Décrire le portail Microsoft Defender

  • 6 minutes

Une plateforme d’opérations de sécurité unifiée est un ensemble d’outils entièrement intégré pour les équipes de sécurité qui sert à empêcher, détecter, investiguer et répondre aux menaces dans leur environnement tout entier. Pour Microsoft, cela signifie fournir le meilleur de SIEM, de XDR, de la gestion des postures et de la veille des menaces avec une IA générative avancée comme unique plateforme.

Par le biais du portail Microsoft Defender, Microsoft offre la promesse d’une plateforme d’opérations de sécurité unifiée qui vous permet de voir l’intégrité de la sécurité de votre organisation. Le portail Microsoft Defender regroupe dans un endroit central la protection, la détection, l’investigation et la réponse aux menaces dans votre organisation toute entière et dans tous ses composants.

Pour accéder au portail Microsoft Defender, vous devez disposer d’un rôle approprié dans Microsoft Entra ID, par exemple Administrateur général, Administrateur de la sécurité, Opérateur de sécurité ou Lecteur de sécurité.

Le portail Defender privilégie un accès rapide aux informations, des présentations plus simples et le regroupement des informations connexes pour en faciliter l’utilisation.

Capture d’écran de la page d’accueil du portail Microsoft Defender.

La page d’accueil du portail Microsoft Defender regroupe la plupart des cartes dont les équipes de sécurité ont généralement besoin. La composition des cartes et des données dépend du rôle d’utilisateur. Étant donné que le portail Microsoft Defender utilise le contrôle d’accès en fonction du rôle, différents rôles voient les cartes qui sont plus significatives pour leurs travaux quotidiens.

Le portail Microsoft Defender vous permet d’adapter le volet de navigation afin de répondre aux besoins opérationnels quotidiens. Vous pouvez personnaliser le volet de navigation pour afficher ou masquer des fonctions et des services selon vos préférences. La personnalisation vous est propre, ce qui signifie que les autres administrateurs ne voient pas ces modifications.

Le volet de navigation gauche permet d’accéder facilement à la suite de services Microsoft Defender XDR. Vous pouvez également accéder à Microsoft Sentinel et à de nombreuses autres fonctionnalités. Les sections qui suivent fournissent une brève description des fonctionnalités accessibles à partir de la barre de navigation gauche du portail Microsoft Defender.

Gestion de l’exposition

Gestion de l’exposition pour la Sécurité Microsoft est une solution de sécurité qui offre une vue unifiée sur la posture de sécurité dans toutes les ressources et charges de travail d’une société. Security Exposure Management enrichit les informations sur les ressources avec un contexte de sécurité qui vous permet de gérer de manière proactive les surfaces d’attaque, de protéger les ressources critiques et d’explorer et d’atténuer les risques d’exposition.

Avec Security Exposure Management, vous pouvez découvrir et surveiller des ressources, obtenir des insights de sécurité complets, investiguer des zones à risque spécifiques avec des initiatives de sécurité et suivre les métriques de toute l’organisation pour améliorer la posture de sécurité.

Réduction de la surface

Security Exposure Management génère automatiquement des chemins d’attaque basés sur les données collectées sur l’ensemble des ressources et des charges de travail. Il simule des scénarios d’attaque et identifie les vulnérabilités et faiblesses qu’un attaquant pourrait exploiter.

Insights sur la sécurité

Les insights d’exposition dans Microsoft Security Exposure Management agrègent en continu les données et les insights de la posture de sécurité entre les charges de travail et les ressources dans un seul pipeline.

  • Les initiatives offrent un moyen simple d’évaluer la préparation de la sécurité pour une zone de sécurité ou une charge de travail spécifique, et de suivre et de mesurer constamment les risques d’exposition pour cette zone ou cette charge de travail.
  • Les métriques dans Microsoft Security Exposure Management mesurent l’exposition de la sécurité pour une étendue spécifique d’éléments ou de ressources au sein d’une initiative de sécurité.
  • Des recommandations vous aident à comprendre l’état de conformité d’une initiative de sécurité spécifique.
  • Les événements vous aident à surveiller les changements au sein de l’initiative.

