Les slides de ma session lors du #vacd2020 du 31 mars sur la détection d'attaques et traitements via Azure Log Analystics et Azure Sentinel. Pour le replay : https://www.youtube.com/watch?v=k3NQQzcQWxo
Elastic Workplace Search : la recherche ultra performanteElasticsearch
Nous avons repensé la recherche pour les entreprises, afin d'accélérer l'accès aux informations : découvrez une expérience de recherche unifiée, des connecteurs de données immédiatement opérationnels et des interfaces de gestion simplissimes.
Quel que soit votre projet Cloud, la gestion de vos identités est structurante. Au travers de cette session, nous vous proposons de faire le point sur les architectures existantes, les méthodes d’authentification et bien entendu les bonnes pratiques à adopter. Des démonstrations de chaque fonctionnalité seront faites.
Elastic Workplace Search : la recherche ultra performanteElasticsearch
Nous avons repensé la recherche pour les entreprises, afin d'accélérer l'accès aux informations : découvrez une expérience de recherche unifiée, des connecteurs de données immédiatement opérationnels et des interfaces de gestion simplissimes.
Quel que soit votre projet Cloud, la gestion de vos identités est structurante. Au travers de cette session, nous vous proposons de faire le point sur les architectures existantes, les méthodes d’authentification et bien entendu les bonnes pratiques à adopter. Des démonstrations de chaque fonctionnalité seront faites.
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
Sécurisez l'accès à vos différents services Office 365 en utilisant les fonctionnalités Premium d'Azure Active Directory et d'Office 365 Advanced Security Management (O365 E5).
Présentation des différentes façon de mettre à disposition des utilisateurs des applications SaaS à l’aide du portail Azure Active Directory. Vous verrez dans cette session les différents types d’intégration et comment on les configure concrètement à l’aide de démo.
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMMaxime Rastello
Découvrez comment sécuriser l'accès à vos services SaaS et Office 365 grâce à Azure Active Directory Premium et Office 365 Advanced Security Management.
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryMicrosoft Décideurs IT
En introduction de cette session, nous donnerons une vue historique des évolutions d’Active Directory ces 15 dernières années, et en quoi l’émergence de nouveaux usages ont conduit à l’apparition d’Azure Active Directory. Dans un second temps, nous effectuerons un tour d’horizon des fonctionnalités disponibles. Enfin nous mettrons en lumière certaines de ces fonctionnalités, avec une vue fonctionnelle et technique d’ensemble, appuyées par des démonstrations concrètes. Intéressés par l’adaptation des solutions de gestion d’identités et des accès aux applications SaaS ? N’hésitez pas à venir nous voir !
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
Azure Active directory et Microsoft Graph : l'union fait la forceThierry Buisson
par http://twitter.com/YFROUIN
Azure Active Directory
Démo 1 : Mise en place de l’authentification en quelques clics
Microsoft Graph
Démo 2 : Accès aux ressources Azure depuis l’API Graph
Sécurité et éthique
Questions
10 méthodes de sécurisation de votre espace Microsoft 365 - Mohamed Amar ATHIEMohamed Amar ATHIE
Dans cette session nous présentons différents mécanismes et bonnes pratiques de sécurisation de votre environnement Microsoft 365. Cette session s'adresse aux administrateurs , RSSI, DSI.
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)Microsoft Décideurs IT
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). La technologie ADFS (Active Directory Federation Services) dans Windows Server 2012 R2 a introduit la capacité d’enregistrement d’appareils pour permettre à des appareils de joindre un lieu de travail et offrir ainsi une expérience utilisateur proche de ce qui était traditionnellement proposé avec des appareils membres d’un domaine pour l’accès aux ressources de l'entreprise. Azure Active Directory (Azure AD) permet désormais également d’enregistrer les appareils des utilisateurs pour l’accès aux applications cloud (hybride). Fonctionnant de concert avec la technologie AD FS, il est ainsi possible de permettre aux utilisateurs finaux d'accéder depuis les appareils de leur choix aux ressources de l'entreprise à demeure ou dans le cloud (hybride) via une connexion depuis le réseau interne de l’entreprise ou sur Internet, et ce tout en offrant les nécessaires niveaux d’assurance et de sécurité souhaités. Cette session reviendra sur la notion d’enregistrement d’appareils et illustrera comment mettre en œuvre une configuration hybride de ce type pour pouvoir définir ensuite des stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’Azure AD et d’AD FS. L’accès conditionnel sera abordé dans un temps dans le cadre de la session SEC 307.
