Déployer la plateforme SecOps unifiée de Microsoft

La plateforme d’opérations de sécurité unifiée de Microsoft combine les fonctionnalités de Microsoft Defender portail, de Microsoft Sentinel et d’autres services Microsoft Defender. Cette plateforme fournit une vue complète de la posture de sécurité de votre organization et vous aide à détecter, examiner et répondre aux menaces dans votre organization.

Sécurité Microsoft - Gestion de l’exposition et Microsoft Threat Intelligence sont disponibles dans tout environnement qui remplit les conditions préalables, pour les utilisateurs configurés avec les autorisations requises.

Configuration requise

• Avant de déployer la plateforme d’opérations de sécurité unifiée de Microsoft, assurez-vous que vous disposez d’un plan, y compris une conception d’espace de travail et une compréhension des coûts et de la facturation Microsoft Sentinel.

  Pour plus d’informations, consultez Vue d’ensemble de la planification de la plateforme d’opérations de sécurité unifiée.

Déployer des services Microsoft Defender XDR

Microsoft Defender XDR unifie la réponse aux incidents en intégrant des fonctionnalités clés entre les services, y compris les Microsoft Defender pour point de terminaison, les Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity. Cette expérience unifiée ajoute des fonctionnalités puissantes accessibles dans le portail Microsoft Defender.

1. Microsoft Defender XDR s’active automatiquement lorsque les clients éligibles disposant des autorisations requises visitent Microsoft Defender portail. Pour plus d’informations, consultez Activer Microsoft Defender XDR.

2. Continuez en déployant Microsoft Defender XDR services. Nous vous recommandons d’utiliser l’ordre suivant :

   1. Déployez Microsoft Defender pour Identity.

   2. Déployez Microsoft Defender pour Office 365.

   3. Déployez Microsoft Defender pour point de terminaison. Ajoutez Gestion des vulnérabilités Microsoft Defender et/ou la supervision d’entreprise pour les appareils IoT, en fonction de votre environnement.

   4. Déployez Microsoft Defender for Cloud Apps.

Configurer Protection Microsoft Entra ID

Microsoft Defender XDR pouvez ingérer et inclure des signaux de Protection Microsoft Entra ID, qui évaluent les données de risque de milliards de tentatives de connexion et évaluent le risque de chaque connexion à votre environnement. Protection Microsoft Entra ID données sont utilisées par Microsoft Entra ID pour autoriser ou empêcher l’accès au compte, selon la façon dont les stratégies d’accès conditionnel sont configurées.

Configurez Protection Microsoft Entra ID pour améliorer votre posture de sécurité et ajouter des signaux Microsoft Entra à vos opérations de sécurité unifiées. Pour plus d’informations, consultez Configurer vos stratégies Protection Microsoft Entra ID.

Déployer Microsoft Defender pour le cloud

Microsoft Defender pour le cloud fournit une expérience de gestion de la sécurité unifiée pour vos ressources cloud et peut également envoyer des signaux à Microsoft Defender XDR. Par exemple, vous pouvez commencer par connecter vos abonnements Azure à Microsoft Defender pour le cloud, puis passer à d’autres environnements cloud.

Pour plus d’informations, consultez Connecter vos abonnements Azure.

Intégrer à Microsoft Security Copilot

Intégrez à Microsoft Security Copilot pour améliorer vos opérations de sécurité en tirant parti des fonctionnalités d’IA avancées. Security Copilot facilite la détection des menaces, l’investigation et la réponse, en fournissant des informations et des recommandations exploitables pour vous aider à anticiper les menaces potentielles. Utilisez Security Copilot pour automatiser les tâches de routine, réduire le temps de détection et de réponse aux incidents et améliorer l’efficacité globale de votre équipe de sécurité.

Pour plus d’informations, consultez Prise en main de Security Copilot.

Concevez votre espace de travail et intégrez-le à Microsoft Sentinel

La première étape de l’utilisation de Microsoft Sentinel consiste à créer un espace de travail Log Analytics, si vous n’en avez pas déjà un. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différents besoins de l’entreprise. La plateforme d’opérations de sécurité unifiée de Microsoft ne prend en charge qu’un seul espace de travail.

1. Créez un groupe de ressources de sécurité à des fins de gouvernance, ce qui vous permet d’isoler Microsoft Sentinel ressources et l’accès en fonction du rôle à la collection.
2. Créez un espace de travail Log Analytics dans le groupe de ressources Sécurité et intégrez-y Microsoft Sentinel.

Pour plus d’informations, consultez Intégrer Microsoft Sentinel.

Configurer des rôles et des autorisations

Approvisionnez vos utilisateurs en fonction du plan d’accès que vous avez préparé précédemment. Pour vous conformer aux principes de Confiance nulle, nous vous recommandons d’utiliser le contrôle d’accès en fonction du rôle (RBAC) pour fournir à l’utilisateur un accès uniquement aux ressources autorisées et pertinentes pour chaque utilisateur, au lieu de fournir l’accès à l’ensemble de l’environnement.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Activer Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié
• Attribuer des rôles Microsoft Entra ID aux utilisateurs
• Accorder à un utilisateur l’accès aux rôles Azure

Intégrer à SecOps unifié

Lorsque vous intégrez Microsoft Sentinel au portail Defender, vous unifiez les fonctionnalités avec des Microsoft Defender XDR comme la gestion des incidents et la chasse avancée, en créant une plateforme SecOps unifiée.

