Partager via

Vue d’ensemble des insights d’exposition et du degré de sécurisation

  • Article

Les insights d’exposition dans Microsoft Security Exposure Management agrègent en continu les données et les insights de posture de sécurité entre les charges de travail, dans un seul pipeline.

Security Exposure Management est actuellement en préversion publique.

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Insights sur l’exposition

Les insights d’exposition fournissent un contexte enrichi concernant l’état de la posture de sécurité de votre inventaire de ressources.

Les responsables de la sécurité de l’information (CISO), les décideurs, les propriétaires de risques et les équipes de sécurité peuvent utiliser les insights de sécurité et le contexte pour gérer les risques d’exposition sur l’ensemble de la organization, et pour hiérarchiser les efforts de sécurité et les investissements.

Les insights d’exposition incluent les événements de sécurité, les recommandations, les métriques et les initiatives. Ces composants s’appuient les uns sur les autres pour fournir un contexte précis autour de l’état de la posture de sécurité. Insights vous permet d’effectuer les actions suivantes :

  • Décomposez la posture de sécurité de l’organisation en initiatives hiérarchisées.
  • Mesurer et suivre l’exposition des éléments de sécurité clés dans les initiatives.
  • Hiérarchisez les domaines de sécurité en fonction des initiatives et des métriques.
  • Suivez les étapes de correction actionnables pour améliorer la posture de sécurité et réduire les risques.
  • Suivez les améliorations apportées aux initiatives de sécurité afin de suivre la réduction des risques de sécurité.

Initiatives

Les initiatives de sécurité simplifient la gestion de la posture de sécurité et vous aident à évaluer la préparation et la maturité dans des domaines spécifiques de risque de sécurité.

Security Exposure Management fournit des initiatives prédéfinies. Chaque initiative prédéfinie contient une ou plusieurs métriques de sécurité pertinentes pour cette initiative.

Les initiatives peuvent être liées à des domaines de charge de travail spécifiques, en mesurant un domaine spécifique tel que le point de terminaison, l’identité et la sécurité du cloud. Ils peuvent contribuer à l’analyse des menaces en se rapportant à une menace spécifique dans plusieurs catégories. Par exemple, la protection contre les rançongiciels ou la protection des ressources critiques. Les initiatives peuvent également se concentrer sur des normes de conformité spécifiques.

Vous pouvez hiérarchiser les initiatives à afficher dans le tableau de bord Vue d’ensemble . Le score de l’initiative reflète l’exposition status de l’initiative. Vous pouvez également explorer les initiatives pour voir leurs métriques associées et comprendre où se trouvent les lacunes ou les risques. Le score et les recommandations de l’initiative sont dérivés des métriques au sein de l’initiative.

Score de l’initiative

Le score d’initiative est calculé en fonction de la valeur et du poids des métriques associées à l’initiative. À mesure que les métriques améliorent le score d’initiative augmente, ce qui reflète une meilleure posture dans le domaine de l’initiative.

  • Les métriques s’améliorent en grande partie en appliquant les recommandations associées à l’initiative.
  • Les recommandations sont fixes, les métriques augmentent et, à leur tour, les scores d’initiative augmentent pour refléter l’amélioration de la posture de sécurité.
  • Les modifications apportées aux métriques, notamment la dépréciation/suppression, la valeur et les propriétés des métriques, peuvent affecter le score d’initiative.

Historique

Vous pouvez suivre l’historique des modifications supérieures à 2,5 % qui affectent le score d’initiative. Vous pouvez filtrer des points de temps spécifiques et explorer les modifications spécifiques. L’historique montre les effets en pourcentage des métriques dans le score d’initiative, ainsi que la raison du changement, notamment :

  • Modification de propriété : modification de la pondération de la métrique dans le score.
  • Changement de valeur : modification de la valeur de la métrique dans le score d’initiative.
  • Métrique supprimée : la métrique n’est plus pertinente pour cette initiative spécifique. Par instance, si une meilleure suggestion est introduite ou si elle devient non pertinente.
  • Métrique dépréciée : la métrique est supprimée globalement.

Capture d’écran de l’onglet Historique de l’initiative montrant le graphique et les dates des modifications.

La sélection de la métrique qui a changé fournit plus de détails sur la modification. Par instance, il peut afficher le nouveau poids d’une modification de propriété ou le nombre de ressources affectées avant ou après la modification.

Capture d’écran du panneau latéral de modification de métrique sous l’onglet Historique des initiatives.