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Sujets abordés:
L’identité Microsoft : Comprendre l’identité chez Microsoft
L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
Retour d’expérience
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
Sécurisez l'accès à vos différents services Office 365 en utilisant les fonctionnalités Premium d'Azure Active Directory et d'Office 365 Advanced Security Management (O365 E5).
Présentation des différentes façon de mettre à disposition des utilisateurs des applications SaaS à l’aide du portail Azure Active Directory. Vous verrez dans cette session les différents types d’intégration et comment on les configure concrètement à l’aide de démo.
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMMaxime Rastello
Découvrez comment sécuriser l'accès à vos services SaaS et Office 365 grâce à Azure Active Directory Premium et Office 365 Advanced Security Management.
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryMicrosoft Décideurs IT
En introduction de cette session, nous donnerons une vue historique des évolutions d’Active Directory ces 15 dernières années, et en quoi l’émergence de nouveaux usages ont conduit à l’apparition d’Azure Active Directory. Dans un second temps, nous effectuerons un tour d’horizon des fonctionnalités disponibles. Enfin nous mettrons en lumière certaines de ces fonctionnalités, avec une vue fonctionnelle et technique d’ensemble, appuyées par des démonstrations concrètes. Intéressés par l’adaptation des solutions de gestion d’identités et des accès aux applications SaaS ? N’hésitez pas à venir nous voir !
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
Azure Active directory et Microsoft Graph : l'union fait la forceThierry Buisson
par http://twitter.com/YFROUIN
Azure Active Directory
Démo 1 : Mise en place de l’authentification en quelques clics
Microsoft Graph
Démo 2 : Accès aux ressources Azure depuis l’API Graph
Sécurité et éthique
Questions
10 méthodes de sécurisation de votre espace Microsoft 365 - Mohamed Amar ATHIEMohamed Amar ATHIE
Dans cette session nous présentons différents mécanismes et bonnes pratiques de sécurisation de votre environnement Microsoft 365. Cette session s'adresse aux administrateurs , RSSI, DSI.
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)Microsoft Décideurs IT
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). La technologie ADFS (Active Directory Federation Services) dans Windows Server 2012 R2 a introduit la capacité d’enregistrement d’appareils pour permettre à des appareils de joindre un lieu de travail et offrir ainsi une expérience utilisateur proche de ce qui était traditionnellement proposé avec des appareils membres d’un domaine pour l’accès aux ressources de l'entreprise. Azure Active Directory (Azure AD) permet désormais également d’enregistrer les appareils des utilisateurs pour l’accès aux applications cloud (hybride). Fonctionnant de concert avec la technologie AD FS, il est ainsi possible de permettre aux utilisateurs finaux d'accéder depuis les appareils de leur choix aux ressources de l'entreprise à demeure ou dans le cloud (hybride) via une connexion depuis le réseau interne de l’entreprise ou sur Internet, et ce tout en offrant les nécessaires niveaux d’assurance et de sécurité souhaités. Cette session reviendra sur la notion d’enregistrement d’appareils et illustrera comment mettre en œuvre une configuration hybride de ce type pour pouvoir définir ensuite des stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’Azure AD et d’AD FS. L’accès conditionnel sera abordé dans un temps dans le cadre de la session SEC 307.
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Sujets abordés:
L’identité Microsoft : Comprendre l’identité chez Microsoft
L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
Retour d’expérience
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Bonnes pratiques pour la gestion des opérations de sécurité AWSJulien SIMON
Modèle de sécurité partagée
Protection des données
Gestion des utilisateurs et des autorisations
Journalisation des données
Automatisation des vérifications
Pour ce tout premier DeepDive, venez découvrir les fonctionnalités d'Azure Active Directory Identity Protection.Grâce à Azure AD Identity Protection, vous pourrez monitorer et sécuriser l'accès aux applications SaaS Azure et Office 365, et prendre des actions de remédiation sur les comptes de vos utilisateurs à risque.
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
"La gestion et la sécurisation des identités cloud est, de nos jours, un sujet plus qu’essentiel. Venez découvrir au travers de cette session notre retour d’expérience sur les méthodes de gestion et de sécurisation de votre environnement Azure Active Directory.
Nous aborderons également les produits Azure AD Identity Protection et Azure AD Privileged Identity Management, inclus dans la suite Azure AD Premium P2."
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMaxime Rastello
La gestion et la sécurisation des identités cloud est, de nos jours, un sujet plus qu’essentiel. Venez découvrir au travers de cette session notre retour d’expérience sur les méthodes de gestion et de sécurisation de votre environnement Azure Active Directory.
