Étape 2. Concevoir votre espace de travail Microsoft Sentinel
Le déploiement de l’environnement Microsoft Sentinel implique la conception d’une configuration d’espace de travail pour répondre à vos besoins en matière de sécurité et de conformité. Le processus de provisionnement comprend la création d'espaces de travail Log Analytics et la configuration des options Microsoft Sentinel appropriées.
Cet article fournit des recommandations sur la conception et l’implémentation d’espaces de travail Microsoft Sentinel pour les principes de Confiance Zéro.
Remarque
Si vous débutez avec les espaces de travail Microsoft Sentinel, consultez les stratégies de conception et les critères dans Concevoir une architecture d’espace de travail Log Analytics.
Étape 1 : Concevoir une stratégie de gouvernance
Si votre organisation dispose de plusieurs abonnements Azure, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d'administration fournissent une portée de gouvernance pour les abonnements. Lorsque vous organisez vos abonnements au sein de groupes d’administration, les conditions de gouvernance que vous configurez pour un groupe d’administration s’appliquent aux abonnements qu’il contient. Pour plus d’informations, consultez Organiser vos ressources avec des groupes d’administration.
Par exemple, l’espace de travail Microsoft Sentinel dans le diagramme suivant se trouve dans l’abonnement sécurité sous la plateforme groupe d’administration, qui fait partie du locataire Microsoft Entra.
L'abonnement Security Azure et l'espace de travail Microsoft Sentinel héritent du contrôle d'accès basé sur les rôles (RBAC) et des stratégies Azure appliqués au groupe de gestion Platform.
Étape 2 : Créez deux espaces de travail Log Analytics :
Pour utiliser Microsoft Sentinel, la première étape consiste à créer vos espaces de travail Log Analytics. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différentes exigences de l'entreprise.
Une bonne pratique consiste à créer des espaces de travail distincts pour les données opérationnelles et les données de sécurité afin de garantir la propriété des données et la gestion des coûts pour Microsoft Sentinel. Par exemple, s’il existe plusieurs personnes qui administrent des rôles opérationnels et de sécurité, votre première décision pour la stratégie Confiance Zéro est de créer des espaces de travail distincts pour ces rôles.
Pour en savoir plus, reportez-vous à Critères de conception d'espace de travail Log Analytics.
Pour obtenir un exemple d’espaces de travail distincts pour les rôles d’opération et de sécurité, consultez la solution de Contoso.
Considérations de conception de l’espace de travail Log Analytics
Pour un seul locataire, il existe deux façons de configurer les espaces de travail Microsoft Sentinel :
Un seul locataire avec un seul espace de travail Log Analytics. Dans ce cas, l’espace de travail devient le référentiel central pour les journaux d’activité dans toutes les ressources au sein du locataire.
Avantages :
- Consolidation centralisée des journaux.
- Il est plus facile d’interroger toutes les informations
- RBAC Azure Log Analytics pour contrôler l’accès. Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics - Azure Monitor.
- RBAC Microsoft Sentinel pour le service RBAC Pour plus d’informations, consultez Autorisations et rôles dans Microsoft Sentinel.
Inconvénients :
- Peut ne pas répondre aux exigences de gouvernance
- Il existe un coût de bande passante entre les régions.
Un seul locataire avec des espaces de travail Log Analytics régionaux.
Avantages :
- Aucun coût de bande passante entre les régions
- Peut être nécessaire pour répondre à la gouvernance.
- Contrôle d’accès granulaire aux données
- Paramètres de rétention granulaires
- Facturation fractionnée
Inconvénients :
- Pas de vue centrale
- L’analytique, les manuels et d’autres configurations doivent être déployés plusieurs fois.
Pour créer un espace de travail Log Analytics, consultez Créer un espace de travail Log Analytics.
Étape 3 : Concevoir l’espace de travail Sentinel
L’intégration de Microsoft Sentinel nécessite la sélection d’un espace de travail Log Analytics. Voici quelques considérations relatives à la configuration de Log Analytics pour Microsoft Sentinel :
- Créez un groupe de ressources « Sécurité » à des fins de gouvernance, ce qui permet l’isolation des ressources Microsoft Sentinel et l’accès en fonction du rôle à la collection. Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.
- Créez un espace de travail Log Analytics dans le groupe de ressources « Sécurité » et intégrez Microsoft Sentinel à celui-ci. Cela vous donne automatiquement 31 jours d’ingestion de données jusqu’à 10 Go par jour gratuitement dans le cadre d’un essai gratuit.
- Définissez votre espace de travail Log Analytics prenant en charge Microsoft Sentinel sur une rétention de 90 jours au minimum.
Une fois que vous avez intégré Microsoft Sentinel à un espace de travail Log Analytics, vous obtenez 90 jours de rétention des données sans coût supplémentaire. Vous entraînerez des coûts pour la quantité totale de données dans l’espace de travail après 90 jours. La définition de la valeur 90 jours garantit une substitution de données de journal de 90 jours. Vous pouvez envisager de conserver les données de journal pour plus longtemps en fonction des exigences gouvernementales. Pour plus d’informations, consultez démarrage rapide : Intégrer Microsoft Sentinel .
