Sécurité confiance zéro avec Microsoft Sentinel et Defender XDR
Microsoft Defender XDR est une solution XDR qui complète Microsoft Sentinel. Un XDR extrait des données de télémétrie brutes à partir de plusieurs services tels que les applications cloud, la sécurité des e-mails, l’identité et la gestion des accès.
À l’aide de l’intelligence artificielle (IA) et du Machine Learning, le XDR effectue une analyse automatique, une investigation et une réponse en temps réel. Il met également en corrélation les alertes de sécurité en incidents plus volumineux, ce qui donne aux équipes de sécurité une meilleure visibilité des attaques et hiérarchise les incidents pour aider les analystes à évaluer les niveaux de risque des menaces.
Avec Microsoft Sentinel, vous pouvez vous connecter à de nombreuses sources de sécurité à l’aide de connecteurs intégrés et de normes du secteur. Avec son IA, vous pouvez mettre en corrélation plusieurs signaux à faible fidélité couvrant plusieurs sources pour créer une vue complète de la chaîne de destruction de ransomware et des alertes hiérarchisées.
Ordre d’attaque courant
Cette section décrit un scénario d’attaque classique impliquant une attaque par hameçonnage et la façon de répondre à l’incident avec Microsoft Sentinel et Microsoft Defender XDR.
Le diagramme montre les produits de sécurité Microsoft qui détectent chaque étape d’attaque et comment les signaux d’attaque ainsi que les données SIEM circulent vers Microsoft Defender XDR et Microsoft Sentinel.
Voici un résumé de l’attaque.
| Étape d’attaque | Service de détection et source de signal | Défenses en place |
|---|---|---|
| 1. L’attaquant envoie un e-mail de hameçonnage | Microsoft Defender pour Office 365 | Protège les boîtes aux lettres avec des fonctionnalités avancées anti-hameçonnage qui offrent une protection contre les attaques par hameçonnage basées sur des usurpations d’identité malveillantes. |
| 2. L’utilisateur ouvre la pièce jointe | Microsoft Defender pour Office 365 | La fonctionnalité Pièces jointes sécurisées Microsoft Defender pour Office 365 ouvre les pièces jointes dans un environnement isolé pour une analyse approfondie des menaces (détonation). |
| 3. Pièce jointe installe les programmes malveillants | Microsoft Defender pour point de terminaison | Protège les points de terminaison contre les programmes malveillants avec ses fonctionnalités de protection de nouvelle génération, telles que la protection fournie par le cloud et la protection antivirus basée sur le comportement/heuristique/en temps réel. |
| 4. Le programme malveillant vole les informations d’identification de l’utilisateur | Microsoft Entra ID et Microsoft Entra ID Protection | Protège les identités en surveillant le comportement et les activités des utilisateurs, en détectant le mouvement latéral et en alertant sur les activités anormales. |
| 5. Les attaquants se déplacent latéralement sur les applications et données Microsoft 365 | Microsoft Defender pour Cloud Apps | Peut détecter une activité anormale des utilisateurs accédant aux applications cloud. |
| 6. L’attaquant télécharge des fichiers sensibles à partir d’un dossier SharePoint | Microsoft Defender pour Cloud Apps | Peut détecter et répondre aux événements de téléchargement massif de fichiers à partir de SharePoint. |
Si vous avez intégré votre espace de travail Microsoft Sentinel au portail Defender, les données SIEM sont disponibles avec Microsoft Sentinel directement dans le portail Microsoft Defender.
Réponse aux incidents à l’aide de Microsoft Sentinel et de Microsoft Defender XDR
Après avoir observé une attaque courante, utilisez Microsoft Sentinel et Microsoft Defender XDR pour la réponse aux incidents.
Sélectionnez l’onglet approprié pour votre espace de travail selon que vous l’avez intégré au portail Defender.
Après avoir intégré Microsoft Sentinel au portail Defender, effectuez toutes les étapes de réponse aux incidents directement dans le portail Microsoft Defender, comme vous le faites pour d’autres incidents Microsoft Defender XDR. Les étapes prises en charge incluent tout, du triage à l’investigation et à la résolution.
Utilisez la zone Microsoft Sentinel dans le portail Microsoft Defender pour les fonctionnalités qui ne sont pas disponibles uniquement avec le portail Defender.
Pour plus d’informations, consultez Répondre à un incident à l’aide de Microsoft Sentinel et de Microsoft Defender XDR.
Contenu connexe
Pour plus d’informations, consultez Réponse aux incidents avec SIEM et XDR intégrés.
Pour plus d’informations sur l’application des principes de confiance zéro dans Microsoft 365, consultez :
- plan de déploiement Zero Trust avec Microsoft 365
- Déployer votre infrastructure d’identité pour Microsoft 365
- Configurations de Zero Trust pour l'accès aux identités et aux appareils
- Gérer les appareils avec Microsoft Intune
- Piloter et déployer Microsoft Defender XDR
- Gérer la confidentialité des données et la protection des données avec Microsoft Privé et Microsoft Purview
- Intégrer des applications SaaS dans le cadre de Zero Trust avec Microsoft 365