Évaluer et piloter Microsoft 365 Defender

S’applique à :

  • Microsoft 365 Defender

Fonctionnement de cette série d’articles

Cette série d’articles est conçue pour vous aider tout au long du processus de configuration d’un environnement XDR d’essai, de bout en bout, afin que vous puissiez évaluer les fonctionnalités de Microsoft 365 Defender et même promouvoir l’environnement d’évaluation directement en production quand et si vous êtes prêt.

Si vous débutez dans la réflexion sur XDR, vous pouvez parcourir ces 7 articles liés pour avoir une idée de l’exhaustivité de la solution.

Microsoft 365 Defender est une solution de cybersécurité Microsoft XDR

Microsoft 365 Defender est une solution de détection et de réponse eXtended (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte de votre environnement Microsoft 365, y compris les points de terminaison, les e-mails, les applications et les identités. Il tire parti de l’intelligence artificielle (IA) et de l’automatisation pour arrêter automatiquement les attaques et corriger les ressources affectées dans un état sûr.

Considérez XDR comme l’étape suivante en matière de sécurité, d’unification du point de terminaison (détection et réponse de point de terminaison ou EDR), de la messagerie électronique, des applications et de la sécurité des identités au même endroit.

Recommandations Microsoft pour l’évaluation des Microsoft 365 Defender

Microsoft vous recommande de créer votre évaluation dans un abonnement de production existant de Office 365. De cette façon, vous obtiendrez immédiatement des insights réels et pouvez régler les paramètres pour travailler contre les menaces actuelles dans votre environnement. Une fois que vous avez acquis de l’expérience et que vous êtes à l’aise avec la plateforme, il vous suffit de promouvoir chaque composant, un à la fois, en production.

Anatomie d’une attaque de cybersécurité

Microsoft 365 Defender est une suite de défense d’entreprise basée sur le cloud, unifiée, avant et après violation. Il coordonne la prévention, ladétection, l’investigation et la réponse entre les points de terminaison, les identités, les applications, les e-mails, les applications collaboratives et toutes leurs données.

Dans cette illustration, une attaque est en cours. L’e-mail de hameçonnage arrive dans la boîte de réception d’un employé de votre organisation, qui ouvre sans le savoir la pièce jointe. Cela installe des programmes malveillants, ce qui conduit à une chaîne d’événements qui pourrait se terminer par le vol de données sensibles. Mais dans ce cas, Defender pour Office 365 est en cours de fonctionnement.

Les différentes tentatives d’attaque

Dans cette illustration :

  • Exchange Online Protection, qui fait partie de Microsoft Defender pour Office 365, peut détecter le courrier électronique d’hameçonnage et utiliser des règles de flux de courrier (également appelées règles de transport) pour s’assurer qu’il n’arrive jamais dans la boîte de réception.
  • Defender pour Office 365 utilise des pièces jointes sécurisées pour tester la pièce jointe et déterminer qu’elle est dangereuse. Ainsi, le courrier qui arrive n’est pas actionnable par l’utilisateur ou des stratégies empêchent le courrier d’arriver.
  • Defender pour point de terminaison gère les appareils qui se connectent au réseau d’entreprise et détectent les vulnérabilités des appareils et du réseau qui pourraient autrement être exploitées.
  • Defender pour Identity prend note des changements soudains de compte, comme l’escalade de privilèges ou un mouvement latéral à haut risque. Il signale également des problèmes d’identité facilement exploités, comme la délégation Kerberos sans contrainte, pour correction par l’équipe de sécurité.
  • Microsoft Defender for Cloud Apps remarque des comportements anormaux tels que l’impossibilité de voyager, l’accès aux informations d’identification et les activités inhabituelles de téléchargement, de partage de fichiers ou de transfert de courrier, et les signale à l’équipe de sécurité.

Microsoft 365 Defender composants sécurisent les appareils, l’identité, les données et les applications

Microsoft 365 Defender est constitué de ces technologies de sécurité, fonctionnant en tandem. Vous n’avez pas besoin de tous ces composants pour tirer parti des fonctionnalités de XDR et de Microsoft 365 Defender. Vous réaliserez des gains et des gains d’efficacité en utilisant également un ou deux.

Composant Description Documentation de référence
Microsoft Defender pour l’identité Microsoft Defender pour Identity utilise les signaux Active Directory pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation. Qu’est-ce que Microsoft Defender pour Identity ?
Exchange Online Protection Exchange Online Protection est le service de relais et de filtrage SMTP cloud natif qui permet de protéger votre organisation contre le courrier indésirable et les programmes malveillants. Vue d’ensemble Exchange Online Protection (EOP) - Office 365
Microsoft Defender pour Office 365 Microsoft Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les e-mails, les liens (URL) et les outils de collaboration. Microsoft Defender pour Office 365 - Office 365
Microsoft Defender pour point de terminaison Microsoft Defender pour point de terminaison est une plateforme unifiée pour la protection des appareils, la détection post-violation, l’investigation automatisée et la réponse recommandée. Microsoft Defender pour point de terminaison - Sécurité Windows
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps est une solution multi-SaaS complète qui offre une visibilité approfondie, des contrôles de données forts et une protection renforcée contre les menaces à vos applications cloud. Qu’est-ce que Defender pour les applications cloud ?
Azure AD Identity Protection Azure AD Identity Protection évalue les données de risque de milliards de tentatives de connexion et utilise ces données pour évaluer le risque de chaque connexion à votre environnement. Ces données sont utilisées par Azure AD pour autoriser ou empêcher l’accès au compte, selon la façon dont les stratégies d’accès conditionnel sont configurées. Azure AD Identity Protection est concédé sous licence séparément de Microsoft 365 Defender. Il est inclus avec Azure Active Directory Premium P2. Qu’est-ce qu’Identity Protection ?

architecture Microsoft 365 Defender

Le diagramme ci-dessous illustre l’architecture de haut niveau pour les composants et les intégrations de Microsoft 365 Defender clés. L’architecture détaillée de chaque composant Defender et les scénarios de cas d’usage sont fournis dans cette série d’articles.

