Créer la deuxième couche de défense avec les services de sécurité Microsoft Defender XDR

Il est courant pour les organisations d’utiliser un environnement hybride, avec des ressources s’exécutant à la fois sur Azure et localement. La plupart des ressources Azure, telles que des machines virtuelles, des applications Azure et Microsoft Entra ID, peuvent être protégées par les services de sécurité qui s’exécutent sur Azure.

Les organisations s’abonnent aussi souvent à Microsoft 365 pour fournir aux utilisateurs des applications telles que Word, Excel, PowerPoint et Exchange en ligne. Microsoft 365 offre également des services de sécurité que vous pouvez utiliser pour créer une couche de sécurité supplémentaire pour certaines des ressources Azure les plus utilisées.

Pour envisager d’utiliser des services de sécurité à partir de Microsoft 365, il est utile de connaître une terminologie et de comprendre la structure des services Microsoft 365. Ce quatrième article d’une série de cinq peut vous aider. Cet article s’appuie sur des sujets abordés dans les articles précédents, en particulier :

• Mapper les menaces à votre environnement informatique
• Créer la première couche de défense avec les services de sécurité Azure

Microsoft 365 et Office 365 sont des services cloud conçus pour répondre aux besoins de votre organisation en sécurité, fiabilité et productivité utilisateur renforcées. Microsoft 365 inclut des services tels que Power Automate, Forms, Stream, Sway et Office 365. Office 365 comprend la suite connue d’applications de productivité. Pour plus d’informations sur les options d’abonnement pour ces deux services, consultez Options de plan Microsoft 365 et Office 365.

Selon la licence que vous achetez pour Microsoft 365, vous pouvez également obtenir les services de sécurité pour Microsoft 365. Ces services de sécurité sont appelés Microsoft Defender XDR, qui fournit plusieurs services :

• Microsoft Defender for Endpoint
• Microsoft Defender pour Identity
• Microsoft Defender pour Office 365
• Microsoft Defender for Cloud Apps

Le diagramme suivant illustre la relation entre les solutions et les principaux services offerts par Microsoft 365, bien que tous les services ne soient pas répertoriés.

Cas d’usage potentiels

Les gens sont parfois confus à propos des services de sécurité Microsoft 365 et de leur rôle dans la cybersécurité informatique. Les principales causes sont les noms qui sont similaires les uns aux autres, y compris certains services de sécurité qui s’exécutent sur Azure, tels que Microsoft Defender pour le cloud (anciennement appelé Azure Security Center) et Defender for Cloud Apps (anciennement Microsoft Cloud Application Security).

Mais la confusion ne concerne pas seulement la terminologie. Certains services offrent une protection similaire, mais pour différentes ressources, telles que Defender pour Identity et Azure Identity Protection. Les deux services offrent une protection pour les services d’identité, mais Defender pour Identity protège l’identité localement (via Active Directory Domain Services, en fonction de l’authentification Kerberos), tandis qu’Azure Identity Protection protège l’identité dans le cloud (via Microsoft Entra ID, en fonction de l’authentification OAuth).

Ces exemples montrent que si vous comprenez comment les services de sécurité Microsoft 365 fonctionnent et les différences par rapport aux services de sécurité Azure, vous pouvez planifier votre stratégie de sécurité dans le cloud Microsoft de manière efficace et fournir une excellente posture de sécurité pour votre environnement informatique. C’est l’objectif de cet article.

Le diagramme suivant illustre un cas d’usage réel dans lequel vous pouvez envisager d’utiliser les services de sécurité Microsoft Defender XDR. Le diagramme montre les ressources qui doivent être protégées. Les services qui s’exécutent dans l’environnement sont affichés en haut. Certaines menaces potentielles sont affichées en bas. Les services Microsoft Defender XDR sont au milieu, défendant les ressources de l’organisation contre les menaces potentielles.

