Partager via

Visibilité, automatisation et orchestration avec la Confiance Zéro

L'un des changements de perspective significatifs qui caractérise les cadres de sécurité à confiance nulle est l'abandon de la confiance par défaut au profit de la confiance par exception. Cependant, vous devez disposer d'un moyen fiable d'établir la confiance lorsque celle-ci est nécessaire. Étant donné que vous ne supposez plus que les requêtes sont dignes de confiance, il est essentiel de mettre en place un moyen d’attester de la fiabilité de la requête pour prouver sa fiabilité à un point dans le temps. Cette attestation requiert la possibilité d’obtenir une visibilité des activités sur et autour de la requête.

Dans nos autres guides sur la Confiance Zéro, nous avons défini l’approche d’implémenter une Confiance Zéro de bout en bout sur les identités, les points de terminaison et les appareils, les données, les applications, l’infrastructure et le réseau. Tous ces investissements augmentent votre visibilité, ce qui vous donne de meilleures données pour prendre des décisions fiables. Cependant, en adoptant une approche Confiance Zéro dans ces six domaines, vous augmentez nécessairement le nombre d'incidents que les analystes des centres des opérations de sécurité (SOC) doivent atténuer. Vos analystes sont plus occupés que jamais, à un moment où il y a déjà une pénurie de talents. Un trop grand nombre d’alertes entraînent une fatigue chronique des alertes et les analystes manquent d’alertes critiques.

Diagramme de fonctionnalités intégrées permettant de gérer les menaces.

Avec chacun de ces éléments qui génèrent leurs propres alertes appropriées, nous avons besoin d’une fonctionnalité intégrée pour gérer le flux de données qui en résulte et ainsi nous défendre mieux contre les menaces et valider la fiabilité d’une transaction.

Vous souhaitez pouvoir :

  • Détecter les menaces et les vulnérabilités.
  • Mener une enquête.
  • Répondre.
  • Chasser.
  • Fournir un contexte supplémentaire par le biais de l’analyse des menaces.
  • Évaluer les vulnérabilités.
  • Obtenir l'aide d'experts de renommée mondiale
  • Empêcher ou bloquer les événements qui se produisent à travers les piliers.

La gestion des menaces inclut la détection réactive et proactive et nécessite des outils qui prennent en charge les deux.

On parle de détection réactive lorsque des incidents sont déclenchés par l'un des six piliers et peuvent faire l'objet d'une enquête. En outre, un outil de gestion tel qu’un produit SIEM (Security Information and Event Management) prendra probablement en charge une autre couche d’analyse qui enrichira et mettra en corrélation les données, ce qui aboutira à l’identification d’un incident comme problématique. L'étape suivante consisterait alors à enquêter pour obtenir le récit complet de l'attaque.

La détection proactive consiste à appliquer la chasse aux données pour prouver une hypothèse compromise. La chasse aux menaces part de l'hypothèse que vous avez été victime d'une violation : vous recherchez la preuve qu'il y a bien eu une violation.

La chasse aux menaces commence par une hypothèse basée sur les menaces actuelles, comme les attaques par hameçonnage COVID-19. Les analystes partent de cette menace hypothétique, identifient les principaux indicateurs de compromission et parcourent les données pour voir s'il existe des preuves que l'environnement a été compromis. S'il existe des indicateurs, les scénarios de chasse peuvent donner lieu à des analyses qui préviennent les organisations si certains indicateurs se reproduisent.

Quoi qu'il en soit, une fois qu'un incident est détecté, vous devez mener une enquête afin de reconstituer l'histoire complète de l'attaque. Qu'est-ce que l'utilisateur a fait d'autre ? Quels sont les autres systèmes impliqués ? Quels exécutables ont été lancés ?

Si une enquête débouche sur des enseignements exploitables, vous pouvez prendre des mesures correctives. Par exemple, si une enquête détecte des lacunes dans un déploiement Confiance Zéro, les stratégies peuvent être modifiées pour répondre à ces lacunes et empêcher les incidents indésirables futurs. Dans la mesure du possible, il est souhaitable d’automatiser les étapes de correction, car elle réduit le temps nécessaire à un analyste SOC pour résoudre la menace et passer à l’incident suivant.

Une autre composante clé de l’évaluation des menaces consiste à intégrer le renseignement connu sur les menaces contre les données ingérées. Si une IP, un code de hachage, une URL, un fichier, un exécutable, etc. sont connus pour être mauvais, ils peuvent être identifiés, examinés et corrigés.

Dans le pilier d’infrastructure, du temps a été consacré à la lutte contre les vulnérabilités. Si l'on sait qu'un système est vulnérable et qu'une menace a tiré parti de cette vulnérabilité, il est possible de la détecter, d'enquêter et d'y remédier.

Afin d'utiliser ces tactiques pour gérer les menaces, vous devez disposer d'une console centrale permettant aux administrateurs du SOC de détecter, d'enquêter, de corriger, de repérer, d'utiliser les renseignements sur les menaces, de comprendre les vulnérabilités connues, de s'appuyer sur les experts en matière de menaces et de bloquer les menaces dans chacun des six piliers. Les outils nécessaires pour prendre en charge ces phases fonctionnent mieux s'ils sont regroupés en un seul flux de travail, offrant une expérience transparente qui accroît l'efficacité de l'analyste SOC.

Les centres d'opérations de sécurité déploient souvent une combinaison de technologies SIEM et SOAR pour collecter, détecter et investiguer les menaces, et y répondre. Microsoft fournit Microsoft Sentinel dans le cadre de son offre de SIEM en tant que service. Microsoft Sentinel ingère tous les données de Microsoft Defender pour Identity et les données tierces.