Architecture générale du portail Microsoft 365 Defender

Dans cette illustration :

  • Microsoft 365 Defender combine les signaux de tous les composants Defender pour fournir une détection et une réponse étendues (XDR) entre les domaines. Cela inclut une file d’attente d’incidents unifiée, une réponse automatisée pour arrêter les attaques, une réparation automatique (pour les appareils compromis, les identités utilisateur et les boîtes aux lettres), la chasse aux menaces croisées et l’analyse des menaces.
  • Microsoft Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et les outils de collaboration. Il partage les signaux résultant de ces activités avec Microsoft 365 Defender. Exchange Online Protection (EOP) est intégré pour fournir une protection de bout en bout pour les e-mails entrants et les pièces jointes.
  • Microsoft Defender pour Identity collecte les signaux des serveurs exécutant les services fédérés Active Directory (AD FS) et les services de domaine Active Directory local (AD DS). Il utilise ces signaux pour protéger votre environnement d’identité hybride, notamment contre les pirates informatiques qui utilisent des comptes compromis pour se déplacer latéralement entre les stations de travail dans l’environnement local.
  • Microsoft Defender pour point de terminaison collecte les signaux des appareils utilisés par votre organisation et les protège.
  • Microsoft Defender for Cloud Apps collecte les signaux de l’utilisation des applications cloud par votre organisation et protège les données qui circulent entre votre environnement et ces applications, y compris les applications cloud approuvées et non approuvées.
  • Azure AD Identity Protection évalue les données de risque de milliards de tentatives de connexion et utilise ces données pour évaluer le risque de chaque connexion à votre environnement. Ces données sont utilisées par Azure AD pour autoriser ou empêcher l’accès au compte, selon la façon dont les stratégies d’accès conditionnel sont configurées. Azure AD Identity Protection est concédé sous licence séparément de Microsoft 365 Defender. Il est inclus avec Azure Active Directory Premium P2.

Microsoft SIEM et SOAR peuvent utiliser des données de Microsoft 365 Defender

Composants d’architecture facultatifs supplémentaires non inclus dans cette illustration :

  • Les données de signal détaillées de tous les composants Microsoft 365 Defender peuvent être intégrées à Microsoft Sentinel et combinées avec d’autres sources de journalisation pour offrir des fonctionnalités et des insights SIEM et SOAR complets.
  • Pour plus d’informations sur l’utilisation de Microsoft Sentinel, azure SIEM, avec Microsoft 365 Defender en tant que XDR, consultez cet article Vue d’ensemble et les étapes d’intégration de Microsoft Sentinel et Microsoft 365 Defender.
  • Pour plus d’informations sur SOAR dans Microsoft Sentinel (y compris des liens vers des playbooks dans le référentiel GitHub Microsoft Sentinel), lisez cet article.

Le processus d’évaluation de Microsoft 365 Defender cybersécurité

Microsoft recommande d’activer les composants de Microsoft 365 dans l’ordre illustré :

Un processus d’évaluation de haut niveau dans le portail Microsoft 365 Defender

Le tableau suivant décrit cette illustration.

Numéro de série Étape Description
1 Créer l’environnement d’évaluation Cette étape garantit que vous disposez de la licence d’évaluation pour Microsoft 365 Defender.
2 Activer Defender pour Identity Passez en revue les exigences de l’architecture, activez l’évaluation et parcourez les tutoriels pour identifier et corriger les différents types d’attaques.
3 Activer Defender pour Office 365 Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote. Ce composant inclut Exchange Online Protection et vous allez donc réellement évaluer les deux ici.
4 Activer Defender pour point de terminaison Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote.
5 Activer Microsoft Defender for Cloud Apps Vérifiez que vous répondez aux exigences de l’architecture, activez l’évaluation, puis créez l’environnement pilote.
6 Examiner et répondre aux menaces Simuler une attaque et commencer à utiliser les fonctionnalités de réponse aux incidents.
7 Promouvoir la version d’évaluation en production Promouvoir les composants Microsoft 365 en production un par un.

Cet ordre est généralement recommandé et conçu pour tirer rapidement parti de la valeur des fonctionnalités en fonction de l’effort généralement nécessaire pour déployer et configurer les fonctionnalités. Par exemple, Defender pour Office 365 peut être configuré en moins de temps qu’il n’en faut pour inscrire des appareils dans Defender pour point de terminaison. Bien entendu, vous devez hiérarchiser les composants pour répondre aux besoins de votre entreprise et pouvoir les activer dans un ordre différent.

Passer à l’étape suivante

En savoir plus sur et/ou créer l’environnement d’évaluation Microsoft 365 Defender