Architecture

Le diagramme suivant montre une couche, étiquetée comme DEFENDER, qui représente les services de sécurité Microsoft Defender XDR. L’ajout de ces services à votre environnement informatique vous aide à créer une meilleure défense pour votre environnement. Les services de la couche Defender peuvent fonctionner avec les services de sécurité Azure.

Téléchargez un fichier Visio de cette architecture.

©2021 The MITRE Corporation. Ce travail est reproduit et distribué avec l’autorisation de The MITRE Corporation.

Workflow

1. Microsoft Defender for Endpoint

   Defender pour point de terminaison sécurise les points de terminaison de votre entreprise et est conçu pour aider les réseaux à prévenir, détecter, examiner et traiter les menaces avancées. Il crée une couche de protection pour les machines virtuelles qui s’exécutent sur Azure et localement. Pour plus d’informations sur ce qu’il peut protéger, consultez Microsoft Defender pour point de terminaison.

2. Microsoft Defender for Cloud Apps

   Anciennement appelé Microsoft Cloud Application Security, Defender for Cloud Apps est un CASB (Cloud Access Security Broker) qui prend en charge plusieurs modes de déploiement. Ces modes incluent la collecte de journaux, les connecteurs d’API et le proxy inverse. Il offre une grande visibilité, un contrôle des déplacements des données, et des analyses sophistiquées pour identifier et combattre les cybermenaces sur l'ensemble de vos services cloud Microsoft et tiers. Il fournit une protection et une atténuation des risques pour Cloud Apps et même pour certaines applications qui s’exécutent localement. Il fournit également une couche de protection pour les utilisateurs qui accèdent à ces applications. Pour plus d’informations, consultez Vue d’ensemble de Microsoft Defender for Cloud Apps.

   Il est important de ne pas confondre Defender for Cloud Apps et Microsoft Defender pour le cloud, qui fournit des recommandations et un score de la posture de sécurité des serveurs, des applications, des comptes de stockage et d’autres ressources s’exécutant dans Azure, localement et dans d’autres clouds. Defender pour le cloud consolide deux services précédents, Azure Security Center et Azure Defender.

3. Microsoft Defender pour Office 365

   Defender pour Office 365 protège votre organisation contre les menaces malveillantes issues d’e-mails, de liens (URL) et d’outils de collaboration. Il fournit une protection pour la messagerie et la collaboration. Selon la licence, vous pouvez ajouter une enquête post-violation, la chasse et la réponse, ainsi que l’automatisation et la simulation (pour la formation). Pour plus d’informations sur les options de licence, consultez Vue d’ensemble de la sécurité Microsoft Defender pour Office 365.

4. Microsoft Defender pour Identity

   Defender pour Identity est une solution de sécurité cloud qui s’appuie sur vos signaux Active Directory locaux pour identifier, détecter et investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise. Il protège Active Directory Domain Services (AD DS) qui s’exécute localement. Même si ce service s’exécute sur le cloud, il fonctionne pour protéger les identités locales. Defender pour Identity était anciennement appelé Azure Advanced Threat Protection. Pour plus d’informations, consultez Présentation de Microsoft Defender pour Identity.

   Si vous avez besoin d’une protection pour les identités fournies par Microsoft Entra ID et qui s’exécute en mode natif sur le cloud, envisagez Microsoft Entra ID Protection.

5. Microsoft Endpoint Manager

   Endpoint Manager fournit des services pour les services cloud, les services locaux et pour Microsoft Intune, ce qui vous permet de contrôler les fonctionnalités et les paramètres sur les appareils Android, Android Enterprise, iOS, iPadOS, macOS, Windows 10 et Windows 11. Intégration aux autres services, notamment :

   • Microsoft Entra ID.
   • Les défenseurs contre les menaces mobiles.
   • Les modèles d’administration (ADMX).
   • Les applications Win32.
   • Les applications métier.

