Appliquer des principes de Confiance Zéro à Microsoft Security Copilot
Résumé : Pour appliquer Confiance Zéro principes à votre environnement pour Microsoft Security Copilot, vous devez appliquer cinq couches de protection :
- Protégez les comptes d’utilisateur d’administrateur et SecOps avec des stratégies d’identité et d’accès.
- Appliquez l’accès de privilège minimum aux comptes d’utilisateur de l’administrateur et du personnel SecOps, y compris l’attribution des rôles de compte d’utilisateur minimum.
- Gérez et protégez les appareils du personnel administrateur et SecOps.
- Déployez ou validez votre protection contre les menaces.
- Sécurisez l’accès aux produits de sécurité tiers que vous intégrez à Security Copilot.
Introduction
Dans le cadre de l’introduction de Microsoft Security Copilot dans votre environnement, Microsoft vous recommande de créer une base solide de sécurité pour vos comptes d’utilisateur et appareils d’utilisateurs et d’appareils du personnel SecOps et d’administrateur. Microsoft recommande également de vous assurer que vous avez configuré des outils de protection contre les menaces. Si vous intégrez des produits de sécurité tiers à Security Copilot, vérifiez également que vous avez protégé l’accès à ces produits et aux données associées.
Heureusement, des conseils pour une base de sécurité solide existent sous la forme de Confiance Zéro. La stratégie de sécurité Confiance Zéro traite chaque demande de connexion et de ressource comme si elle provient d’un réseau non contrôlé et d’un acteur incorrect. Quel que soit l’endroit où provient la demande ou la ressource à laquelle elle accède, confiance zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».
À partir des portails de sécurité, Security Copilot fournit une expérience de copilote d’assistance en langage naturel qui permet de prendre en charge :
Professionnels de la sécurité dans des scénarios de bout en bout tels que la réponse aux incidents, le repérage des menaces, la collecte de renseignements et la gestion de la posture.
Professionnels de l’informatique dans l’évaluation et la configuration des stratégies, la résolution des problèmes d’accès aux appareils et les utilisateurs et la supervision des performances.
Security Copilot utilise des données des journaux d’événements, des alertes, des incidents et des stratégies pour vos abonnements Microsoft et vos produits de sécurité tiers. Si un attaquant compromet un compte d’utilisateur d’administrateur ou de personnel de sécurité auquel un rôle Security Copilot a été attribué, il peut utiliser Security Copilot et ses résultats pour comprendre comment votre équipe SecOps traite les attaques en cours. Un attaquant peut ensuite utiliser ces informations pour contrecarrer les tentatives de réponse à un incident, éventuellement celui qu’il a lancé.
Par conséquent, il est essentiel de vous assurer que vous avez appliqué des atténuations appropriées au sein de votre environnement.
Architecture logique
La première ligne de défense lors de l’introduction de Security Copilot est d’appliquer les principes de Confiance Zéro aux comptes et appareils du personnel administrateur et SecOps. Il est également important de s’assurer que votre organisation applique le principe du privilège minimum. Outre les rôles spécifiques à Copilot, les rôles attribués au personnel administrateur et SecOps au sein de vos outils de sécurité déterminent les données auxquels ils ont accès lors de l’utilisation de Security Copilot.
Il est facile de comprendre pourquoi ces atténuations sont importantes en examinant l’architecture logique de Security Copilot présentée ici.
Comme le montre le diagramme :
Les membres de l’équipe SecOps peuvent inviter à utiliser une expérience de copilote, comme celles proposées par Security Copilot, Microsoft Defender XDR et Microsoft Intune.
Les composants Copilot de sécurité sont les suivants :
Le service Security Copilot, qui orchestre les réponses aux invites basées sur les utilisateurs et les compétences.
Ensemble de modèles de langage volumineux (LLMs) pour Security Copilot.
Plug-ins pour des produits spécifiques. Les plug-ins préinstallés pour les produits Microsoft sont fournis. Ces plugins traitent les invites en amont et en aval.
Vos données d’abonnement. Données SecOps pour les journaux d’événements, les alertes, les incidents et les stratégies stockés dans les abonnements. Pour plus d’informations, consultez cet article Microsoft Sentinel pour les sources de données les plus courantes pour les produits de sécurité.
