Base de référence de sécurité Microsoft pour Microsoft Sentinel
Cette base de référence de sécurité applique des conseils du benchmark de sécurité cloud Microsoft version 1.0 à Microsoft Sentinel. Le benchmark de sécurité cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les instructions associées applicables à Microsoft Sentinel.
Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour cloud.
Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations de benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.
Remarque
Les fonctionnalités non applicables à Microsoft Sentinel ont été exclues. Pour voir comment Microsoft Sentinel est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de référence de sécurité Microsoft Sentinel.
Profil de sécurité
Le profil de sécurité récapitule les comportements à fort impact de Microsoft Sentinel, ce qui peut entraîner une augmentation des considérations de sécurité.
| L'attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Sécurité |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | Faux |
| Stocke le contenu des clients au repos | Vrai |
Sécurité réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : sécurité réseau.
NS-1 : Établir des limites de segmentation du réseau
Fonctionnalités
Intégration de réseau virtuel
Description: le service prend en charge le déploiement dans le réseau virtuel privé du client. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : Utiliser le système centralisé d'identité et d'authentification
Fonctionnalités
Authentification Azure AD requise pour l’accès au plan de données
Description: le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Méthodes d’authentification locales pour l’accès au plan de données
Description: méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur local et un mot de passe. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
IM-3 : Gérer les identités d'application de manière sécurisée et automatique
Fonctionnalités
Identités managées
Description: les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, ce qui peut s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). Les identifiants d’identité managée sont entièrement gérés, rotés et protégés par la plateforme, ce qui évite les identifiants codés en dur dans le code source ou les fichiers de configuration.
Référence : authentifier des playbooks auprès de Microsoft Sentinel
Principaux de service
Description : le plan de données prend en charge l’authentification à l’aide de principaux de service. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: il n’existe aucun guide Microsoft actuel pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organisation souhaite configurer cette fonctionnalité de sécurité.
Référence : authentifier des playbooks auprès de Microsoft Sentinel
IM-7 : Restreindre l’accès aux ressources selon des critères spécifiques.
Fonctionnalités
Accès conditionnel pour le plan de données
Description: l’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: définissez les conditions et critères applicables pour l’accès conditionnel Azure Active Directory (Azure AD) dans la charge de travail. Tenez compte des cas d’usage courants tels que le blocage ou l’octroi d’accès à partir d’emplacements spécifiques, le blocage du comportement de connexion risquée ou l’exigence d’appareils gérés par l’organisation pour des applications spécifiques.
IM-8 : Restreindre l’exposition des identifiants et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes d’administrateur local
Description: le service a le concept d’un compte d’administration local. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
PA-7 : Suivez le principe d’administration suffisante (privilège minimum)
Fonctionnalités
RBAC Azure pour plan de données
Description: Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: utilisez Azure RBAC pour créer et attribuer des rôles au sein de votre équipe d’opérations de sécurité pour accorder l’accès approprié à Microsoft Sentinel. Les différents rôles vous donnent un contrôle précis sur ce que les utilisateurs de Microsoft Sentinel peuvent voir et faire. Les rôles Azure peuvent être attribués directement dans l’espace de travail Microsoft Sentinel, ou dans un abonnement ou un groupe de ressources auquel appartient l’espace de travail, auquel Microsoft Sentinel hérite.
Référence : rôles et autorisations dans Microsoft Sentinel
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de cloud
Fonctionnalités
Customer Lockbox
Description: Customer Lockbox peut être utilisé pour l’accès au support Microsoft. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-1 : Découvrir, classifier et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description: Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: utilisez des outils tels qu’Azure Purview, Azure Information Protection et Azure SQL Data Discovery and Classification pour analyser, classifier et étiqueter de manière centralisée les données sensibles qui résident dans Azure, localement, Microsoft 365 ou d’autres emplacements.
Référence : didacticiel Intégrer Microsoft Sentinel et Microsoft Purview
DP-2 : Surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Fuite de données/protection contre la perte
Description: le service soutient la solution DLP pour surveiller le mouvement des données sensibles (dans le contenu du client). En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: si nécessaire pour la conformité de la protection contre la perte de données (DLP), vous pouvez utiliser une solution DLP basée sur un hôte à partir de la Place de marché Azure ou d’une solution DLP Microsoft 365 pour appliquer des contrôles détectives et/ou préventifs pour empêcher l’exfiltration des données.
Référence: Tutoriel : Intégrer Microsoft Sentinel et Microsoft Purview
DP-3 : Chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description: le service prend en charge le chiffrement des données en cours de transfert pour la couche de données. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-4 : Activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description: le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-5 : Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description: le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: si nécessaire pour la conformité réglementaire, définissez le cas d’utilisation et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et mettez en œuvre le chiffrement des données au repos en utilisant une clé gérée par le client pour ces services.
La solution Microsoft Sentinel utilise plusieurs ressources de stockage pour la collecte de journaux et les fonctionnalités, notamment un cluster dédié Log Analytics. Dans le cadre de la configuration de Microsoft Sentinel CMK, vous devez configurer les paramètres CMK sur le cluster dédié Log Analytics associé. Les données enregistrées par Microsoft Sentinel dans des ressources de stockage autres que Log Analytics seront également chiffrées à l’aide de la clé gérée par le client configurée pour le cluster Log Analytics dédié.
Référence : Configurer la clé gérée par le client Microsoft Sentinel
DP-6 : Utiliser un processus de gestion des clés sécurisé
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description: le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés client, secrets ou certificats. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, notamment la génération de clés, la distribution et le stockage. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de suppression ou de compromission d’une clé. Lorsqu’il est nécessaire d’utiliser la clé gérée par le client (CMK) dans la charge de travail, le service ou le niveau de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via des ID de clé à partir du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos modules HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération de clés initiale et le transfert de clé.
Référence : Configurer la clé gérée par le client Microsoft Sentinel
DP-7 : Utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description: le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement les services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description: les configurations de service peuvent être surveillées et appliquées via Azure Policy. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.
LT-1 : Activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour service / offre de produit
Description: le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation des événements pour l'enquête de sécurité
Fonctionnalités
Journaux des ressources Azure
Description: le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à leur propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Customer |
Guide de configuration: Activez les journaux de ressources pour le service. Par exemple, Key Vault prend en charge des journaux de ressources supplémentaires pour les actions qui récupèrent un secret depuis un coffre de clés, et Azure SQL dispose de journaux de ressources qui suivent les demandes adressées à une base de données. Le contenu des journaux de ressources varie selon le service Azure et le type de ressource.
Référence : Activer l’audit et la surveillance de l’intégrité pour Microsoft Sentinel
Sauvegarde et récupération
Pour en savoir plus, consultez le Point de référence de sécurité Microsoft Cloud : sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatisées régulières
Fonctionnalités
Sauvegarde Azure
Description: le service peut être sauvegardé par le service Sauvegarde Azure. En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Fonctionnalité de sauvegarde native du service
Description : le service prend en charge sa propre fonctionnalité de sauvegarde native (si elle n’utilise pas la sauvegarde Azure). En savoir plus.
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Sans objet | Sans objet |
Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Étapes suivantes
- Consultez l'aperçu du référentiel de sécurité du cloud de Microsoft
- En savoir plus sur bases de référence de sécurité Azure