Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce guide de solution vous montre comment configurer des outils de détection et de réponse (XDR) Microsoft et comment les intégrer à Microsoft Sentinel afin que votre organisation puisse répondre et corriger les attaques de cybersécurité plus rapidement.
Microsoft Defender XDR est une solution XDR qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement Microsoft 365.
Microsoft Sentinel est une solution native cloud qui fournit des fonctionnalités SIEM (Security Information and Event Management) et d’orchestration de sécurité, d’automatisation et de réponse (SOAR). Ensemble, Microsoft Sentinel et Microsoft Defender XDR fournissent une solution complète pour aider les organisations à se défendre contre les attaques modernes.
Ces conseils vous aident à améliorer votre architecture Confiance Zéro en mappant les principes de Confiance Zéro de la manière suivante :
| Principe de confiance zéro | Respecté par |
|---|---|
| Vérifiez explicitement. | Microsoft Sentinel collecte des données à partir de l’environnement et analyse les menaces et anomalies afin que votre organisation et toute automatisation puisse agir sur des données vérifiées. Microsoft Defender XDR fournit une détection et une réponse étendues entre les utilisateurs, les identités, les appareils, les applications et les e-mails. Configurez l’automatisation De Microsoft Sentinel pour utiliser les signaux basés sur les risques capturés par Microsoft Defender XDR pour prendre des mesures, telles que le blocage ou l’autorisation du trafic en fonction du risque. |
| Utiliser le droit d'accès minimal | Microsoft Sentinel détecte une activité anormale par le biais de son moteur UEBA. À mesure que les scénarios de sécurité changent rapidement, son renseignement sur les menaces importe des données provenant de Fournisseurs Microsoft et tiers pour détecter et contextualiser les menaces émergentes. Microsoft Defender XDR inclut Microsoft Entra ID Protection pour bloquer les utilisateurs en fonction du risque d’identité. Alimentez les données associées dans Microsoft Sentinel pour une analyse et une automatisation supplémentaires. |
| Supposer une violation | Microsoft Defender XDR analyse en permanence l’environnement pour détecter les menaces et les vulnérabilités. Microsoft Sentinel analyse les données collectées et les tendances comportementales pour détecter les activités suspectes, les anomalies et les menaces multistages au sein de l’entreprise. Microsoft Defender XDR et Microsoft Sentinel implémentent des tâches de correction automatisées, notamment des enquêtes, l’isolation des appareils et la mise en quarantaine des données. Utilisez le risque d’appareil comme signal pour l’accès conditionnel de Microsoft Entra. |
Prise en main de Microsoft Defender XDR
Le déploiement de Microsoft Defender XDR est un excellent point de départ pour la création de capacités de détection et de réponse des incidents au sein de votre organisation. Defender XDR est inclus dans Microsoft 365 E5 et vous pouvez même commencer à utiliser des licences d’évaluation Microsoft 365 E5. Defender XDR peut être intégré à Microsoft Sentinel ou à un outil SIEM générique.
Pour plus d’informations, consultez Pilote et déploiement de Microsoft Defender XDR.
Architecture Microsoft Sentinel et XDR
Les clients Microsoft Sentinel peuvent utiliser l’une de ces méthodes pour intégrer Microsoft Sentinel aux services XDR Microsoft Defender :
Intégrez Microsoft Sentinel au portail Defender pour l’utiliser avec Microsoft Defender XDR pour les opérations de sécurité unifiées. Affichez les données Microsoft Sentinel directement dans le portail Defender en même temps que vos incidents, alertes, vulnérabilités et données de sécurité.
Utilisez des connecteurs de données Microsoft Sentinel pour ingérer des données de service Microsoft Defender XDR dans Microsoft Sentinel. Affichez les données Microsoft Sentinel dans le portail Azure.
Ce centre d’aide fournit des informations pour les deux méthodes. Si vous avez intégré votre espace de travail au portail Defender, utilisez-le ; si ce n’est pas le cas, utilisez le portail Azure, sauf indication contraire.
L’illustration suivante montre comment la solution XDR de Microsoft s’intègre à Microsoft Sentinel dans le portail Defender.
Dans ce diagramme :
- Les insights provenant des signaux de l’ensemble de votre organisation alimentent Microsoft Defender XDR et Microsoft Defender pour le cloud.
- Microsoft Sentinel prend en charge les environnements multicloud et s’intègre aux applications et partenaires tiers.