Vous ne pouvez pas contrôler la métrique ou noter les modifications à l’avance.

Mesures

Les métriques regroupent des recommandations pour des ressources similaires et mesurent l’exposition à la sécurité autour de ces ressources, de l’exposition très élevée à l’absence d’exposition identifiée.

Par exemple :

  • Pourcentage de points de terminaison macOS manquants d’un agent de solution de sécurité de point de terminaison
  • Pourcentage de ressources cloud présentant des vulnérabilités critiques

Chaque métrique affiche :

  • Pourcentage de ressources affectées, importance relative de la métrique et effet de la métrique sur une initiative.
  • Il indique également le poids, ou l’importance, de la métrique et son effet sur le score de l’initiative sous forme de nombre. L’un est le plus bas et 10 le plus élevé.
  • Le poids des métriques peut être personnalisé pour avoir un effet plus ou moins important, en fonction des priorités métier de votre organisation.
  • La modification de la valeur de pondération de la métrique affecte la métrique et toutes les initiatives associées.

La plupart des métriques ont au moins une recommandation associée.

Utilisation des métriques

Vous pouvez explorer les recommandations de métriques individuelles pour y remédier. Les scores de métriques montent à mesure que les recommandations sont corrigées.

Utilisez des métriques pour évaluer l’exposition d’une initiative status et identifier les zones ou zones exposées qui ne répondent pas aux normes internes. Ces informations peuvent être utilisées pour hiérarchiser les efforts d’atténuation des risques.

Les métriques sont affichées uniquement si les données sous-jacentes de la métrique sont disponibles.

Propriétés des métriques

Les métriques incluent plusieurs propriétés qui permettent de les contextualiser et de les rendre exploitables :

Propriété Description
Valeur actuelle Pourcentage d’actifs affectés sur le total des actifs. Zéro pour cent est préférable, car il n’y a pas d’exposition, tandis que 100 % est pire.
Éléments affectés Nombre d’éléments conformes à la logique de la métrique. Dans la plupart des cas, ces éléments sont des actifs exposés ou qui créent un facteur de risque. Dans d’autres cas, les éléments affectés correspondraient au nombre de points de score sécurisé Microsoft manquants pour implémenter efficacement les contrôles recommandés.
Total Nombre de ressources délimitées pour la métrique. Par exemple, pour une métrique donnée, il peut s’agir de tous les points de terminaison. Pour un autre, il peut s’agir de tous les points de terminaison Windows.
Weight (Poids) L’importance de la métrique et son effet sur le score d’initiative. L’un est le plus bas tandis que 10 est le plus élevé. Le poids peut être personnalisé pour avoir un effet plus ou moins important en fonction des priorités et considérations commerciales uniques de votre organization. La modification de votre valeur de pondération de métrique affecte la métrique et toutes les initiatives associées.
Noter l’impact Effet que la réalisation de la métrique a sur le score de l’initiative. Cela signifie que si une métrique donnée est terminée, l’impact du score est l’addition observée au score de l’initiative.

Ces propriétés s’affichent lors de l’affichage de toutes les métriques dans la section Insights sur l’exposition.

L’affichage de toutes les métriques de la page métriques ajoute :

  • La tendance de 14 jours montre les changements de valeur de métrique au cours des 14 derniers jours sous forme de pourcentage et de graphique.
  • État tel que :
    • Nécessite une attention ou nécessite une atténuation.
    • Risque accepté par un administrateur pour indiquer que le risque a été atténué d’une manière non mesurable qui n’affecte pas le score de l’initiative.
    • La cible a été atteinte ou l’exposition a été atténuée.
  • Nombre total d’éléments.
  • Dernière mise à jour indique la date de la dernière mise à jour de la métrique.

Métriques non disponibles

Dans certains cas, les métriques s’affichent grisées, car les données sous-jacentes nécessaires à cette métrique n’existent pas. Par instance, lorsque la charge de travail requise n’est pas intégrée ou qu’une métrique de niveau de sécurité a été définie dans Niveau de sécurité sur terminé ou que le risque est accepté afin que Security Exposure Management ne puisse pas accéder aux données de métriques.

Les métriques grisées ne sont pas prises en compte pour le calcul du score.

