Évaluer et piloter la sécurité Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Fonctionnement de cette série d’articles
Cette série est conçue pour vous aider tout au long du processus de configuration d’un environnement XDR d’essai, de bout en bout, afin que vous puissiez évaluer les fonctionnalités de Microsoft Defender XDR et même promouvoir l’environnement d’évaluation directement en production lorsque vous êtes prêt.
Si vous débutez dans la réflexion sur la sécurité XDR, vous pouvez analyser les 7 articles liés de cette série pour avoir une idée de l’exhaustivité de la solution.
- Comment créer l’environnement
- Configurer ou découvrir chaque technologie de ce Microsoft XDR
- Comment examiner et répondre à l’aide de ce XDR
- Promouvoir l’environnement d’essai en production
Qu’est-ce que XDR et Microsoft Defender XDR ?
La sécurité XDR est un pas en avant dans la cybersécurité, car elle prend les données sur les menaces des systèmes qui étaient autrefois isolés et les unifie afin que vous puissiez voir les modèles et agir plus rapidement.
Par exemple, Microsoft XDR unifie le point de terminaison (détection et réponse du point de terminaison ou EDR), la sécurité de la messagerie, de l’application et de l’identité au même endroit.
Microsoft Defender XDR est une solution de détection et de réponse eXtended (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte de votre environnement Microsoft 365, y compris les points de terminaison, les e-mails, les applications et les identités. Il tire parti de l’intelligence artificielle (IA) et de l’automatisation pour arrêter automatiquement les attaques et corriger les ressources affectées à un état sûr.
Recommandations Microsoft pour l’évaluation de la sécurité Microsoft Defender XDR
Microsoft vous recommande de créer votre évaluation dans un abonnement de production existant de Office 365. De cette façon, vous obtiendrez immédiatement des insights réels et pouvez régler les paramètres pour travailler contre les menaces actuelles dans votre environnement. Une fois que vous avez acquis de l’expérience et que vous êtes à l’aise avec la plateforme, il vous suffit de promouvoir chaque composant, un à la fois, en production.
Anatomie d’une attaque de cybersécurité
Microsoft Defender XDR est une suite de défense d’entreprise basée sur le cloud, unifiée, avant et après violation. Il coordonne la prévention, ladétection, l’investigation et la réponse entre les points de terminaison, les identités, les applications, les e-mails, les applications collaboratives et toutes leurs données.
Dans cette illustration, une attaque est en cours. L’e-mail de hameçonnage arrive à la boîte de réception d’un employé de votre organization, qui ouvre sans le savoir la pièce jointe. Cela installe des programmes malveillants, ce qui conduit à une chaîne d’événements qui pourrait se terminer par le vol de données sensibles. Mais dans ce cas, Defender for Office 365 est en cours de fonctionnement.
Dans cette illustration :
- Exchange Online Protection, qui fait partie de Microsoft Defender pour Office 365, peut détecter le courrier électronique d’hameçonnage et utiliser des règles de flux de courrier (également appelées règles de transport) pour s’assurer qu’il n’arrive jamais dans la boîte de réception.
- Defender for Office 365 utilise des pièces jointes sécurisées pour tester la pièce jointe et déterminer qu’elle est dangereuse. Ainsi, le courrier qui arrive n’est pas actionnable par l’utilisateur ou des stratégies empêchent le courrier d’arriver.
- Defender pour point de terminaison gère les appareils qui se connectent au réseau d’entreprise et détectent les vulnérabilités des appareils et du réseau qui pourraient autrement être exploitées.
- Defender pour Identity prend note des changements soudains de compte, comme l’escalade de privilèges ou un mouvement latéral à haut risque. Il signale également les problèmes d’identité facilement exploités, comme la délégation Kerberos sans contrainte, pour correction par l’équipe de sécurité.
- Microsoft Defender for Cloud Apps remarque des comportements anormaux tels que l’impossibilité de voyager, l’accès aux informations d’identification et les activités inhabituelles de téléchargement, de partage de fichiers ou de transfert de courrier, et les signale à l’équipe de sécurité.
Microsoft Defender XDR composants sécurisent les appareils, l’identité, les données et les applications
Microsoft Defender XDR est constitué de ces technologies de sécurité, fonctionnant en tandem. Vous n’avez pas besoin de tous ces composants pour tirer parti des fonctionnalités de XDR et de Microsoft Defender XDR. Vous réaliserez des gains et des gains d’efficacité en utilisant également un ou deux.