Fichiers que vous chargez. Vous pouvez charger des fichiers spécifiques dans Security Copilot et les inclure dans l’étendue des invites.
Chaque produit de sécurité Microsoft avec une expérience copilote fournit uniquement l’accès au jeu de données associé à ce produit, tels que les journaux d’événements, les alertes, les incidents et les stratégies. Security Copilot fournit l’accès à tous les jeux de données auxquels l’utilisateur a accès.
Pour plus d’informations, consultez Prise en main de Microsoft Security Copilot.
Comment fonctionne l’authentification au nom de security Copilot ?
Security Copilot utilise l’authentification au nom de (OBO) fournie par OAuth 2.0. Il s’agit d’un flux d’authentification fourni par la délégation dans OAuth. Lorsqu’un utilisateur SecOps émet une invite, Security Copilot transmet l’identité et les autorisations de l’utilisateur via la chaîne de requêtes. Cela empêche l’utilisateur d’obtenir l’autorisation d’accéder aux ressources pour lesquelles il ne doit pas avoir accès.
Pour plus d’informations sur l’authentification OBO, consultez laplateforme d’identités Microsoft et OAuth2.0 flux On-Behalf-Of.
Invite dans un produit de sécurité Microsoft : exemple incorporé pour Microsoft Intune
Lorsque vous utilisez l’une des expériences incorporées de Security Copilot, l’étendue des données est déterminée par le contexte du produit que vous utilisez. Par exemple, si vous émettez une invite dans Microsoft Intune, les résultats sont générés à partir de données et de contexte fournis par Microsoft Intune uniquement.
Voici l’architecture logique lors de l’émission d’invites à partir de l’expérience incorporée Microsoft Intune.
Comme le montre le diagramme :
Les administrateurs Intune utilisent l’expérience Microsoft Copilot dans Intune pour envoyer des invites.
Le composant Security Copilot orchestre les réponses aux invites à l’aide de :
The LLMs for Security Copilot.
Plug-in préinstallé Microsoft Intune.
Données Intune pour les appareils, les stratégies et la posture de sécurité stockées dans votre abonnement Microsoft 365.
Intégration à des produits de sécurité tiers
Security Copilot offre la possibilité d’héberger des plug-ins pour des produits tiers. Ces plug-ins tiers fournissent l’accès à leurs données associées. Ces plug-ins et leurs données associées vivent en dehors de la limite d’approbation de sécurité Microsoft. Par conséquent, il est important de vous assurer que vous avez sécurisé l’accès à ces applications et à leurs données associées.
Voici l’architecture logique de Security Copilot avec des produits de sécurité tiers.
Comme le montre le diagramme :
- Security Copilot s’intègre à des produits de sécurité tiers via des plug-ins.
- Ces plug-ins fournissent un accès aux données associées au produit, telles que les journaux et les alertes.
- Ces composants tiers résident en dehors de la limite d’approbation de sécurité Microsoft.
Application d’atténuations de sécurité à votre environnement pour Security Copilot
Le reste de cet article vous guide tout au long des étapes permettant d’appliquer les principes de Confiance Zéro pour préparer votre environnement pour Security Copilot.
Step | Task | Principes de la Confiance Zéro appliqués |
---|---|---|
1 | Déployez ou validez des stratégies d’identité et d’accès pour le personnel administrateur et SecOps. | Vérifier explicitement |
2 | Appliquez le privilège minimum aux comptes d’utilisateur administrateur et SecOps. | Utiliser le droit d'accès minimal |
3 | Sécuriser les appareils pour l’accès privilégié. | Vérifier explicitement |
4 | Déployez ou validez vos services de protection contre les menaces. | Supposer une violation |
5 | Sécuriser l’accès aux produits et données de sécurité tiers. | Vérifier explicitement Utiliser le droit d'accès minimal Supposer une violation |
Il existe plusieurs approches que vous pouvez adopter pour intégrer le personnel administrateur et SecOps à Security Copilot pendant que vous configurez des protections pour votre environnement.