- Les données Microsoft Sentinel sont ingérées avec les données de votre organisation dans le portail Microsoft Defender.
- Les équipes SecOps peuvent analyser et répondre aux menaces identifiées par Microsoft Sentinel et Microsoft Defender XDR dans le portail Microsoft Defender.
Fonctionnalités clés
Implémentez une approche confiance zéro pour gérer les incidents à l’aide des fonctionnalités Microsoft Sentinel et Defender XDR. Pour les espaces de travail intégrés au portail Defender, utilisez Microsoft Sentinel dans le portail Defender.
| Capabilité ou fonctionnalité | Descriptif | Produit |
|---|---|---|
| Réponse & d’investigation automatisée (AIR) | Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives de grande valeur. | Microsoft Defender XDR |
| Chasse avancée | La chasse avancée est un outil de chasse aux menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements sur votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles. | Microsoft Defender XDR |
| Indicateurs de fichier personnalisés | Empêchez une propagation supplémentaire d’une attaque dans votre organisation en interdisant les fichiers potentiellement malveillants ou les programmes malveillants suspects. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analyse les journaux de trafic collectés par Defender pour point de terminaison et évalue les applications identifiées sur le catalogue d’applications cloud pour fournir des informations de conformité et de sécurité. | Microsoft Defender pour les applications cloud |
| Indicateurs réseau personnalisés | En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer des adresses IP, des URL ou des domaines en fonction de vos propres renseignements sur les menaces. | Microsoft Defender XDR |
| Blocage de la détection et de la réponse du point terminal (EDR) | Fournit une protection ajoutée contre les artefacts malveillants lorsque l’antivirus Microsoft Defender (MDAV) n’est pas le produit antivirus principal et s’exécute en mode passif. EDR en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés par les fonctionnalités EDR. | Microsoft Defender XDR |
| Fonctionnalités de réponse des appareils | Répondre rapidement aux attaques détectées en isolant des appareils ou en collectant un package d’investigation | Microsoft Defender XDR |
| Réponse en direct | La réponse en direct permet aux équipes des opérations de sécurité d’accéder instantanément à un appareil (également appelé machine) à l’aide d’une connexion shell à distance. Cela vous donne le pouvoir d’effectuer un travail d’investigation approfondi et de prendre des mesures d’intervention immédiates pour contenir rapidement les menaces identifiées en temps réel. | Microsoft Defender XDR |
| Sécuriser les applications cloud | Solution d’opérations de sécurité de développement (DevSecOps) qui unifie la gestion de la sécurité au niveau du code dans les environnements multicloud et multi pipelines. | Microsoft Defender pour le cloud |
| Renforcer votre posture de sécurité | Solution de gestion de la posture de sécurité cloud (CSPM) qui expose les actions que vous pouvez entreprendre pour empêcher les violations. | Microsoft Defender pour le cloud |
| Protéger les charges de travail cloud | Plateforme de protection de charge de travail cloud (CWPP) avec des protections spécifiques pour les serveurs, les conteneurs, le stockage, les bases de données et autres charges de travail. | Microsoft Defender pour le cloud |
| Analyse comportementale des utilisateurs et des entités (UEBA) | Analyse le comportement des entités d’organisation telles que les utilisateurs, les hôtes, les adresses IP et les applications | Microsoft Sentinel |
| Fusion | Moteur de corrélation basé sur des algorithmes de Machine Learning évolutifs. Détecte automatiquement les attaques en plusieurs étapes également appelées menaces persistantes avancées (APT) en identifiant les combinaisons de comportements anormaux et d’activités suspectes observées à différentes étapes de la chaîne de destruction. | Microsoft Sentinel |
| Threat Intelligence | Utilisez des fournisseurs tiers Microsoft pour enrichir les données pour fournir un contexte supplémentaire autour des activités, des alertes et des journaux d’activité dans votre environnement. | Microsoft Sentinel |
| Automatisation | Les règles d’automatisation sont un moyen de gérer de manière centralisée l’automatisation avec Microsoft Sentinel, en vous permettant de définir et de coordonner un petit ensemble de règles pouvant s’appliquer dans différents scénarios. | Microsoft Sentinel |
| Règles d’anomalie | Les modèles de règle d’anomalie utilisent le Machine Learning pour détecter des types spécifiques de comportement anormal. | Microsoft Sentinel |