Problèmes à noter

Il est important de noter certains problèmes spécifiques aux métriques :

  • Certaines instances d’informations sur les ressources affectées (principalement des informations provenant du degré de sécurisation) n’apparaissent pas sous l’onglet Éléments affectés dans une métrique individuelle.
  • Certaines informations critiques sur les ressources de l’onglet Éléments affectés ne s’affichent pas.
  • Les détails de la ressource sont calculés à la demande.
  • Les métriques liées au cloud ne sont disponibles que si Microsoft Defender pour le cloud est disponible dans l’abonnement et si le plan de gestion de la posture de sécurité cloud (CSPM) Defender est activé.
  • Dans certains cas, les métriques sont plus spécifiques que l’étendue des recommandations associées. Dans ce cas, les détails de la ressource affichés ne s’alignent pas sur les détails de la ressource des recommandations associées.
  • Si vous supprimez une charge de travail, vous ne pouvez pas actualiser la métrique status et les détails de la ressource pour les métriques associées à la charge de travail.

Recommandations de sécurité

Les ressources et les charges de travail sont évaluées par rapport aux mesures et normes de sécurité, et des recommandations de sécurité sont émises en fonction de ces évaluations.

Les recommandations fournissent des étapes pratiques pour vous aider à améliorer et corriger la posture de sécurité et les problèmes détectés.

Dans Security Exposure Management, le catalogue de recommandations sert de référentiel centralisé pour les recommandations de sécurité.

Sources de recommandations

Security Exposure Management intègre les recommandations de Microsoft Defender pour le cloud exécutant le plan CSPM (Security Posture Management) Defender pour le cloud, Defender XDR niveau de sécurité et d’autres charges de travail Microsoft. Il fournit également des recommandations relatives aux charges de travail non-Microsoft.

Utilisation des recommandations

Vous pouvez consulter les recommandations individuelles, leur état, leur impact, leur source, les détails sur les entités exposées, ainsi que les initiatives et métriques associées. Chaque recommandation fournit des étapes de correction pour résoudre les problèmes détectés.

Chaque action effectuée sur une recommandation de sécurité contribue à réduire l’exposition et influence directement les mesures et initiatives de sécurité associées.

Capture d’écran des détails de la recommandation de protection avancée contre les ransomwares

Conformité

Security Exposure Management classe la sécurité par état de conformité pour l’ensemble du organization.

  • Conforme indique que la recommandation a été implémentée avec succès.
  • Atténué par l’organisation s’affiche lorsque des étapes d’atténuation des recommandations ont été effectuées ailleurs, et security Exposure Management ne peut pas savoir si les recommandations sont conformes. Par exemple, en modifiant un status dans Degré de sécurisation.
  • Non disponible signifie qu’il n’y a pas assez d’informations pour déterminer la status de conformité.

Événements de sécurité

Les événements de sécurité regroupent des informations sur les changements de gestion de la posture détectés. En réponse aux modifications, vous pouvez vous adapter en conséquence pour maintenir une posture de sécurité robuste.

Les événements mesurent la baisse ou l’aggravation du score dans la status de la métrique.

  • Les événements de chute de score de métrique informent les clients lorsqu’une nouvelle exposition est mesurée par les métriques de sécurité. Ils sont évalués en fonction de l’effet sur le score et son poids. S’il y a une diminution d’au moins 2 % depuis hier, ce qui signifie que l’exposition a augmenté de 2 %, le changement est considéré comme un événement de baisse de score.
  • Les événements de suppression de score d’initiative informent les clients lorsque les initiatives de sécurité diminuent. Nous évaluons les événements de baisse de score d’initiative en fonction de leur impact sur le score. S’il y a une diminution d’au moins 2 % depuis hier, le changement est classé comme un événement de baisse de score. Les événements de sécurité présentent et suivent les incidents de suppression de score d’initiative et de métrique pour déterminer comment ils affectent la posture de sécurité de l’organization.

Les nouveaux événements apparaissent en haut du tableau et peuvent inclure un nouvel événement d’initiative.

Niveau de sécurité

Le niveau de sécurité Microsoft aide les organisations à planifier et à améliorer la posture de sécurité globale à l’aide du degré de sécurisation comme métrique de suivi.

Security Exposure Management utilise le degré de sécurité comme l’une de ses sources pour les scores d’initiative.

  • Le degré de sécurisation comporte des « actions recommandées » pour un certain nombre de produits.
  • La sélection d’une recommandation à examiner vous permet de corriger le problème dans le produit spécifique, y compris les recommandations dérivées du degré de sécurisation.
  • Pour les recommandations pour lesquelles le degré de sécurisation est pertinent, si le degré de sécurisation n’est pas actif, cette recommandation ne s’affiche pas.

Prochaines étapes