Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Sécurité Microsoft - Gestion de l’exposition assure la sécurité et la disponibilité de vos ressources critiques pour l’entreprise. Les ressources critiques aident l’équipe SOC à hiérarchiser les efforts visant à améliorer la posture de sécurité du organization. Le fait de se concentrer sur les ressources critiques garantit que les ressources les plus importantes sont protégées contre le risque de violations de données et d’interruptions opérationnelles. Cet article explique comment utiliser des ressources critiques.
Criticité des ressources
La criticité d’une ressource est une mesure de l’importance d’une ressource pour les opérations et la posture de sécurité de votre organization. Il reflète une combinaison de son cyber-rôle, de son contexte de production et de son système ou sous-système.
Les ressources sont classées en quatre niveaux de criticité :
- Très élevé - Les actifs de très haute criticité sont essentiels à la survie et à la continuité de votre activité. Leur compromission pourrait entraîner des conséquences catastrophiques.
- Élevé : les ressources à haute criticité sont essentielles aux opérations de base de votre organization. Leur compromission pourrait entraîner des perturbations importantes.
- Moyenne : les ressources de criticité moyenne ont un impact modéré et peuvent affecter certaines fonctions ou processus.
- Faible : les ressources à faible criticité ont un impact minimal sur les opérations et la sécurité de votre entreprise si elles sont compromises.
La compréhension et la catégorisation des ressources en fonction de leur criticité permettent de hiérarchiser les efforts de sécurité et de garantir que les ressources les plus importantes bénéficient du niveau de protection le plus élevé.
L’analyse d’impact et l’analyse des joyaux de la couronne sont des méthodologies essentielles pour identifier et hiérarchiser les ressources critiques. Le National Institute of Standards and Technology (NIST) fournit des lignes directrices pour l’analyse de la criticité, qui se trouvent dans NIST IR 8179.
Le NIST Cybersecurity Framework (CSF) 800-53 met également l’accent sur les conseils pour la gestion des actifs et l’analyse de la criticité, comme indiqué dans ID.AM-05, qui se trouve à l’adresse : https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.
Remarque
Lorsque plusieurs règles de classification s’appliquent à une ressource, la règle avec le niveau de criticité le plus élevé est prioritaire. Cette classification reste en vigueur jusqu’à ce que la ressource ne réponde plus aux critères de cette règle, auquel cas elle revient automatiquement au niveau de classification applicable suivant.
Configuration requise
Avant de commencer, veillez à respecter les exigences suivantes pour l’utilisation des ressources critiques dans Sécurité Microsoft - Gestion de l’exposition.
- Avant de commencer, découvrez la gestion des ressources critiques dans Gestion des expositions.
- Passez en revue les autorisations requises pour travailler avec des ressources critiques.
- Pour que les données de télémétrie de sécurité prennent en charge les cas d’usage MSEM, les points de terminaison doivent exécuter la version 10.3740.XXXX ou une version ultérieure de l’agent Microsoft Defender pour point de terminaison. Nous vous recommandons d’utiliser la dernière version de l’agent, comme indiqué dans la page Nouveautés de Defender pour point de terminaison.
Vous pouvez case activée la version de l’agent qu’un appareil exécute comme suit :
Sur un appareil spécifique, accédez au fichier MsSense.exe dans C :\Program Files\Windows Defender Advanced Threat Protection. Cliquez avec le bouton droit sur le fichier, puis sélectionnez Propriétés. Sous l’onglet Détails, case activée la version du fichier.
Pour plusieurs appareils, il est plus facile d’exécuter une requête Kusto de repérage avancée pour case activée versions de capteur d’appareil, comme suit :
DeviceInfo | project DeviceName, ClientVersion
Passer en revue les ressources critiques
Passez en revue les ressources critiques comme suit.
Dans le portail Microsoft Defender, sélectionnez Paramètres Règles >> Microsoft XDR > Gestion des ressources critiques.
Dans la page Gestion des ressources critiques , passez en revue les classifications de ressources critiques prédéfinies et personnalisées, y compris le nombre de ressources dans la classification, si les ressources sont activées ou désactivées, et les niveaux de criticité.
Remarque
Vous pouvez également voir les ressources critiques dans Ressources > Les appareils>classifient les ressources critiques. En outre, vous pouvez afficher l’initiative Protection des ressources critiques dans Insights d’exposition -> Initiatives.
Demander une nouvelle classification prédéfinie
Suggérer une nouvelle classification à nos équipes de recherche et développement permet d’étendre nos détections prêtes à l’emploi pour inclure des classifications et des rôles qui peuvent être appliqués dans l’écosystème. Cela améliore considérablement le produit, et Microsoft fait tout le travail.