Intégration par utilisateur à Security Copilot
Au minimum, parcourez une liste de contrôle pour votre administrateur et le personnel SecOps avant d’attribuer un rôle pour Security Copilot. Cela fonctionne bien pour les petites équipes et les organisations qui souhaitent commencer par un test ou un groupe pilote.
Déploiement par phases de Security Copilot
Pour les environnements volumineux, un déploiement par phases plus standard fonctionne bien. Dans ce modèle, vous adressez des groupes d’utilisateurs en même temps pour configurer la protection et attribuer des rôles.
Voici un exemple de modèle.
Dans l’illustration :
- Dans la phase Évaluer , vous choisissez un petit ensemble d’utilisateurs administrateurs et SecOps que vous souhaitez avoir accès à Security Copilot et appliquer des protections d’identité et d’accès et d’appareil.
- Dans la phase Pilote, vous choisissez l’ensemble suivant d’utilisateurs administrateur et SecOps et appliquez des protections d’identité et d’accès et d’appareil.
- Dans la phase Déploiement complet, vous appliquez des protections d’identité et d’accès et d’appareil pour le reste de vos utilisateurs administrateur et SecOps.
- À la fin de chaque phase, vous attribuez le rôle approprié dans Security Copilot aux comptes d’utilisateur.
Étant donné que différentes organisations peuvent se trouver à différentes étapes du déploiement de protections Confiance Zéro pour leur environnement, dans chacune des étapes suivantes :
- Si vous n’utilisez aucune des protections décrites dans l’étape, prenez le temps de les piloter et de les déployer auprès de votre administrateur et du personnel SecOps avant d’attribuer des rôles incluant Security Copilot.
- Si vous utilisez déjà certaines des protections décrites dans l’étape, utilisez les informations de l’étape comme liste de contrôle et vérifiez que chaque protection indiquée a été pilotée et déployée avant d’attribuer des rôles incluant Security Copilot.
Étape 1. Déployez ou validez des stratégies d’identité et d’accès pour le personnel administrateur et SecOps
Pour empêcher les acteurs malveillants d’utiliser Security Copilot pour obtenir rapidement des informations sur les cyberattaques, la première étape consiste à les empêcher d’accéder. Vous devez vous assurer que le personnel administrateur et SecOps :
- Les comptes d’utilisateur sont requis pour utiliser l’authentification multifacteur (MFA) (afin que leur accès ne puisse pas être compromis en devinant les mots de passe utilisateur seuls) et ils sont tenus de modifier leurs mots de passe lorsque l’activité à haut risque est détectée.
- Les appareils doivent se conformer aux stratégies de gestion et de conformité des appareils Intune.
Pour obtenir des recommandations relatives aux stratégies d’identité et d’accès, consultez l’étape d’identité et d’accès dans Confiance Zéro pour Microsoft 365 Copilot. En fonction des recommandations de cet article, vérifiez que votre configuration résultante applique les stratégies suivantes pour tous les comptes d’utilisateur du personnel SecOps et leurs appareils :
- Toujours utiliser l’authentification multifacteur pour les connexions
- Bloquer les clients qui ne prennent pas en charge l’authentification moderne
- Exiger des PC et des appareils mobiles conformes
- Les utilisateurs à haut risque doivent modifier le mot de passe (pour Microsoft 365 E5 uniquement)
- Exiger l’adhésion aux stratégies de conformité des appareils Intune
Ces recommandations s’alignent sur le niveau de protection de sécurité spécialisée dans les stratégies d’accès aux appareils et aux identités Confiance Zéro de Microsoft. Le diagramme suivant illustre les trois niveaux de protection recommandés : Point de départ, Entreprise et Spécialisé. Le niveau de protection d’entreprise est recommandé comme minimum pour vos comptes privilégiés.
Dans le diagramme, les stratégies recommandées pour l’accès conditionnel Microsoft Entra, la conformité des appareils Intune et la protection des applications Intune sont illustrées pour chacun des trois niveaux :
- Point de départ, qui ne nécessite pas de gestion des appareils.
- L’entreprise est recommandée pour Confiance Zéro et au minimum pour l’accès à Security Copilot et à vos produits de sécurité tiers et aux données associées.
- La sécurité spécialisée est recommandée pour l’accès à Security Copilot et à vos produits de sécurité tiers et aux données associées.
