Les cybermenaces continuent de croître en complexité et en fréquence, et les organisations doivent adopter des méthodes innovantes pour anticiper et neutraliser les attaques. Les « Honeytokens », ou « jetons leurres », sont des comptes ou identités factices qui jouent un rôle clé dans les stratégies de défense modernes. Conçus pour détecter et surveiller les activités malveillantes, ils alertent les équipes de sécurité lorsqu’un attaquant tente de les exploiter. Ainsi les équipes de sécurité (SOC) peuvent réagir rapidement en cas de compromission ou de tentative de connexion.
Pourquoi configurer des comptes « Honeytokens » ?
Détection proactive : Les Honeytokens permettent de détecter rapidement les intrusions dans votre environnement en agissant comme des pièges pour les attaquants. Les Honeytokens fonctionnent comme des fils de toile d’araignée en signalant une activité suspecte dès qu’un attaquant les utilise.
Analyse des comportements des attaquants : Ces comptes collectent des données sur les tactiques, techniques et procédures (TTPs) des cybercriminels, afin de mieux comprendre les stratégies et outils utilisés par les cybercriminel.
Détournement des attaques : En attirant l’attention des attaquants sur des comptes leurres, ils protègent les ressources critiques.
Renforcement des défenses : Les informations recueillies permettent d’améliorer les politiques de sécurité et les contrôles en place.
Comment configurer des comptes « Honeytokens » dans Microsoft Identity Protection ?
1. Création des comptes leurres :
- Identifiez des noms d’utilisateur attrayants pour les attaquants, comme « Admin_Backup » ou « Finance_Admin ».
- Créez ces comptes dans Microsoft Entra ID, mais sans leur attribuer de privilèges réels.
2. Activation des alertes dans Microsoft Defender for Identity :
- Utilisez la fonction de balisage des Honeytokens pour marquer ces identités dans les Active Directory locaux.
- Configurez des alertes pour surveiller les connexions ou modifications suspectes sur ces comptes.
4. Analyse et réponse aux alertes :
- Connectez les journaux d’activités des Honeytokens à Microsoft Sentinel pour une analyse approfondie.
- Examinez les alertes pour distinguer les faux positifs des menaces réelles et ajustez vos configurations si nécessaire.
Quelques bonnes pratiques pour configurer des Honeytokens
- Utilisation de comptes existants : Réutiliser des comptes inactifs, tels que ceux d’anciens employés, pour tirer parti de leur historique. Renommez-les avec des noms attrayants, comme « Admin_Backup » ou « SQL_Service ».
- Simulation d’activité : Générez des historiques de connexions et attribuez des métadonnées pour rendre les comptes crédibles.
- Placement stratégique : Ajoutez des Honeytokens dans des fichiers visibles par les attaquants, comme des fichiers « Passwords.xlsx » sur un partage réseau ou dans des scripts PowerShell.
- Service Accounts : Configurez des comptes de service obsolètes avec des privilèges supprimés, pour les rendre intéressants aux yeux des attaquants.
En conclusion :
Les Honeytokens dans Microsoft Defender for Identity s’intègrent facilement aux environnements Active Directory locaux. Ils déclenchent des alertes spécifiques, comme des connexions suspectes ou des modifications d’attributs. De plus, en envoyant les journaux d’événements à une solution SIEM comme Microsoft Sentinel, vous pouvez centraliser l’analyse et automatiser les réponses.
Les Honeytokens ne servent pas uniquement à détecter les intrusions, mais aussi à surveiller les attaques en cours. Par exemple, des identifiants Honeytokens peuvent être intentionnellement divulgués lors d’un hameçonnage pour tracer l’origine de l’attaquant.