Microsoft 365 Defender, un flux clé dans Azure Sentinel, fournit une suite unifiée de défense d'entreprise qui apporte une protection, une détection et une réponse adaptées au contexte sur l’ensemble des composants Microsoft 365. Grâce à la prise en compte du contexte et de la coordination, les clients qui utilisent Microsoft 365 peuvent obtenir une visibilité et une protection sur les points de terminaison, les outils de collaboration, les identités et les applications.

C’est à travers cette hiérarchie que nous permettons à nos clients d’optimiser leur focus. Grâce à la conscience contextuelle et à la remédiation automatisée, Microsoft 365 Defender peut détecter et arrêter de nombreuses menaces sans ajouter à la fatigue due aux alertes pour le personnel du SOC déjà surchargé. La chasse avancée au sein de Microsoft 365 Defender apporte ce contexte à la chasse pour se concentrer sur de nombreux points d’attaque clés. Et la chasse et l'orchestration de l'ensemble de l'écosystème grâce à Azure Sentinel permettent d'obtenir la bonne visibilité sur tous les aspects d'un environnement hétérogène, tout en minimisant la surcharge cognitive de l'opérateur.

Objectifs de déploiement en termes de visibilité, automatisation et orchestration avec la Confiance Zéro

Lors de l’implémentation d’une infrastructure de Confiance Zéro de bout en bout à des fins de visibilité, automatisation et orchestration, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :

Icône de liste avec une coche.

I.Établissez la visibilité.

II.Activez l'automatisation.

Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :

Icône de liste avec deux coches.

III.Permettez des contrôles supplémentaires de protection et de détection.

Guide de déploiement de Zero Trust : visibilité, automatisation et orchestration

Ce guide vous accompagne tout au long des étapes nécessaires à la gestion de la visibilité, de l’automatisation et de l’orchestration selon les principes d’une infrastructure de sécurité Confiance Zéro.




Icône de liste de contrôle avec une coche.

Objectifs de déploiement initiaux

I. Établir la visibilité

La première étape consiste à établir la visibilité en activant la Protection Microsoft contre les menaces (MTP).

Procédez comme suit :

  1. Inscrivez-vous à l’une des charges de travail de Microsoft 365 Defender.
  2. Activez les charges de travail et établissez la connectivité.
  3. Configurez la détection sur vos appareils et votre infrastructure pour apporter une visibilité immédiate sur les activités en cours dans l'environnement. Vous obtenez ainsi le « signal de démarrage » indispensable pour lancer le flux de données essentielles.
  4. Activez Microsoft 365 Defender pour obtenir une visibilité et une détection des incidents d’une charge de travail à l’autre.

II. Activer l'automatisation

L’étape clé suivante, une fois que vous avez établi la visibilité, consiste à activer l’automatisation.

Investigations et correction automatisées

Avec Microsoft 365 Defender, nous avons automatisé à la fois les investigations et la correction, ce qui fournit essentiellement une analyse SOC supplémentaire de niveau 1.

L'investigation et la correction automatisées (AIR) peuvent être activées progressivement, afin que vous puissiez vous sentir à l'aise avec les actions qui sont prises.

Procédez comme suit :

  1. Activez AIR pour un groupe de test.
  2. Analysez les étapes de l'enquête et les actions de réponse.
  3. Passez progressivement à l'approbation automatique pour tous les appareils afin de réduire le temps de détection et de réponse.

Pour obtenir une visibilité sur les incidents résultant du déploiement d’un modèle Confiance Zéro, il est important de connecter Microsoft 365 Defender, Microsoft Purview Data Connectors et les produits tiers pertinents à Azure Sentinel afin de fournir une plateforme centralisée pour l’investigation et la réponse aux incidents.

Dans le cadre du processus de connexion des données, des analyses pertinentes peuvent être activées pour déclencher des incidents et des classeurs peuvent être créés pour une représentation graphique des données dans le temps.

Bien que l'analytique de l'apprentissage automatique et de fusion soit prête à l’emploi, il est également utile d’ingérer des données de renseignement sur les menaces dans Microsoft Sentinel pour aider à identifier les événements liés aux entités malveillantes connues.




Icône de liste de contrôle avec deux coches.

Objectifs de déploiement supplémentaires

III. Activez des contrôles supplémentaires de protection et de détection

L’activation de contrôles supplémentaires améliore le signal entrant dans Microsoft 365 Defender et Sentinel pour améliorer votre visibilité et votre capacité à orchestrer les réponses.

Les contrôles de réduction de la surface d’attaque représentent une telle opportunité. Ces contrôles de protection ne se contentent pas de bloquer certaines activités qui sont le plus souvent associées à des logiciels malveillants, mais ils permettent également de déceler les tentatives d'utilisation d'approches spécifiques, ce qui peut aider à détecter les adversaires qui utilisent ces techniques plus tôt dans le processus.

Produits abordés dans ce guide

Microsoft Azure

Microsoft Defender pour l'Identité

Microsoft Sentinel

Microsoft 365

Protection contre les menaces Microsoft



Série de guides de déploiement de la Confiance Zéro

Icône pour la présentation

Icône pour l'identité

Icône pour les points de terminaison

Icône pour les applications

Icône pour les données

Icône pour l’infrastructure

Icône pour les réseaux

Icône pour Visibilité, automatisation et orchestration

  • Last updated on