| Composant | Description | Documentation de référence |
|---|---|---|
| Microsoft Defender pour l’identité | Microsoft Defender pour Identity utilise des signaux Active Directory pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organization. | Qu’est-ce que Microsoft Defender pour Identity ? |
| Exchange Online Protection | Exchange Online Protection est le service de relais et de filtrage SMTP cloud natif qui permet de protéger votre organization contre le courrier indésirable et les programmes malveillants. | Vue d’ensemble Exchange Online Protection (EOP) - Office 365 |
| Microsoft Defender pour Office 365 | Microsoft Defender pour Office 365 protège votre organization contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et les outils de collaboration. | Microsoft Defender pour Office 365 - Office 365 |
| Microsoft Defender pour point de terminaison | Microsoft Defender pour point de terminaison est une plateforme unifiée pour la protection des appareils, la détection post-violation, l’investigation automatisée et la réponse recommandée. | Microsoft Defender pour point de terminaison - Sécurité Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps est une solution multi-SaaS complète qui offre une visibilité approfondie, des contrôles de données forts et une protection renforcée contre les menaces à vos applications cloud. | Qu’est-ce que Defender pour les applications cloud ? |
| Protection Microsoft Entra ID | Protection Microsoft Entra ID évalue les données de risque de milliards de tentatives de connexion et utilise ces données pour évaluer le risque de chaque connexion à votre environnement. Ces données sont utilisées par Microsoft Entra ID pour autoriser ou empêcher l’accès au compte, selon la façon dont les stratégies d’accès conditionnel sont configurées. Protection Microsoft Entra ID est concédé sous licence séparément de Microsoft Defender XDR. Il est inclus avec Microsoft Entra ID P2. | Qu’est-ce qu’Identity Protection ? |
architecture Microsoft Defender XDR
Le diagramme ci-dessous illustre l’architecture de haut niveau pour les composants Microsoft Defender XDR clés et les intégrations. L’architecture détaillée de chaque composant Defender et les scénarios de cas d’usage sont fournis dans cette série d’articles.
Dans cette illustration :
- Microsoft Defender XDR combine les signaux de tous les composants Defender pour fournir une détection et une réponse étendues (XDR) entre les domaines. Cela inclut une file d’attente d’incidents unifiée, une réponse automatisée pour arrêter les attaques, une réparation automatique (pour les appareils compromis, les identités utilisateur et les boîtes aux lettres), la chasse aux menaces croisées et l’analyse des menaces.
- Microsoft Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et les outils de collaboration. Il partage les signaux résultant de ces activités avec Microsoft Defender XDR. Exchange Online Protection (EOP) est intégré pour fournir une protection de bout en bout pour les e-mails entrants et les pièces jointes.
- Microsoft Defender pour Identity collecte les signaux des serveurs exécutant les services fédérés Active Directory (AD FS) et Active Directory local Domain Services (AD DS). Il utilise ces signaux pour protéger votre environnement d’identité hybride, notamment contre les pirates informatiques qui utilisent des comptes compromis pour se déplacer latéralement entre les stations de travail dans l’environnement local.
- Microsoft Defender pour point de terminaison collecte les signaux des appareils utilisés par vos organization et les protège.
- Microsoft Defender for Cloud Apps collecte les signaux de l’utilisation des applications cloud par votre organization et protège les données qui circulent entre votre environnement et ces applications, y compris les applications cloud approuvées et non approuvées.
- Protection Microsoft Entra ID évalue les données de risque de milliards de tentatives de connexion et utilise ces données pour évaluer le risque de chaque connexion à votre environnement. Ces données sont utilisées par Microsoft Entra ID pour autoriser ou empêcher l’accès au compte, selon la façon dont les stratégies d’accès conditionnel sont configurées. Protection Microsoft Entra ID est concédé sous licence séparément de Microsoft Defender XDR. Il est inclus avec Microsoft Entra ID P2.
Microsoft SIEM et SOAR peuvent utiliser des données de Microsoft Defender XDR
Composants d’architecture facultatifs supplémentaires non inclus dans cette illustration :
- Les données de signal détaillées de tous les composants Microsoft Defender XDR peuvent être intégrées à Microsoft Sentinel et combinées avec d’autres sources de journalisation pour offrir des fonctionnalités et des insights SIEM et SOAR complets.
- Pour plus d’informations sur l’utilisation de Microsoft Sentinel, azure SIEM, avec Microsoft Defender XDR en tant que XDR, consultez cet article Vue d’ensemble et les étapes d’intégration de Microsoft Sentinel et Microsoft Defender XDR.
- Pour plus d’informations sur SOAR dans Microsoft Sentinel (y compris des liens vers des playbooks dans le référentiel GitHub Microsoft Sentinel), lisez cet article.
Le processus d’évaluation de Microsoft Defender XDR cybersécurité
Microsoft recommande d’activer les composants de Microsoft 365 dans l’ordre illustré :
Le tableau suivant décrit cette illustration.
| Numéro de série | Étape | Description |
|---|---|---|
| 1 | Créer l’environnement d’évaluation | Cette étape garantit que vous disposez de la licence d’évaluation pour Microsoft Defender XDR. |
| 2 | Activer Defender pour Identity | Passez en revue les exigences de l’architecture, activez l’évaluation et parcourez les tutoriels pour identifier et corriger les différents types d’attaques. |
| 3 | Activer Defender for Office 365 | Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote. Ce composant inclut Exchange Online Protection et vous allez donc réellement évaluer les deux ici. |
| 4 | Activer Defender pour point de terminaison | Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote. |
| 5 | Activer Microsoft Defender for Cloud Apps | Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote. |
| 6 | Examiner et répondre aux menaces | Simuler une attaque et commencer à utiliser les fonctionnalités de réponse aux incidents. |
| 7 | Promouvoir la version d’évaluation en production | Promouvoir les composants Microsoft 365 en production un par un. |
Cet ordre est généralement recommandé et conçu pour tirer rapidement parti de la valeur des fonctionnalités en fonction de l’effort généralement nécessaire pour déployer et configurer les fonctionnalités. Par exemple, Defender for Office 365 peut être configuré en moins de temps que pour inscrire des appareils dans Defender pour point de terminaison. Bien entendu, vous devez hiérarchiser les composants pour répondre aux besoins de votre entreprise et pouvoir les activer dans un ordre différent.
Passer à l’étape suivante
En savoir plus sur et/ou créer l’environnement d’évaluation Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour