Analyse de votre infrastructure informatique

Accueil
Azure Portal Cloud Supervision Gestion des incidents Reporting services Gestions des données Inventaires
Monitorpack Discovery Monitorpack Guard Monitorpack Snmp
Tarifs & abonnements Ouvrir un ticket Support en ligne
Downloads Entrerprise Contact


Base de connaissance











Détecter les ransomwares avec Monitorpack

Ce guide fournit une classification complète des indicateurs mesurables permettant de détecter les comportements typiques des ransomwares dans les environnements Microsoft. Il est conçu pour être utilisé avec la solution de surveillance Monitorpack afin de permettre une détection proactive des menaces avant qu'elles ne causent des dommages irréversibles.

Comportements habituels connus des ransomwares

Voici un tableau détaillé, classé par type de source, des indicateurs mesurables et typiques d'une attaque par rançongiciel dans un environnement Microsoft. Ces éléments peuvent servir de déclencheurs dans une solution de surveillance comme Monitorpack.

  • Chiffrement massif de fichiers,
  • Création/modification massive,
  • Consommation anormale du processeur/disque,
  • Services ou processus inhabituels ou inconnus (ID d'événement 4728),
  • Services critiques arrêtés,
  • Connexions réseau suspectes vers des adresses IP externes,
  • Suppression de sauvegardes ou d'instantanés,
  • Messages dans l'Observateur d'événements relatifs à la sécurité ou à la création de fichiers.

Interface réseau

Installation du MonitorpackLes bonnes pratiques de surveillance recommandent de définir une ligne de base au préalable, en sachant que votre ligne de base correspond à des valeurs régulières lorsque tout se passe bien. Sélectionnez des pics réguliers et définissez une valeur de déclenchement égale à 150 % ou au double de cette valeur.

  • Octets envoyés/s : mesure le nombre d'octets envoyés par la carte réseau chaque seconde. Si ce compteur affiche une activité nettement supérieure à la normale, cela peut indiquer une congestion du réseau, comme une attaque par déni de service (DoS) ou un transfert de données excessif.
  • Octets reçus/s : mesure le nombre d'octets reçus par la carte réseau chaque seconde. Une augmentation significative peut indiquer une utilisation excessive de la bande passante par un client ou un trafic entrant anormal.
  • Paquets envoyés/s : nombre de paquets envoyés par la carte réseau chaque seconde. Une augmentation du nombre de paquets envoyés peut indiquer une communication excessive de certaines applications ou une activité suspecte.
  • Paquets reçus/s : nombre de paquets reçus par la carte réseau chaque seconde. Une valeur anormalement élevée peut également indiquer un comportement inhabituel.
  • Bande passante actuelle : indique la bande passante actuellement disponible sur l'interface réseau. Une utilisation proche de la limite peut entraîner une congestion du réseau.

Comment être informé par Monitorpack

Voici un tableau structuré et catégorisé des déclencheurs techniques mesurables dans un environnement Microsoft (serveurs, postes de travail, AD, etc.) pour détecter les signes typiques d'une attaque par rançongiciel. Il couvre les compteurs de performance, les processus, les services, les ports, la réponse réseau, l'Observateur d'événements et d'autres indicateurs disponibles via WMI, PowerShell ou tout autre système de surveillance comme Monitorpack.

Type de source Indicateur mesuré Comportement suspect Critères de détection typiques Catégorie de risque
Processus wmiprvse.exe, vssadmin.exe, bcdedit.exe, powershell.exe, cmd.exe Lancements anormaux ou répétés Création répétée de processus système critiques en peu de temps Exécution malveillante
Processus Processus inconnus avec une utilisation CPU élevée Chiffrement de fichiers par plusieurs threads CPU > 80 % sur un processus inconnu/non signé pendant plusieurs minutes Chiffrement en cours
Performances Compteurs Disque logique(*)\% d'espace libre Baisse soudaine de l'espace disque Perte d'espace disque de plus de 20 % en quelques minutes Suppression/écriture massive
Compteurs de performance Processus(*)\Octets d'écriture d'E/S/s Écriture disque importante Pic soudain d'E/S sur des processus inconnus Chiffrement actif
Observateur d'événements ID d'événement de sécurité 4624/4625 Tentatives de connexion suspectes ou répétées Connexions multiples échouées ou provenant d'adresses IP inconnues Tentative d'intrusion
Services Windows Service VSS désactivé Désactivation de la protection de sauvegarde Service VSS arrêté alors qu'il était actif Altération de sauvegarde
Système de fichiers Extensions .locked, .zzz, .crypted Renommage massif de fichiers Des milliers de fichiers renommés en quelques minutes Activité de rançongiciel
Active Directory (ID d'événement 4728) Utilisateur suspect ajouté aux administrateurs de domaine Élévation de privilèges Modification non autorisée de groupes critiques Compromission AD

Configuration des alarmes

Pour plus d'informations sur les alarmes à mettre en place pour détecter les ransomwares, consultez la page suivante : Comment surveiller la sécurité 

Support & Questions

Si vous avez besoin d'aide, vous pouvez créer un ticket en français et poser vos questions à notre support ici contacter le support Monitorpack