Degré de sécurisation

Le degré de sécurisation Microsoft est un outil du portail Microsoft Defender qui permet de représenter la posture de sécurité d’une entreprise. Plus le score est élevé, plus votre protection est efficace. À partir d’un tableau de bord centralisé dans le portail Microsoft Defender, les organisations peuvent analyser et travailler sur la sécurité de leurs identités, applications et appareils Microsoft 365.

Le niveau de sécurité fournit une décomposition du score, des actions d’amélioration qui peuvent améliorer le score de l’organisation et une comparaison du score de sécurité de l’organisation par rapport à des organisations similaires.

Connecteurs de données

À l’aide des connecteurs de données, vous pouvez connecter des sources de données pour une expérience de gestion d’exposition plus riche et plus centralisée.

Investigation et réponse

L’onglet Investigation et réponse comprend un accès aux incidents et aux alertes, au repérage de cybermenaces, aux actions et aux soumissions, ainsi qu’à un catalogue de partenaires.

Capture d’écran du portail Microsoft Defender montrant les sélections disponibles pour les investigations et les réponses. Il s’agit d’incidents et d’alertes, de repérage de cybermenaces, d’actions et de soumissions et de catalogue de partenaires.

Incidents et alertes

Un incident dans le portail Microsoft Defender est une collection d’alertes, de ressources, d’investigations et de preuves connexes qui vous donnent une vue complète de toute l’étendue d’une attaque. Il sert de fichier de cas que votre SOC peut utiliser pour investiguer cette attaque et gérer, implémenter et documenter la réponse à celle-ci. Étant donné que le portail Microsoft Defender repose sur une plateforme d’opérations de sécurité unifiée, vous obtenez une vue de tous les incidents, y compris les incidents générés à partir de la suite de solutions Microsoft Defender XDR, de Microsoft Sentinel et d’autres solutions.

Dans un incident, vous analysez les alertes qui affectent votre réseau, comprenez ce qu’elles signifient et assemblez les preuves pour pouvoir concevoir un plan de correction efficace. Les informations fournies pour un incident incluent :

  • Historique complet de l’attaque comprenant toutes les alertes, les ressources et les actions de correction effectuées.
  • Toutes les alertes liées à l’incident.
  • Toutes les ressources (appareils, utilisateurs, boites de messagerie et applications) qui ont été identifiées comme faisant partie de l’incident ou y étant liées.
  • Toutes les investigations automatisées déclenchées par les alertes dans l’incident.
  • Toutes les preuves et réponses prises en charge.

Si votre organisation a intégré Microsoft Security Copilot, vous pouvez également voir un récapitulatif des incidents, des réponses guidées et plus encore.

Chasse

Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes à partir de Microsoft Defender XDR et de Microsoft Sentinel. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et les entités de menace par le biais de requêtes de repérage. Les requêtes de repérage peuvent être créées via l’Éditeur de requête si vous êtes familiarisé avec le langage de requête Kusto (KQL), à l’aide d’un générateur de requêtes ou par le biais de Security Copilot. Pour les utilisateurs qui ont intégré Microsoft Security Copilot, vous pouvez faire une requête ou poser une question en langage naturel et Security Copilot génère une requête KQL qui correspond à la requête.

Vous pouvez utiliser les mêmes requêtes de repérage pour créer des règles de détection personnalisées. Ces règles s’exécutent automatiquement pour rechercher une activité de violation présumée et y répondre, des machines mal configurées et d’autres découvertes.

Capture d’écran de la page de repérage avancé dans le portail Microsoft Defender.

Actions et soumissions

Le centre de contrôle unifié regroupe les actions de correction de Microsoft Defender for Endpoint et Microsoft Defender for Office 365. Il liste les actions de correction en cours et terminées pour vos appareils, contenu de collaboration et e-mails et identités dans un seul et même endroit.

Dans les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online, les administrateurs peuvent utiliser la page Soumissions du portail Microsoft Defender pour envoyer des messages, des URL et des pièces jointes à Microsoft pour les analyser.

Catalogue de partenaires

Le catalogue de partenaires liste les partenaires technologiques et les services professionnels pris en charge qui peuvent aider votre organisation à améliorer les fonctionnalités de détection, d’investigation et de veille des menaces de la plateforme.

Informations sur les menaces

Sous l’onglet Veille des menaces, les utilisateurs accèdent à Microsoft Defender Threat Intelligence. Pour plus d’informations, consultez l’unité « Décrire Microsoft Defender Threat Intelligence ».