1. Installez la solution Microsoft Defender XDR pour Microsoft Sentinel à partir du hub de contenu. Pour plus d’informations, consultez Déployer et gérer du contenu prête à l’emploi.
2. Activez le connecteur de données Microsoft Defender XDR pour collecter des incidents et des alertes. Pour plus d’informations, consultez Connecter des données de Microsoft Defender XDR à Microsoft Sentinel.
3. Intégrer à la plateforme SecOps unifiée de Microsoft. Pour plus d’informations, consultez Connecter Microsoft Sentinel à Microsoft Defender.

Affiner les configurations système

Utilisez les options de configuration Microsoft Sentinel suivantes pour affiner votre déploiement :

Activer l’intégrité et l’audit

Surveillez l’intégrité et auditez l’intégrité des ressources Microsoft Sentinel prises en charge en activant la fonctionnalité d’audit et de surveillance de l’intégrité dans la page Paramètres de Microsoft Sentinel. Obtenez des insights sur les dérives d’intégrité, telles que les derniers événements d’échec ou les changements d’état de réussite à échec, et sur les actions non autorisées, et utilisez ces informations pour créer des notifications et d’autres actions automatisées.

Pour plus d’informations, consultezActiver l’audit et la surveillance de l’intégrité pour Microsoft Sentinel.

Configurer Microsoft Sentinel contenu

En fonction des sources de données que vous avez sélectionnées lors de la planification de votre déploiement, installez Microsoft Sentinel solutions et configurez vos connecteurs de données. Microsoft Sentinel fournit un large éventail de solutions intégrées et de connecteurs de données, mais vous pouvez également créer des connecteurs personnalisés et configurer des connecteurs pour ingérer les journaux CEF ou Syslog.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Configurer le contenu
• Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi
• Rechercher votre connecteur de données

Activer l’analyse du comportement des utilisateurs et des entités (UEBA)

Après avoir configuré les connecteurs de données dans Microsoft Sentinel, veillez à activer l’analyse du comportement des entités utilisateur pour identifier les comportements suspects susceptibles d’entraîner des attaques de hameçonnage et éventuellement des attaques telles que des rançongiciels. Pour plus d’informations, consultez Activer UEBA dans Microsoft Sentinel.

Configurer la conservation interactive et à long terme des données

Configurez la conservation interactive et à long terme des données pour vous assurer que votre organization conserve les données importantes à long terme. Pour plus d’informations, consultez Configurer la conservation interactive et à long terme des données.

Activer les règles d’analyse

Les règles d’analyse indiquent à Microsoft Sentinel de vous avertir des événements à l’aide d’un ensemble de conditions que vous considérez comme importantes. Les décisions prêtes à l’emploi Microsoft Sentinel sont basées sur l’analytique comportementale des entités utilisateur (UEBA) et sur les corrélations de données entre plusieurs sources de données. Lorsque vous activez des règles analytiques pour Microsoft Sentinel, hiérarchisez l’activation par sources de données connectées, les risques organisationnels et la tactique MITRE.

Pour plus d’informations, consultez Détection des menaces dans Microsoft Sentinel.

Passer en revue les règles d’anomalie

Microsoft Sentinel règles d’anomalie sont disponibles prêtes à l’emploi et activées par défaut. Les règles d’anomalie sont basées sur des modèles Machine Learning et UEBA qui s’entraînent sur les données de votre espace de travail pour signaler un comportement anormal entre les utilisateurs, les hôtes et d’autres utilisateurs. Passez en revue les règles d’anomalie et le seuil de score d’anomalie pour chacune d’elles. Si vous observez des faux positifs, par exemple, envisagez de dupliquer la règle et de modifier le seuil.

Pour plus d’informations, consultez Utiliser des règles d’analyse de détection d’anomalies.

Utiliser la règle d’analytique Microsoft Threat Intelligence

Activez la règle d’analytique Microsoft Threat Intelligence prête à l’emploi et vérifiez que cette règle correspond à vos données de journal avec le renseignement sur les menaces généré par Microsoft. Microsoft dispose d’un vaste référentiel de données de renseignement sur les menaces, et cette règle analytique utilise un sous-ensemble de celui-ci pour générer des alertes et des incidents haute fidélité pour que les équipes SOC (centres d’opérations de sécurité) trient.

Éviter les incidents en double

Une fois que vous avez connecté Microsoft Sentinel à Microsoft Defender, une synchronisation bidirectionnelle entre Microsoft Defender XDR incidents et Microsoft Sentinel est automatiquement établie. Pour éviter de créer des incidents en double pour les mêmes alertes, nous vous recommandons de désactiver toutes les règles de création d’incidents Microsoft pour les produits intégrés à Microsoft Defender XDR, notamment Defender pour point de terminaison, Defender pour Identity, Defender for Office 365, Defender for Cloud Apps et Protection Microsoft Entra ID.

Pour plus d’informations, consultez Création d’incident Microsoft .

Effectuer un passage mitre ATT&CK

Avec les règles analytiques de fusion, d’anomalie et de renseignement sur les menaces activées, effectuez un passage croisé MITRE Att&ck pour vous aider à déterminer les règles analytiques restantes à activer et à terminer l’implémentation d’un processus XDR (détection et réponse étendus) mature. Cela vous permet de détecter et de répondre tout au long du cycle de vie d’une attaque.

Pour plus d’informations, consultez Comprendre la couverture de sécurité.