Nous aborderons également les produits Azure AD Identity Protection et Azure AD Privileged Identity Management, inclus dans la suite Azure AD Premium P2
Venez découvrir tous les enjeux de la sécurité avec SQL Server 2012. Nous aborderons les bonnes pratiques et la méthodologie pour sécuriser vos bases de données. Nous entrerons dans le détail de certains points techniques comme par exemple l’AUDIT ou le chiffrement. Cette session sera aussi l’occasion de voir les nouveautés de la version 2012 en matière de sécurité.
En introduction de cette session, nous donnerons une vue historique des évolutions d’Active Directory ces 15 dernières années, et en quoi l’émergence de nouveaux usages ont conduit à l’apparition d’Azure Active Directory. Dans un second temps, nous effectuerons un tour d’horizon des fonctionnalités disponibles. Enfin nous mettrons en lumière certaines de ces fonctionnalités, avec une vue fonctionnelle et technique d’ensemble, appuyées par des démonstrations concrètes. Intéressés par l’adaptation des solutions de gestion d’identités et des accès aux applications SaaS ? N’hésitez pas à venir nous voir !
3. #VACD
The Kill Chain
Brute force account ou
utilisation de comptes
compromis
Informations
collectées
Exploitation
& Installation
Commande
& Controle
Navigation sur
site Web
Phishing
mail
Ouverture de
pièce jointe
Click sur URL
Accès aux données
sensibles
Données
exfiltrées
User account
est compromis
Tentative de “lateral
movement”
Compte avec
privilege
compromis
Domaine
compromis
6. #VACD
Langage de requête : KQL
Langage de requête
permettant
d’analyser les logs
Requêtes simples,
mais également des
fonctionnalités
avancées telles que
les agrégations, les
jointures et les smart
analyses.
7. #VACD
Azure Sentinel :
Microsoft Azure
Sentinel est une
solution native cloud
et scalable de type
SIEM (Security
Information and
Event Management)
et SOAR (Security
Orchestrated
Automated
Response)
9. #VACD
Stop BLABLA… • Attaque d’une VM dans Azure
• Attaque par dictionnaire
• Détection d’activité
PowerShell suspecte
• Exécution d’un process
SVCHOST
• Détection action sur la
base de registre
10. #VACD
Préparation
• Des VMs dans Azure avec une adresse IP Publique sans NSG, et on
attend
• Security Center Playbook: Hunting Threats
• https://gallery.technet.microsoft.com/Azure-Security-Center-
549aa7a4
14. #VACD
Premières requêtes
//Afficher sous forme de graphe la liste des 10 comptes les
plus utilisés
SecurityEvent
|where TimeGenerated > ago(7d)
|where EventID == 4625
|summarize count() by Account | render timechart
|top 10 by count_ desc
15. #VACD
Premières requêtes
//Afficher sous forme de graphe le nombre de tentaitves
par jour
SecurityEvent
|where TimeGenerated > ago(14d)
|where EventID == 4625
|summarize count() by tostring(EventID),
bin(TimeGenerated, 1d)
| render barchart
19. #VACD
Stop BLABLA…
• Usurpation d’identité dans O365
• Attaque par
dictionnaire
• Identification d’une
connexion depuis une
adresse à Risque
• Voyage impossible
• Partage de document
non autorisé
20. #VACD
Préparation
• Azure Sentinel Connector : AAD, Office 365, CloudApp Security
• Environnement : une VM cliente dans le Cloud, et un poste en local
• Configuration CloudApp Security avec adresses IP à risque + domaines
interdits
24. #VACD
Requête : Activité à fort privilège
• Question : est-ce que cet utilisateurs à réaliser d’autres actions non
conforme
• Il s’agit d’un compte à privilège, a-t-il réalisé une réinitialisation de
mot de passe depuis cette adresse IP ?
25. #VACD
Requête : Activité à fort privilège
let useradminreset = (){
// Function to obtain the list of User who have made Reset Password
AuditLogs
| where OperationName == "Reset user password"
| where TimeGenerated >= ago(7d)
| summarize User=makeset(InitiatedBy.user.userPrincipalName)
};
SigninLogs
|where UserPrincipalName in (useradminreset)
| where TimeGenerated >= ago(7d)
|where IPAddress contains "40.68"
|project UserPrincipalName, IPAddress, TimeGenerated
|summarize IPadress=makeset(IPAddress)