Chacune de ces stratégies est décrite plus en détail dans Stratégies communes d'identité et d'accès aux appareils Confiance Zéro pour les organisations Microsoft 365.
Configurer un ensemble distinct de stratégies pour les utilisateurs privilégiés
Lors de la configuration de ces stratégies pour votre administrateur et votre personnel SecOps, créez un ensemble distinct de stratégies pour ces utilisateurs privilégiés. Par exemple, n’ajoutez pas vos administrateurs au même ensemble de stratégies qui régissent l’accès des utilisateurs non privilégiés aux applications telles que Microsoft 365 et Salesforce. Utilisez un ensemble dédié de stratégies avec des protections appropriées pour les comptes privilégiés.
Inclure des outils de sécurité dans l’étendue des stratégies d’accès conditionnel
Pour l’instant, il n’existe pas de moyen simple de configurer l’accès conditionnel pour Security Copilot. Toutefois, étant donné que l’authentification au nom de l’utilisateur est utilisée pour accéder aux données au sein des outils de sécurité, assurez-vous d’avoir configuré l’accès conditionnel pour ces outils, qui peuvent inclure Microsoft Entra ID et Microsoft Intune.
Étape 2. Appliquer le privilège minimum aux comptes d’utilisateur administrateur et SecOps
Cette étape inclut la configuration des rôles appropriés dans Security Copilot. Il inclut également l’examen de vos comptes d’utilisateur administrateur et SecOps pour s’assurer qu’ils reçoivent le moins de privilèges pour le travail qu’ils sont destinés à effectuer.
Attribuer des comptes d’utilisateur aux rôles Security Copilot
Le modèle d’autorisations pour Security Copilot inclut des rôles dans Microsoft Entra ID et Security Copilot.
Produit | Rôles | Description |
---|---|---|
Microsoft Entra ID | Administrateur de sécurité Administrateur général |
Ces rôles Microsoft Entra héritent du rôle de propriétaire Copilot dans Security Copilot. Utilisez uniquement ces rôles privilégiés pour intégrer Security Copilot à votre organisation. |
Sécurité Microsoft Copilot | Propriétaire Copilot Contributeur Copilot |
Ces deux rôles incluent l’accès à l’utilisation de Security Copilot. La plupart de vos administrateurs et membres du personnel SecOps peuvent utiliser le rôle contributeur Copilot . Le rôle de propriétaire Copilot inclut la possibilité de publier des plug-ins personnalisés et de gérer les paramètres qui affectent tous les copilotes de sécurité. |
Il est important de savoir que, par défaut, tous les utilisateurs du locataire reçoivent un accès contributeur Copilot. Avec cette configuration, l’accès à vos données d’outil de sécurité est régi par les autorisations que vous avez configurées pour chacun des outils de sécurité. L’avantage de cette configuration est que les expériences incorporées de Security Copilot sont immédiatement disponibles pour votre administrateur et le personnel SecOps dans les produits qu’ils utilisent quotidiennement. Cela fonctionne bien si vous avez déjà adopté une pratique forte d’accès au moins privilégié au sein de votre organisation.
Si vous souhaitez adopter une approche intermédiaire pour introduire Security Copilot auprès de votre administrateur et du personnel SecOps pendant que vous configurez l’accès le moins privilégié dans votre organisation, supprimez tous les utilisateurs du rôle contributeur Copilot et ajoutez des groupes de sécurité à mesure que vous êtes prêt.
Pour plus d’informations, consultez les ressources Microsoft Security Copilot suivantes :
Configuration ou révision de l’accès au privilège minimum pour les comptes d’utilisateur Administrateur et SecOps
Présentation de Security Copilot est un excellent moment pour passer en revue l’accès de vos comptes d’utilisateur d’administrateur et secOps pour vous assurer que vous suivez avec le principe du moindre privilège pour leur accès à des produits spécifiques. Cela inclut les tâches suivantes :
- Passez en revue les privilèges accordés pour les produits spécifiques avec lesquels votre administrateur et le personnel SecOps travaillent. Par exemple, pour Microsoft Entra, consultez Rôles avec privilèges minimum par tâche.
