L’équipe Microsoft Incident Response a publié des guides d’une page sur Microsoft 365 et Microsoft Entra pour l’investigation des activités suspicieuses. L’objectif de ces documents est de donner des techniques parmi les plus de 3000 activités enregistrées dans les solutions.
Parmi les types d’activités, on retrouve :
- L’impact administratif : Actions Exchange et SharePoint dont l'exécution nécessite des privilèges administratifs. Ces actions peuvent étendre l'accès des acteurs de la menace aux services d'Office 365.
- La manipulation Email : Évasion de la défense et ingénierie sociale
- La reconnaissance : Actions de découverte
- Les actions sur les boites aux lettres : Actions effectuées sur une boîte aux lettres compromise
- La collection de données : Actions permettant l'exfiltration de données
- L’impact : Les actions qui sont de nature destructive
- Les événements de connexion : Données de connexion et événements associés
- Les activités de l’utilisateur : Modification des objets de l'utilisateur
- Les applications : L'escalade des privilèges et accès aux données
- L’identité
- Les périphériques : Modification des objets appareils
- Administration : Les changements dans les assignements de rôle
Plus d’informations sur : New Microsoft Incident Response guides help security teams analyze suspicious activity | Microsoft Security Blog