Demandez une nouvelle classification prédéfinie comme suit :
- Dans la page Gestion des ressources critiques , sélectionnez Suggérer une nouvelle classification.
- Renseignez la classification que vous souhaitez voir, puis sélectionnez Envoyer la demande.
Créer une classification personnalisée
Les classifications personnalisées vous permettent d’affiner la logique d’attribution de rôle et le niveau de criticité pour l’aligner sur la stratégie de criticité de votre organization. Par exemple, classifiez des ressources dans un réseau spécifique ou des types de ressources qui doivent avoir un niveau de criticité différent de celui par défaut.
Créez une classification personnalisée comme suit :
Dans la page Gestion des ressources critiques , sélectionnez Créer une classification.
Dans la page Créer une classification de ressources critiques , renseignez les informations suivantes pour définir vos critères de classification :
- Nom : nouveau nom de classification.
- Description : nouvelle description de classification.
-
Générateur de requêtes
- Utilisez le générateur de requêtes pour définir une nouvelle classification, pour instance, « marquer tous les appareils avec une certaine convention d’affectation de noms comme critiques ».
- Ajoutez un ou plusieurs filtres booléens définis par appareil, identité ou ressource cloud.
Après avoir défini les critères, sélectionnez Suivant.
Dans les pages suivantes, affichez un aperçu des ressources affectées et attribuez le niveau de criticité.
Remarque
Dans le portail Microsoft Defender, lors de la création d’une classification de ressources critiques personnalisée, le générateur de requêtes prend uniquement en charge les groupes Active Directory (AD) pour les règles basées sur l’identité. Actuellement, les groupes d’ID Microsoft Entra ne sont pas pris en charge.
Définir les niveaux de ressources critiques
Définissez les niveaux comme suit.
Dans la page Gestion des ressources critiques , sélectionnez une classification de ressources critiques.
Sous l’onglet Vue d’ensemble , sélectionnez le niveau de criticité souhaité.
Sélectionnez Enregistrer.
Remarque
Vous pouvez définir manuellement des niveaux critiques dans l’inventaire des appareils. Nous vous recommandons de créer des règles de criticité qui permettent une large application des niveaux critiques entre les ressources.
Modifier des classifications personnalisées
Modifiez les classifications personnalisées comme suit.
- Dans la page Gestion des ressources critiques , accédez à la classification que vous souhaitez modifier. Seules les classifications personnalisées peuvent être modifiées ou supprimées.
- Sélectionnez Modifier, Supprimer ou Désactiver.
Ajouter des ressources à des classifications prédéfinies
Dans la page Gestion des ressources critiques , sélectionnez la classification des ressources appropriée. La colonne Approbation en attente permet de rechercher les classifications avec des ressources qui n’ont pas atteint le seuil de classification automatique et qui nécessitent l’approbation de l’utilisateur.
Pour voir toutes les ressources de la classification qui sont actuellement considérées comme critiques, sélectionnez l’onglet Ressources .
Pour approuver les ressources qui correspondent à la classification, mais qui sont hors seuil, accédez à Approbation en attente.
Passez en revue les ressources répertoriées. Sélectionnez le bouton plus en regard des ressources que vous souhaitez ajouter.
Remarque
L’approbation en attente s’affiche uniquement lorsqu’il y a des ressources à examiner.
Vous pouvez modifier les niveaux de criticité et désactiver la classification pour toutes les ressources. Vous pouvez également modifier et supprimer des ressources critiques personnalisées.
Supprimer des ressources approuvées des classifications prédéfinies
Dans la page Gestion des ressources critiques , sélectionnez la classification des ressources appropriée.
Pour voir toutes les ressources de la classification qui sont actuellement considérées comme critiques, sélectionnez l’onglet Ressources .
Sélectionnez le X en regard des ressources que vous souhaitez supprimer.
Trier par criticité
Sélectionnez Appareils dans l’inventaire des appareils.
Triez par niveau de criticité pour afficher les ressources critiques pour l’entreprise avec un niveau de criticité « très élevé ».
Hiérarchiser les recommandations pour les ressources critiques
Pour aider à hiérarchiser les recommandations de sécurité et les étapes de correction pour se concentrer sur les ressources critiques, la somme des ressources critiques exposées pour une recommandation peut être consultée à partir de la page Recommandations de sécurité dans le portail Microsoft Defender.
Pour voir la somme des ressources critiques exposées, accédez à la page Recommandations de sécurité :
Étapes suivantes
Découvrez comment simuler des chemins d’attaque.