- Utilisez Microsoft Entra Privileged Identity Management (PIM) pour mieux contrôler l’accès à Security Copilot.
- Utilisez Microsoft Purview Privileged Access Management pour configurer le contrôle d’accès granulaire sur les tâches d’administration privilégiées dans Office 365.
Utilisation de Microsoft Entra Privileged Identity Management avec Security Copilot
Microsoft Entra Privileged Identity Management (PIM) vous permet de gérer, contrôler et surveiller les rôles requis pour accéder à Security Copilot. Avec PIM, vous pouvez :
- Fournir l’activation de rôle basée sur le temps.
- Exiger une approbation pour activer les rôles privilégiés.
- Appliquer l’authentification multifacteur pour activer n’importe quel rôle.
- Recevoir des notifications lors de l’activation de rôles privilégiés.
- Effectuer des révisions d’accès pour garantir que les comptes d’utilisateur de l’administrateur et du personnel SecOps ont toujours besoin de leurs rôles attribués.
- Effectuer des audits sur les modifications d’accès et de rôle pour le personnel administrateur et SecOps.
Utilisation de la gestion des accès privilégiés avec Security Copilot
Microsoft Purview Privileged Access Management permet de protéger votre organisation contre les violations et permet de respecter les meilleures pratiques de conformité en limitant l’accès permanent aux données sensibles ou à l’accès aux paramètres de configuration critiques. Au lieu que les administrateurs disposent d’un accès constant, des règles d’accès juste-à-temps sont implémentées pour les tâches qui ont besoin d’autorisations élevées. Au lieu que les administrateurs disposent d’un accès constant, des règles d’accès juste-à-temps sont implémentées pour les tâches qui ont besoin d’autorisations élevées. Pour plus d’informations, consultez Privileged access management.
Étape 3. Sécuriser les appareils pour l’accès privilégié
À l’étape 1, vous avez configuré des stratégies d’accès conditionnel qui nécessitaient des appareils gérés et conformes pour votre personnel administrateur et SecOps. Pour une sécurité supplémentaire, vous pouvez déployer des appareils d’accès privilégié pour que votre personnel puisse l’utiliser lors de l’accès aux outils et données de sécurité, notamment Security Copilot. Un appareil d’accès privilégié est une station de travail renforcée qui dispose d’un contrôle d’application clair et d’une protection des applications. La station de travail utilise les fonctions de protection des informations d'identification, de protection des appareils, de protection des applications et de protection contre les exploits pour protéger l'hôte contre les attaquants.
Pour plus d’informations sur la configuration d’un appareil pour l’accès privilégié, consultez Sécurisation des appareils dans le cadre de l’article d’accès privilégié.
Pour exiger ces appareils, veillez à mettre à jour votre stratégie de conformité des appareils Intune. Si vous effectuez la transition de l’administrateur et du personnel SecOps vers des appareils renforcés, passez vos groupes de sécurité de la stratégie de conformité d’appareil d’origine à la nouvelle stratégie. La règle d’accès conditionnel peut rester la même.
Étape 4. Déployer ou valider vos services de protection contre les menaces
Pour détecter les activités des acteurs malveillants et les empêcher d’accéder à Security Copilot, assurez-vous que vous pouvez détecter et répondre aux incidents de sécurité avec une suite complète de services de protection contre les menaces, notamment Microsoft Defender XDR avec Microsoft 365, Microsoft Sentinel et d’autres services et produits de sécurité.
Utilisez les ressources suivantes.