| Requêtes planifiées | Règles intégrées écrites par les experts de sécurité Microsoft qui effectuent une recherche dans les journaux collectés par Microsoft Sentinel pour les chaînes d’activité suspectes, menaces connues. | Microsoft Sentinel |
| Règles de quasi-temps réel (NRT) | Les règles NRT sont un ensemble limité de règles planifiées, conçues pour s’exécuter une fois par minute afin de vous fournir des informations aussi à jour que possible up-to. | Microsoft Sentinel |
| Chasse | Pour aider les analystes de sécurité à rechercher de manière proactive les nouvelles anomalies qui n’ont pas été détectées par vos applications de sécurité ou même par vos règles d’analyse planifiées, les requêtes de repérage intégrées de Microsoft Sentinel vous guident pour poser les bonnes questions pour trouver des problèmes dans les données que vous avez déjà sur votre réseau. | Microsoft Sentinel Pour les espaces de travail intégrés au portail Defender, utilisez la fonctionnalité de repérage avancée du portail Microsoft Defender. |
| Connecteur Microsoft Defender XDR | Le connecteur Microsoft Defender XDR synchronise les journaux et les incidents avec Microsoft Sentinel. | Microsoft Defender XDR et Microsoft Sentinel |
| Connecteurs de données | Autorisez l’ingestion de données à des fins d’analyse dans Microsoft Sentinel. | Microsoft Sentinel |
| Solution de hub de contenu -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) inclut un document de travail, des règles analytiques et un playbook, qui fournissent une visualisation automatisée des principes de Zero Trust, mappés au cadre des connexions Internet de confiance, aidant les organisations à suivre l’évolution des configurations au fil du temps. | Microsoft Sentinel |
| Orchestration de la sécurité, automatisation et réponse (SOAR) | L’utilisation de règles d’automatisation et de playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous permet de gagner du temps et des ressources. | Microsoft Sentinel |
| Optimisations SOC | Fermez les lacunes de couverture contre des menaces spécifiques et renforcez vos taux d’ingestion par rapport aux données qui ne fournissent pas de valeur de sécurité. | Microsoft Sentinel Pour les espaces de travail intégrés au portail Defender, utilisez l’optimisation SOC dans le portail Microsoft Defender. |
Qu’est-ce qu’il y a dans cette solution ?
Cette solution aide votre équipe d’opérations de sécurité à corriger les incidents à l’aide d’une approche confiance zéro en vous guidant dans l’implémentation de Microsoft Sentinel et de Microsoft Defender XDR. L’implémentation inclut ces phases :
| Étape | Descriptif |
|---|---|
| 1. Pilotez et déployez des services Microsoft Defender XDR | Commencez par piloter les services Microsoft Defender XDR afin de pouvoir évaluer leurs fonctionnalités et fonctionnalités avant de terminer le déploiement au sein de votre organisation. |
| 2. Planifier votre déploiement | Ensuite, planifiez votre déploiement SIEM et XDR complet, y compris les services XDR et l’espace de travail pour Microsoft Sentinel. |
| 3. Configurer des outils XDR et concevoir votre espace de travail | Dans cette phase, déployez les services XDR que vous avez décidé d’utiliser dans votre environnement, déployez Microsoft Sentinel et d’autres services pour prendre en charge votre solution SIEM et XDR. Si vous envisagez de travailler à partir du portail Azure, ignorez l’étape pour connecter Microsoft Sentinel au portail Microsoft Defender. Cette étape s’applique uniquement si vous souhaitez utiliser le portail Microsoft Sentinel Defender et n’est pas pertinente si vous souhaitez répondre aux incidents dans le portail Azure. |
| 4. Répondre aux incidents | Enfin, répondez aux incidents selon que vous vous êtes intégré ou non au portail Defender : - Répondre à un incident à partir du portail Defender - Répondre à un incident à partir du portail Azure |
Contenu connexe
Pour plus d’informations, consultez sécurité Confiance Zéro avec Microsoft Sentinel et Defender XDR et contenu associé pour votre portail :
Pour plus d’informations sur l’application des principes de confiance zéro dans Microsoft 365, consultez :
- plan de déploiement Zero Trust avec Microsoft 365
- Déployer votre infrastructure d’identité pour Microsoft 365
- Configurations de Zero Trust pour l'accès aux identités et aux appareils
- Gérer les appareils avec Microsoft Intune
- Gérer la confidentialité des données et la protection des données avec Microsoft Privé et Microsoft Purview
- Intégrer des applications SaaS dans le cadre de Zero Trust avec Microsoft 365