   Un autre service qui fait désormais partie de Endpoint Manager est Configuration Manager, une solution de gestion locale qui vous permet de gérer les ordinateurs et serveurs clients qui se trouvent sur votre réseau, connectés directement ou via Internet. Vous pouvez activer la fonctionnalité cloud pour intégrer Configuration Manager avec Intune, Microsoft Entra ID, Defender pour point de terminaison et d’autres services cloud. Utilisez-le pour déployer des applications, des mises à jour logicielles et des systèmes d'exploitation. Vous pouvez également surveiller la conformité, rechercher des objets et agir sur les clients en temps réel, et bien plus encore. Pour en savoir plus sur tous les services disponibles, consultez Vue d’ensemble de Microsoft Endpoint Manager.

Ordre d’attaque des exemples de menaces

Les menaces nommées dans le diagramme suivent un ordre d’attaque courant :

1. Un attaquant envoie un e-mail de hameçonnage auquel des programmes malveillants sont joints.

2. Un utilisateur final ouvre le programme malveillant joint.

3. Le programme malveillant s’installe dans le serveur principal sans que l’utilisateur ne le remarque.

4. Le programme malveillant installé vole certaines informations d’identification de l’utilisateur.

5. L’attaquant utilise les informations d’identification pour accéder aux comptes sensibles.

6. Si les informations d’identification fournissent l’accès à un compte disposant de privilèges élevés, l’attaquant compromet des systèmes supplémentaires.

Le diagramme indique également dans la couche étiquetée DEFENDER que les services Microsoft Defender XDR peuvent surveiller et atténuer ces attaques. Voici un exemple de la façon dont Defender fournit une couche supplémentaire de sécurité qui fonctionne avec les services de sécurité Azure pour offrir une protection supplémentaire des ressources affichées dans le diagramme. Pour plus d’informations sur la façon dont les attaques potentielles menacent votre environnement informatique, consultez le deuxième article de cette série, Mapper les menaces à votre environnement informatique. Pour plus d’informations sur Microsoft Defender XDR, consultez Microsoft Defender XDR.

Accéder aux services de sécurité Microsoft Defender XDR et les gérer

Actuellement, vous devez peut-être utiliser plusieurs portails pour gérer les services Microsoft Defender XDR. Toutefois, Microsoft s’efforce de centraliser les fonctionnalités autant que possible. Le diagramme suivant montre quels portails sont actuellement disponibles et leurs relations entre eux.

Security.microsoft.com est actuellement le portail le plus important disponible, car il apporte des fonctionnalités de Microsoft Defender pour Office 365 (1) et de Defender pour point de terminaison (2). Toutefois, depuis mars 2022, vous pouvez toujours accéder à protection.office.com pour les fonctionnalités de sécurité concernant Office 365 (3). Pour Defender pour point de terminaison, si vous essayez d’accéder à l’ancien portail, securitycenter.windows.com, vous êtes redirigé vers le nouveau portail à l’adresse security.microsoft.com (7).

La principale utilisation de portal.cloudappsecurity.com est de gérer (4) Defender pour Cloud Apps. Il vous permet de gérer des applications cloud et certaines applications qui s’exécutent localement, de gérer des applications non autorisées (informatique fantôme) et de passer en revue les signaux utilisateur de Identity Protection. Vous pouvez également utiliser ce portail pour gérer de nombreux signaux et fonctionnalités à partir de (5) Identity Protection en local, ce qui vous permet de consolider de nombreuses fonctions à partir de (6) portal.atp.azure.com sur (4) le portail pour Defender for Cloud Apps. Cependant, vous pouvez toujours accéder à (6) portal.atp.azure.com si vous en avez besoin.

Enfin, endpoint.microsoft.com fournit des fonctionnalités principalement pour Intune et Configuration Manager, mais aussi pour d’autres services qui font partie de Endpoint Manager. Étant donné que security.microsoft.com et endpoint.microsoft.com offrent une protection de sécurité pour les points de terminaison, ils ont de nombreuses interactions entre eux (9) pour offrir une excellente posture de sécurité pour vos points de terminaison.

