Vue d’ensemble de la planification de la plateforme d’opérations de sécurité unifiée de Microsoft
Cet article décrit les activités de planification d’un déploiement des produits de sécurité de Microsoft sur la plateforme d’opérations de sécurité unifiée de Microsoft pour les opérations de sécurité de bout en bout (SecOps). Unifiez vos SecOps sur la plateforme de Microsoft pour vous aider à réduire les risques, à prévenir les attaques, à détecter et à interrompre les cybermenaces en temps réel, et à répondre plus rapidement avec des fonctionnalités de sécurité renforcées par IA, le tout à partir du portail Microsoft Defender.
Planifier votre déploiement
La plateforme SecOps unifiée de Microsoft combine des services tels que Microsoft Defender XDR, Microsoft Sentinel, Sécurité Microsoft - Gestion de l’exposition et Microsoft Security Copilot dans le portail Microsoft Defender.
La première étape de la planification de votre déploiement consiste à sélectionner les services que vous souhaitez utiliser.
Comme prérequis de base, vous aurez besoin de Microsoft Defender XDR et de Microsoft Sentinel pour surveiller et protéger les services et solutions Microsoft et non-Microsoft, y compris les ressources cloud et locales.
Déployez l’un des services suivants pour ajouter la sécurité à vos points de terminaison, identités, e-mails et applications afin de fournir une protection intégrée contre les attaques sophistiquées.
Microsoft Defender XDR services sont les suivants :
| Service | Description |
|---|---|
| Microsoft Defender pour Office 365 | Protège contre les menaces posées par les messages électroniques, les liens d’URL et les outils de collaboration Office 365. |
| Microsoft Defender pour l’identité | Identifie, détecte et examine les menaces provenant des identités Active Directory local et cloud telles que Microsoft Entra ID. |
| Microsoft Defender pour point de terminaison | Surveille et protège les appareils de point de terminaison, détecte et examine les violations des appareils et répond automatiquement aux menaces de sécurité. |
| Microsoft Defender pour IoT | Fournit à la fois la découverte d’appareils IoT et la valeur de sécurité pour les appareils IoT. |
| Gestion des vulnérabilités de Microsoft Defender | Identifie les ressources et l’inventaire logiciel, et évalue la posture des appareils pour détecter les vulnérabilités de sécurité. |
| Microsoft Defender for Cloud Apps | Protège et contrôle l’accès aux applications cloud SaaS. |
Les autres services pris en charge dans le portail Microsoft Defender dans le cadre de la plateforme SecOps unifiée de Microsoft, mais sans licence avec Microsoft Defender XDR, sont les suivants :
| Service | Description |
|---|---|
| Sécurité Microsoft - Gestion de l’exposition | Fournit une vue unifiée de la posture de sécurité entre les ressources et charges de travail de l’entreprise, enrichissant les informations sur les ressources avec le contexte de sécurité. |
| Sécurité Microsoft Copilot | Fournit des informations et des recommandations basées sur l’IA pour améliorer vos opérations de sécurité. |
| Microsoft Defender pour le cloud | Protège les environnements multiclouds et hybrides avec une détection et une réponse avancées aux menaces. |
| Microsoft Defender Threat Intelligence | Simplifie les flux de travail de renseignement sur les menaces en agrégeant et en enrichissant les sources de données critiques pour mettre en corrélation les indicateurs de compromission avec les articles, les profils d’acteur et les vulnérabilités associés. |
| Protection Microsoft Entra ID | Évalue les données de risque des tentatives de connexion pour évaluer le risque de chaque connexion à votre environnement. |
Passer en revue les prérequis du service
Avant de déployer la plateforme d’opérations de sécurité unifiée de Microsoft, passez en revue les prérequis pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations :
| Service de sécurité | Configuration requise |
|---|---|
| Requis pour les SecOps unifiés | |
| Microsoft Defender XDR | Microsoft Defender XDR prérequis |
| Microsoft Sentinel | Conditions préalables pour déployer Microsoft Sentinel |
| Services Microsoft Defender XDR facultatifs | |
| Microsoft Defender pour Office | Microsoft Defender XDR prérequis |
| Microsoft Defender pour l’identité | Conditions préalables de Microsoft Defender pour Identity |
| Microsoft Defender pour point de terminaison | Configurer le déploiement Microsoft Defender pour point de terminaison |
| Supervision d’entreprise avec Microsoft Defender pour IoT | Prérequis pour Defender pour IoT dans le portail Defender |
| Gestion des vulnérabilités de Microsoft Defender | Prérequis & autorisations pour Gestion des vulnérabilités Microsoft Defender |
| Microsoft Defender for Cloud Apps | Démarrer avec Microsoft Defender pour les applications cloud |
| Autres services pris en charge dans le portail Microsoft Defender | |
| Sécurité Microsoft - Gestion de l’exposition | Prérequis et prise en charge |
| Sécurité Microsoft Copilot | Configuration minimale requise |
| Microsoft Defender pour le cloud | Commencez à planifier la protection multicloud et d’autres articles dans la même section. |
| Microsoft Defender Threat Intelligence | Prérequis pour Defender Threat Intelligence |
| Protection Microsoft Entra ID | Conditions préalables pour Protection Microsoft Entra ID |
Passer en revue les pratiques en matière de sécurité et de confidentialité des données
Avant de déployer la plateforme d’opérations de sécurité unifiée de Microsoft, assurez-vous de bien comprendre les pratiques en matière de sécurité et de confidentialité des données pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations. Notez que plusieurs services utilisent les pratiques de sécurité et de rétention des données pour Microsoft Defender XDR au lieu d’avoir des pratiques distinctes.
Planifier votre architecture d’espace de travail Log Analytics
Pour utiliser la plateforme SecOps unifiée de Microsoft, vous avez besoin d’un espace de travail Log Analytics activé pour Microsoft Sentinel. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différents besoins de l’entreprise. La plateforme SecOps unifiée de Microsoft ne prend en charge qu’un seul espace de travail.
Concevez l’espace de travail Log Analytics que vous souhaitez activer pour Microsoft Sentinel. Tenez compte des paramètres tels que les exigences de conformité que vous avez pour la collecte et le stockage des données et la façon de contrôler l’accès aux données Microsoft Sentinel.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Concevoir l’architecture de l’espace de travail
- Passer en revue les exemples de conceptions d’espace de travail
Planifier les coûts Microsoft Sentinel et les sources de données
La plateforme SecOps unifiée de Microsoft ingère les données des services Microsoft internes, tels que Microsoft Defender for Cloud Apps et Microsoft Defender pour le cloud. Nous vous recommandons d’étendre votre couverture à d’autres sources de données dans votre environnement en ajoutant Microsoft Sentinel connecteurs de données.
Déterminer vos sources de données
Déterminez l’ensemble complet des sources de données à partir de laquelle vous allez ingérer des données, ainsi que les exigences de taille des données pour vous aider à projeter avec précision le budget et les chronologie de votre déploiement. Vous pouvez déterminer ces informations lors de la révision de votre cas d’usage professionnel ou en évaluant un SIEM actuel que vous avez déjà en place. Si vous avez déjà un SIEM en place, analysez vos données pour comprendre quelles sources de données fournissent le plus de valeur et doivent être ingérées dans Microsoft Sentinel.
Par exemple, vous pouvez utiliser l’une des sources de données recommandées suivantes :
Services Azure : si l’un des services suivants est déployé dans Azure, utilisez les connecteurs suivants pour envoyer les journaux de diagnostic de ces ressources à Microsoft Sentinel :
- Pare-feu Azure
- Azure Application Gateway
- Coffre de clés
- Azure Kubernetes Service
- Azure SQL
- Groupes de sécurité réseau
- Serveurs Azure Arc
Nous vous recommandons de configurer Azure Policy pour exiger que leurs journaux soient transférés à l’espace de travail Log Analytics sous-jacent. Pour plus d’informations, consultez Créer des paramètres de diagnostic à grande échelle à l’aide de Azure Policy.
Machines virtuelles : pour les machines virtuelles hébergées localement ou dans d’autres clouds qui nécessitent la collecte de leurs journaux, utilisez les connecteurs de données suivants :
- événements Sécurité Windows à l’aide d’AMA
- Événements via Defender pour point de terminaison (pour le serveur)
- Syslog
Appliances virtuelles réseau/sources locales : pour les appliances virtuelles réseau ou d’autres sources locales qui génèrent des journaux CEF (Common Event Format) ou SYSLOG, utilisez les connecteurs de données suivants :
- Syslog via AMA
- Common Event Format (CEF) via AMA
Pour plus d’informations, consultez Hiérarchiser les connecteurs de données.
Planifier votre budget
Planifiez votre budget Microsoft Sentinel, en tenant compte des implications en matière de coûts pour chaque scénario planifié. Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks qui seront déployés, etc. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Plans de rétention des journaux dans Microsoft Sentinel
- Planifier les coûts et comprendre Microsoft Sentinel tarification et facturation
Planifier les rôles et les autorisations
Utilisez Microsoft Entra contrôle d’accès en fonction du rôle (RBAC) pour créer et attribuer des rôles au sein de votre équipe des opérations de sécurité afin d’accorder l’accès approprié aux services inclus dans la plateforme SecOps unifiée de Microsoft.
Le modèle de contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR offre une expérience de gestion des autorisations unique qui fournit un emplacement central permettant aux administrateurs de contrôler les autorisations utilisateur dans plusieurs solutions de sécurité. Pour plus d’informations, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.
Pour les services suivants, utilisez les différents rôles disponibles ou créez des rôles personnalisés pour vous donner un contrôle précis sur ce que les utilisateurs peuvent voir et faire. Pour plus d’informations, reportez-vous aux rubriques suivantes :
Planifier Confiance nulle activités
La plateforme SecOps unifiée de Microsoft fait partie du modèle de sécurité Confiance nulle de Microsoft, qui inclut les principes suivants :
| Principe de sécurité | Description |
|---|---|
| Vérifier explicitement | Toujours s’authentifier et autoriser en fonction de tous les points de données disponibles. |
| Utilisez des autorisations selon le principe des privilèges minimum. | Limitez l’accès utilisateur avec juste-à-temps et just-enough-access (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposer une violation | Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses. |
Confiance nulle sécurité est conçue pour protéger les environnements numériques modernes en tirant parti de la segmentation du réseau, en empêchant les mouvements latéraux, en fournissant un accès aux privilèges minimum et en utilisant des analyses avancées pour détecter les menaces et y répondre.
Pour plus d’informations sur l’implémentation des principes Confiance nulle dans la plateforme SecOps unifiée de Microsoft, consultez Confiance nulle contenu pour les services suivants :
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender pour l’identité
- Microsoft Defender pour Office 365
- Microsoft Defender pour point de terminaison
- Microsoft Defender for Cloud Apps
- Sécurité Microsoft - Gestion de l’exposition
- Microsoft Defender pour le cloud
- Sécurité Microsoft Copilot
- Protection Microsoft Entra ID
Pour plus d’informations, consultez le Centre d’aide Confiance nulle.
Étape suivante
Déployer la plateforme d’opérations de sécurité unifiée de Microsoft