Dans le monde de la cybersécurité, l'information a une date de péremption très courte. Lorsqu'une équipe SOC (Security Operations Center) est alertée d'une connexion suspecte, se fier à des données obsolètes peut mener à des conclusions dramatiques. C'est le problème fondamental des architectures SIEM traditionnelles : elles interrogent des données qui ont été indexées il y a 5, 10 ou 15 minutes.
Face aux attaques ultra-rapides ciblant les identités (comme le vol de jeton ou le phishing AiTM), l'investigation ne peut pas se permettre d'attendre. C'est ici qu'intervient l'approche d'Analyse JIT (Just-In-Time). Découvrez comment l'interrogation en temps réel des API Microsoft transforme la gestion des identités à risque.
Le problème de la donnée différée (Stale Data)
Imaginons le scénario suivant : Microsoft Entra ID détecte une anomalie et envoie l'événement à un collecteur de logs classique. Le SIEM ingère le log, applique ses règles de corrélation et déclenche une alerte sur le tableau de bord de l'analyste. Ce processus introduit une latence inévitable.
Lorsque l'analyste commence son investigation, il se base sur la "photographie" de l'incident telle qu'elle était au moment de l'alerte. Mais que se passe-t-il si, entre-temps, l'attaquant a changé d'adresse IP ? Que se passe-t-il si le niveau de risque de l'utilisateur a grimpé en flèche parce qu'une nouvelle connexion depuis un nœud Tor (réseau anonymisé) vient de se produire à l'instant même ?
En enquêtant sur des données figées (Stale Data), le SOC N1 risque de classer l'incident comme un faux positif, laissant la porte ouverte au cybercriminel.
Le concept de l'Analyse Just-In-Time (JIT)
L'approche JIT (Just-In-Time) renverse ce paradigme. Au lieu de stocker et d'indexer des gigaoctets de logs de contexte, l'orchestrateur de sécurité interroge la source de vérité absolue (le cloud Microsoft) exactement au moment où l'analyste en a besoin.
C'est le fonctionnement natif du composant de gestion des identités au sein d'Akuity SOC.
Comment cela se traduit-il dans l'interface ?
Sur la page listant les comptes Microsoft Entra ID suspects ("Identités à risque"), l'analyste dispose d'un bouton représenté par une icône en forme d'œil. Ce bouton ne fait pas qu'ouvrir une fenêtre avec des données pré-chargées.
Un clic sur cette icône déclenche une requête API directe (Live Fetch) vers Microsoft Graph (/identityProtection/riskyUsers/{id}/history). Le panneau latéral (UserRiskDetections.tsx) qui s'ouvre affiche alors l'état de la menace à la seconde près.
Les avantages opérationnels du JIT
- Fiabilité absolue : L'analyste voit les tout derniers signaux faibles. Si le pirate tente de se connecter pendant l'investigation, l'événement apparaît immédiatement.
- Performance et légèreté : La base de données d'Akuity (PostgreSQL) n'est pas alourdie par des millions de logs de contexte qui ne seront jamais consultés. Seules les données des utilisateurs faisant l'objet d'une enquête sont récupérées en mémoire cache.
- Auditabilité (SOC 2) : Même la simple consultation d'un profil à risque génère un événement de journalisation certifié (
JITRISKDETECTIONS_CONSULTATION), garantissant que toute action d'investigation est historisée et conforme aux normes d'audit les plus strictes.
Gagner la course contre la montre
Couplée à l'évaluation des réputations d'IP (AlienVault OTX) et à l'IA Gemini, l'analyse JIT apporte une asymétrie informationnelle décisive à votre équipe défensive. Une fois la donnée la plus fraîche confirmée, l'analyste peut déclencher les actions de remédiation SOAR (Révocation de sessions, Réinitialisation de mot de passe) depuis la même interface unifiée, garantissant l'éradication immédiate de la menace.
Ne basez plus vos investigations sur des données obsolètes. > Expérimentez la puissance de l'analyse en temps réel avec notre module de Gestion des Identités à Risque Entra ID.