Une moitié dans la Cyber Sécurité et le Cloud – l'autre moitié sur les GR
Le processus de traitement des incidents de sécurité est très proche de celui d’une enquête qui serait menée par l’illustre habitant du premier étage du 221B Baker Street.
Que ce soit dans le cadre d’une enquête policière ou d’une investigation en cybersécurité, tout repose sur la méthode, l’analyse et la déduction. L’art de résoudre un mystère, qu’il soit numérique ou tangible, est un jeu intellectuel où chaque détail compte 😊
Les cybermenaces continuent de croître en complexité et en fréquence, et les organisations doivent adopter des méthodes innovantes pour anticiper et neutraliser les attaques. Les « Honeytokens », ou « jetons leurres », sont des comptes ou identités factices qui jouent un rôle clé dans les stratégies de défense modernes. Conçus pour détecter et surveiller les activités malveillantes, ils alertent les équipes de sécurité lorsqu’un attaquant tente de les exploiter. Ainsi les équipes de sécurité (SOC) peuvent réagir rapidement en cas de compromission ou de tentative de connexion.
Le langage KQL (Kusto Query Language) est un outil puissant utilisé dans Microsoft Defender pour le hunting et l’analyse proactive des menaces. Conçu pour interroger et analyser de grandes quantités de données en temps réel, KQL est particulièrement adapté à la recherche d’activités suspectes dans les environnements cloud et hybrides.
Voici une douzaine d’exemples de requêtes KQL (Kusto Query Language) que vous pouvez utiliser pour la chasse aux menaces (hunting) dans Microsoft Defender. Ces requêtes sont conçues pour couvrir différents scénarios de détection d’activités suspectes.