Composants

L’exemple d’architecture de cet article utilise les composants Azure suivants :

• Microsoft Entra ID est un service de gestion des identités et des accès basé sur le cloud. Microsoft Entra ID permet à vos utilisateurs d’accéder à des ressources externes, telles que Microsoft 365, le Portail Azure et des milliers d’autres applications SaaS. Il les aide également à accéder aux ressources internes, notamment les applications situées sur votre réseau intranet d’entreprise.

• Le Réseau virtuel Azure est le bloc de construction fondamental de votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure de communiquer de manière sécurisée entre elles, avec Internet et avec des réseaux locaux. Le réseau virtuel fournit un réseau virtuel qui bénéficie de l’infrastructure d’Azure, comme la mise à l’échelle, la disponibilité et l’isolement.

• Azure Load Balancer est un service d’équilibrage de charge de 4e couche à faible latence et hautes performances (en entrée et en sortie) pour tous les protocoles UDP et TCP. Il est conçu pour traiter des millions de demandes par seconde, tout en garantissant la haute disponibilité de votre solution. Azure Load Balancer est redondant interzone, garantissant une haute disponibilité de la fonctionnalité Zones de disponibilité.

• Les machines virtuelles sont l’un des nombreux types de ressources informatiques évolutives à la demande proposées par Azure. Une machine virtuelle Azure vous offre la flexibilité de la virtualisation sans que vous ayez à acheter le matériel physique qui l’exécute ni à en assurer la maintenance.

• Azure Kubernetes Service (AKS) est un service complètement managé qui sert au déploiement et à la gestion d’applications conteneurisées. AKS offre une expérience d’intégration continue/de livraison continue (CI/CD) Kubernetes serverless ainsi que des fonctionnalités de sécurité et de gouvernance de niveau entreprise.

• Azure Virtual Desktop est un service de virtualisation de bureau et d’application qui s’exécute dans le cloud afin de fournir des bureaux aux utilisateurs distants.

• Web Apps est un service HTTP pour l’hébergement d’applications web, d’API REST et de back-ends mobiles. Vous pouvez développer dans votre langage favori, et les applications s’exécutent et se mettent à l’échelle facilement dans les environnements Windows et Linux.

• Stockage Azure est un stockage hautement disponible, évolutif, durable et sécurisé pour différents objets de données dans le cloud, notamment l’objet, l’objet blob, le fichier, le disque, la file d’attente et le stockage de tables. Toutes les données écrites dans un compte de stockage Azure sont chiffrées par le service. Le Stockage Azure vous permet de contrôler de manière plus précise qui a accès à vos données.

• Azure SQL Database est un moteur de base de données PaaS complètement managé qui prend en charge la plupart des fonctions de gestion de base de données telles que la mise à niveau, la mise à jour corrective, les sauvegardes et la surveillance. Il fournit ces fonctions sans intervention de l’utilisateur. SQL Database fournit toute une gamme de fonctionnalités intégrées de sécurité et conformité pour que votre application réponde aux exigences de conformité et de sécurité.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Rudnei Oliveira | Ingénieur client senior

Autres contributeurs :

• Gary Moore | Programmeur/rédacteur
• Andrew Nathan | Responsable senior de l’ingénierie client

Étapes suivantes

• Se défendre contre les menaces avec Microsoft 365
• Détecter et répondre aux cyberattaques avec Microsoft Defender XDR
• Bien démarrer avec Microsoft Defender XDR
• Mettre en place le renseignement sur les menaces dans Microsoft 365
• Gérer la sécurité avec Microsoft 365
• Protéger contre les menaces malveillantes avec Microsoft Defender pour Office 365
• Protéger les identités locales avec Microsoft Defender pour le cloud pour Identity

Ressources associées

Pour plus d’informations sur cette architecture de référence, consultez les autres articles de cette série :

• Partie 1 : Utiliser la supervision Azure pour intégrer des composants de sécurité
• Partie 2 : Mapper les menaces à votre environnement informatique
• Partie 3 : Créer la première couche de défense avec les services de sécurité Azure
• Partie 5 : Intégration entre les services de sécurité Azure et Microsoft Defender XDR