NicoElNino - stock.adobe.com

Réponse à incident : Microsoft étend l’automatisation à Office 365 ATP

Le groupe apporte à Office 365 Advanced Threat Protection les capacités d’automatisation qu’il proposait déjà pour Microsoft Defender ATP. De quoi étendre l’application de la technologie d’Hexadite rachetée en 2017.

Microsoft vient d’annoncer la disponibilité générale des fonctionnalités Automated Incident Response (AIR) au sein d’Office 365 Advanced Threat Protection (ATP). Dans un billet de blog, l’éditeur explique vouloir aider les équipes de sécurité à gagner en efficacité à l’aide de ces capacités d’automatisation, dans le cadre de leurs activités d’investigation et de réaction.

Sans surprise, pour ceux qui commencent à être familiers avec l’automatisation et l’orchestration appliquées à la sécurité (SOAR), les fonctionnalités AIR s’appuient sur des playbooks assurant l’exécution automatique d’une série d’actions qu’un analyste serait autrement appelé à enchaîner manuellement.

Pour ce lancement, Microsoft propose deux playbooks critiques en préversion et couvrant les cas où un utilisateur signale un e-mail de hameçonnage, ou clique sur un lien malicieux. Dans la documentation d’AIR, l’éditeur détaille les processus afférents. Par exemple, pour le signalement d’un e-mail de phishing, tout commence par l’examen de l’e-mail suspect : expéditeur, infrastructure d’origine, autres instances ayant pu conduire à délivrance ou blocage, association à des campagnes connues, etc. Viennent ensuite plusieurs activités de chasse, avec recherche d’autres occurrences, ou de grappes de menaces comparables ou similaires, partage de signaux avec des plateformes tierces, telles que Defender ATP, vérification de compromission d’utilisateur avec Microsoft Cloud App Security et Azure AD, notamment. De là, des investigations plus poussées peuvent être sollicitées, et des actions de remédiation, lancées.

Avec Office 365 ATP AIR, Microsoft fait un pont avec Defender ATP AIR, étendant au passage le périmètre de mise à profit d’une technologie de SOAR acquise courant 2017, avec le rachat de la jeune pousse israélienne Hexadite. L’éditeur avait commencé à lever le voile sur ses projets pour celle-ci en septembre de la même année. Aujourd’hui, Microsoft ne manque pas de souligner la complémentarité entre Defender ATP et Office 365 ATP, soulignant que leurs capacités d’automatisation « forment l’épine dorsale de la puissante protection intégrée automatisée qui fait partie de [sa] pile de protection contre les menaces ».

Pour l’heure, s’il ne faut donc compter que deux playbooks, Microsoft indique prévoir d’en ajouter de nouveaux « au cours des prochaines semaines », et des mois à venir, « pour répondre aux scénarios de menaces les plus courants ». Office 365 ATP AIR est accessible aux titulaires de licences Microsoft 365 ou Office 365 Enterprise E5, Office 365 ATP Plan 2, ou encore Microsoft Threat Protection.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)