Éléments multimédias

L’onglet Ressources vous permet de voir et de gérer l’inventaire des ressources protégées et découvertes de votre organisation (appareils et identités).

L’inventaire des appareils montre la liste des appareils de votre réseau sur lesquels des alertes ont été générées. Par défaut, la file d’attente affiche les appareils vus au cours des 30 derniers jours. D’un coup d’œil, vous voyez des informations telles que le domaine, le niveau de risque, la plateforme du système d’exploitation et d’autres détails pour identifier facilement les appareils les plus à risque.

L’inventaire des identités offre une vue complète de toutes les identités de l’entreprise, à la fois cloud et locales.

Microsoft Sentinel

Certaines fonctionnalités de Microsoft Sentinel, comme la file d’attente unifiée pour les incidents, sont accessibles via la page des incidents et des alertes du Portail Defender, avec les incidents provenant d’autres services Microsoft Defender. De nombreuses autres fonctionnalités de Microsoft Sentinel sont disponibles dans la section Microsoft Sentinel du portail Defender.

Pour plus d’informations, consultez le module « Décrire les fonctionnalités de Microsoft Sentinel », dont le lien est inclus dans l’unité de résumé et de ressources.

Capture d’écran du nœud Microsoft Sentinel dans le volet de navigation du portail Microsoft Defender.

Identités

Le nœud Identités dans le volet de navigation de gauche du portail Microsoft Defender correspond aux fonctionnalités associées à Microsoft Defender pour Identity. Pour plus d’informations, consultez l’unité « Décrire Microsoft Defender pour Identity ».

Capture d’écran du nœud Identités dans le volet de navigation de gauche du portail Microsoft Defender.

Points de terminaison

Le nœud Points de terminaison dans le volet de navigation de gauche du portail Microsoft Defender correspond aux fonctionnalités associées à Microsoft Defender for Endpoint. Pour plus d’informations, consultez l’unité « Décrire Microsoft Defender for Endpoint ».

Capture d’écran du nœud Points de terminaison dans le volet de navigation de gauche du portail Microsoft Defender.

Messagerie et collaboration

Le nœud E-mail et collaboration dans le volet de navigation de gauche est l’endroit où vous retrouvez les fonctionnalités de Microsoft Defender for Office 365 qui vous permettent de tracer et d’investiguer les menaces dans les e-mails de vos utilisateurs, de surveiller les campagnes, etc. Pour plus d’informations, consultez l’unité « Décrire Microsoft Defender for Office 365 ».

Capture d’écran du nœud E-mail et collaboration dans le volet de navigation du portail Microsoft Defender.

Applications cloud

Le nœud Applications cloud dans le volet de navigation de gauche est l’endroit où vous retrouvez la fonctionnalité Microsoft Defender for Cloud Apps. Pour plus d’informations, consultez l’unité « Décrire Microsoft Defender for Cloud Apps ».

Capture d’écran du nœud Applications cloud dans le volet de navigation du portail Microsoft Defender.

Optimisation SOC

Les équipes du centre des opérations de sécurité (SOC) recherchent activement des opportunités d’optimisation des processus et des résultats.

L’optimisation SOC permet d’optimiser vos contrôles de sécurité, en obtenant plus de valeur à partir des services de sécurité Microsoft à mesure que le temps se passe.

Capture d’écran de la page d’optimisation de SOC dans le portail Microsoft Defender.

Rapports

Les rapports sont unifiés dans le Portail Microsoft Defender. Les administrateurs peuvent commencer par un rapport général sur la sécurité et passer à des rapports spécifiques sur les points de terminaison, la messagerie et la collaboration, les applications cloud, l’infrastructure et les identités. Les liens ici sont générés dynamiquement en fonction de la configuration de la charge de travail.

Capture d’écran de la page de rapports dans le portail Microsoft Defender.

Hub d’apprentissage

Le hub d’apprentissage vous relie à Microsoft Learn, où vous pouvez accéder à des cours de formation, des tutoriels, de la documentation et autres supports intéressants.

System

L’option système dans le portail Defender comprend des sélections pour configurer les autorisations, voir l’intégrité des services et les paramètres généraux.