la principale surface d’investigation pour l’activité AWS enrichie par UEBA. Elle comprend des champs tels que EventSource, ActivityType et ActionType, ainsi que des champs d’informations dynamiques comme UserInsights, DeviceInsights et ActivityInsights.

Anomalies

Cette table contient les détections d’anomalies AWS préentraînées de Microsoft. Les enregistrements incluent :

  • Mappages MITRE ATT&CK
  • AnomalyScore
  • AnomalyReasons
  • Enrichissements comportementaux associés

Ce que les administrateurs IT et sécurité doivent faire ensuite

  • Examiner les détections AWS CloudTrail actuelles dans Sentinel
  • Identifier les règles d’analyse qui reposent sur une logique de ligne de base lourde
  • Tester les enrichissements UEBA dans les tables BehaviorAnalytics et Anomalies
  • Utiliser les workflows de hunting du portail Defender pour investiguer plus rapidement les anomalies utilisateur
  • Mettre à jour les playbooks SOC pour tirer parti du contexte comportemental AWS précalculé

Pour les organisations qui sécurisent AWS aux côtés des environnements Microsoft, cette mise à jour peut simplifier l’ingénierie de détection et améliorer l’efficacité de la réponse.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Articles connexes

Security

Défense IA Microsoft face aux nouvelles menaces

Microsoft indique que l’IA accélère la découverte et l’exploitation des vulnérabilités, réduisant le temps dont disposent les défenseurs pour réagir. En réponse, l’entreprise étend la découverte de vulnérabilités pilotée par l’IA, la gestion de l’exposition et les protections basées sur Defender, tout en présentant un nouvel outil d’analyse multi-modèle pour les clients en juin 2026.

Security

Détection des faux employés IT avec Microsoft Defender

Microsoft a présenté des stratégies de détection pour identifier des acteurs malveillants liés à la Corée du Nord se faisant passer pour des recrues IT à distance afin d’infiltrer les organisations. Les recommandations portent sur la corrélation des signaux HR SaaS, identité, messagerie, conférence et Microsoft 365 afin que les équipes sécurité et RH puissent repérer les candidats suspects avant et après l’onboarding.

Security

Prévention des cyberattaques opportunistes : guide Microsoft

Microsoft exhorte les organisations à compliquer les cyberattaques opportunistes en supprimant les identifiants, en réduisant les surfaces d’attaque publiques et en standardisant des modèles de plateforme sécurisés. Ces recommandations sont particulièrement pertinentes pour les équipes exploitant Azure, Dynamics 365 et Power Platform à grande échelle, où des architectures incohérentes et des secrets exposés peuvent faciliter les mouvements latéraux des attaquants.

Security

Attaque d’usurpation Teams cross-tenant : guide

Microsoft a détaillé une chaîne d’intrusion opérée par des humains dans laquelle des attaquants utilisent des conversations Microsoft Teams cross-tenant pour usurper l’identité du support informatique et inciter les utilisateurs à accorder un accès à distance via des outils comme Quick Assist. Cette campagne est importante, car elle combine des outils légitimes de collaboration, d’assistance à distance et d’administration pour permettre le mouvement latéral, la persistance et l’exfiltration de données tout en ressemblant à une activité IT normale.

Security

Microsoft Defender predictive shielding stoppe les attaques AD

Microsoft a expliqué comment le predictive shielding de Defender peut contenir la compromission d’un domaine Active Directory en restreignant les comptes à privilèges élevés exposés avant que des attaquants ne réutilisent des identifiants volés. Cette capacité aide les équipes de sécurité à réduire les mouvements latéraux et à combler l’écart de réponse lors d’attaques d’identité rapides.

Security

Intrusion macOS Sapphire Sleet : points clés Defender

Microsoft Threat Intelligence a détaillé une campagne ciblant macOS menée par Sapphire Sleet, qui s’appuie sur l’ingénierie sociale et de fausses mises à jour logicielles plutôt que sur l’exploitation de vulnérabilités. La chaîne d’attaque repose sur l’exécution par l’utilisateur d’AppleScript et de commandes Terminal pour contourner les protections natives de macOS, ce qui rend particulièrement importantes les défenses multicouches, la sensibilisation des utilisateurs et la détection sur les endpoints.