Étendue | Description et ressources |
---|---|
Applications Microsoft 365 et SaaS intégrées à Microsoft Entra | Consultez l’article Confiance Zéro pour Microsoft 365 Copilot pour obtenir des conseils sur l’accélération de la protection contre les menaces à partir des plans Microsoft 365 E3 et la progression des plans Microsoft E5. Pour les plans Microsoft 365 E5, consultez également Évaluer et piloter la sécurité Microsoft Defender XDR. |
Vos ressources cloud Azure Vos ressources dans d’autres fournisseurs de cloud, comme Amazon Web Services (AWS) |
Utilisez les ressources suivantes pour prendre en main Defender pour le cloud : - Microsoft Defender pour le cloud - Appliquer des principes de Confiance Zéro aux applications IaaS dans AWS |
Votre patrimoine numérique avec tous les outils Microsoft XDR et Microsoft Sentinel | Le guide de solution Implémenter Microsoft Sentinel et Microsoft Defender XDR pour Confiance Zéro guide tout au long du processus de configuration des outils de détection et de réponse Microsoft eXtended (XDR) avec Microsoft Sentinel pour accélérer la capacité de votre organisation à répondre et à corriger les attaques de cybersécurité. |
Étape 5. Sécuriser l’accès aux produits et données de sécurité tiers
Si vous intégrez des produits de sécurité tiers à Security Copilot, assurez-vous d’avoir un accès sécurisé à ces produits et aux données associées. Les conseils de Microsoft Confiance Zéro incluent des recommandations pour sécuriser l’accès aux applications SaaS. Ces recommandations peuvent être utilisées pour vos produits de sécurité tiers.
Pour la protection avec les stratégies d’accès aux identités et aux appareils, les modifications apportées aux stratégies courantes pour les applications SaaS sont décrites en rouge dans le diagramme suivant. Il s’agit des stratégies auxquelles vous pouvez ajouter vos produits de sécurité tiers.
Pour vos produits et applications de sécurité tiers, envisagez de créer un ensemble dédié de stratégies pour celles-ci. Cela vous permet de traiter vos produits de sécurité avec des exigences plus importantes par rapport aux applications de productivité, telles que Dropbox et Salesforce. Par exemple, ajoutez Tanium et tous les autres produits de sécurité tiers au même ensemble de stratégies d’accès conditionnel. Si vous souhaitez appliquer des exigences plus strictes pour les appareils de votre personnel administrateur et SecOps, configurez également des stratégies uniques pour la conformité des appareils Intune et la protection des applications Intune et attribuez ces stratégies à votre administrateur et au personnel SecOps.
Pour plus d’informations sur l’ajout de vos produits de sécurité à Microsoft Entra ID et à l’étendue de vos stratégies d’accès conditionnel et de stratégies associées (ou la configuration d’un nouvel ensemble de stratégies), consultez Ajouter des applications SaaS à Microsoft Entra ID et à l’étendue des stratégies.
Selon le produit de sécurité, il peut être approprié d’utiliser Microsoft Defender for Cloud Apps pour surveiller l’utilisation de ces applications et d’appliquer des contrôles de session. En outre, si ces applications de sécurité incluent le stockage des données dans l’un des types de fichiers pris en charge par Microsoft Purview, vous pouvez utiliser Defender pour le cloud pour surveiller et protéger ces données à l’aide d’étiquettes de confidentialité et de stratégies de protection contre la perte de données (DLP). Pour plus d’informations, consultez Intégrer des applications SaaS pour Confiance Zéro à Microsoft 365.
Exemple pour l’authentification unique Tanium
Tanium est un fournisseur d’outils de gestion des points de terminaison et offre un plug-in Tanium Skills personnalisé pour Security Copilot. Ce plug-in permet de mettre en place des invites et des réponses qui tirent parti des informations et des insights collectés par Tanium.
Voici l’architecture logique de Security Copilot avec le plug-in Tanium Skills.
Comme le montre le diagramme :
- Tanium Skills est un plug-in personnalisé pour Microsoft Security Copilot.
- Tanium Skills permet d’accéder aux invites et aux réponses qui utilisent des informations et des insights recueillis par Tanium.
Pour sécuriser l’accès aux produits Tanium et aux données associées :
- Utilisez la galerie d’applications Microsoft Entra ID pour rechercher et ajouter l’authentification unique Tanium à votre locataire. Consultez Ajouter une application d’entreprise. Pour obtenir un exemple spécifique à Tanium, consultez intégration de l’authentification unique Microsoft Entra à Tanium SSO.
- Ajoutez l’authentification unique Tanium à l’étendue de vos stratégies d’identité et d’accès Confiance Zéro.
Étapes suivantes
Regardez la vidéo Découvrir Microsoft Security Copilot.
Consultez ces articles supplémentaires pour Confiance Zéro et Microsoft Copilot :
Consultez également la documentation Microsoft Security Copilot.
Références
Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.