Confiance Zéro avec Microsoft Sentinel
Pour implémenter une architecture de confiance zéro, envisagez d’étendre l’espace de travail pour interroger et analyser vos données entre les espaces de travail et les locataires. Utilisez des exemples de conceptions d’espace de travail Microsoft Sentinel et étendez Microsoft Sentinel entre les espaces de travail et les locataires pour déterminer la meilleure conception de l’espace de travail pour votre organisation.
En outre, utilisez les instructions prescriptives relatives aux rôles et aux opérations cloud et à sa feuille de calcul Excel (téléchargement). À partir de ce guide, les tâches Confiance Zéro à prendre en compte pour Microsoft Sentinel sont les suivantes :
- Définissez des rôles RBAC Microsoft Sentinel avec des groupes Microsoft Entra associés.
- Vérifiez que les pratiques d’accès implémentées à Microsoft Sentinel répondent toujours aux exigences de votre organisation.
- Envisager l'utilisation de clés gérées par le client.
Confiance Zéro avec RBAC
Pour vous conformer à la stratégie Confiance Zéro, nous vous recommandons de configurer RBAC en fonction des ressources autorisées à vos utilisateurs au lieu de leur fournir l’accès à l’ensemble de l’environnement Microsoft Sentinel. Le tableau suivant répertorie certains des rôles spécifiques à Microsoft Sentinel.
| Nom de rôle | Description |
|---|---|
| Lecteur Microsoft Sentinel | Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel. |
| Répondeur Microsoft Sentinel | Outre les fonctionnalités du rôle Lecteur Microsoft Sentinel, gérez les incidents (assignez, ignorez, etc.). Ce rôle s’applique aux types d’analystes de sécurité des utilisateurs. |
| Opérateur de playbook Microsoft Sentinel | Répertoriez, affichez et exécutez manuellement des guides opérationnels. Ce rôle s'applique également aux types d'utilisateurs des analystes de la sécurité. Ce rôle permet d'accorder à un répondant Microsoft Sentinel la possibilité d'exécuter des guides opérationnels Microsoft Sentinel avec le moins de privilèges possible. |
| Contributeur Microsoft Sentinel | Outre les fonctionnalités du rôle Opérateur Playbook Microsoft Sentinel, créez et modifiez des manuels, des règles d’analytique et d’autres ressources Microsoft Sentinel. Ce rôle s’applique aux types d’utilisateurs d’ingénieurs de sécurité. |
| Contributeur Microsoft Sentinel Automation | Permet à Microsoft Sentinel d'ajouter des guides opérationnels aux règles d'automatisation. Il n’est pas destiné aux comptes d’utilisateur. |
Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics qui peuvent avoir été attribués aux utilisateurs à d’autres fins. Par exemple, les rôles Contributeur Log Analytics et Lecteur Log Analytics accordent l’accès à un espace de travail Log Analytics. Pour implémenter RBAC pour un espace de travail Microsoft Sentinel, consultez Rôles et autorisations dans Microsoft Sentinel et Gérer l’accès aux données Microsoft Sentinel par ressource.
Confiance Zéro dans l’architecture multilocataire avec Azure Lighthouse
Azure Lighthouse permet une gestion multi-locataire avec de la scalabilité, une automatisation plus poussée et une gouvernance renforcée des ressources. Avec Azure Lighthouse, vous pouvez gérer plusieurs espaces de travail Microsoft Sentinel entre les locataires Microsoft Entra à grande échelle. Voici un exemple :
Avec Azure Lighthouse, vous pouvez exécuter des requêtes sur plusieurs espaces de travail ou créer des manuels pour visualiser et surveiller les données à partir de vos sources de données connectées et obtenir des renseignements supplémentaires. Il est important de prendre en compte les principes de la Confiance Zéro. Consultez les pratiques de sécurité recommandées pour implémenter des contrôles d’accès des privilèges minimum pour Azure Lighthouse.
Tenez compte des questions suivantes lors de l’implémentation des meilleures pratiques de sécurité pour Azure Lighthouse :
- Qui est responsable de la propriété des données ?
- Quelles sont les exigences d’isolation et de conformité des données ?
- Comment implémenter les privilèges minimum entre les locataires.
- Comment gérer plusieurs connecteurs de données dans plusieurs espaces de travail Microsoft Sentinel ?
- Comment surveiller les environnements Office 365 ?
- Comment protéger les propriétés intellectuelles , par exemple, les guides opérationnels, les notebooks, les règles d’analyse entre les locataires ?
Consultez Gérer les espaces de travail Microsoft Sentinel à grande échelle : RBAC Azure granulaire pour les meilleures pratiques de sécurité de Microsoft Sentinel et d’Azure Lighthouse.
Entraînement recommandé
Voici les modules d’entraînement recommandés pour cette étape.
Présentation de Microsoft Sentinel
| Formation | Présentation de Microsoft Sentinel |
|---|---|
|
Microsoft Sentinel vous permet d’obtenir rapidement de précieux resneignements de sécurité à partir de vos données locales et cloud. |
Configuration de votre environnement Microsoft Sentinel
| Formation | Configuration de votre environnement Microsoft Sentinel |
|---|---|
|
Configurez correctement l’espace de travail Microsoft Sentinel pour bien démarrer avec Microsoft Sentinel. |
Créer et gérer des espaces de travail Microsoft Sentinel
| Formation | Créer et gérer des espaces de travail Microsoft Sentinel |
|---|---|
|
En savoir plus sur l’architecture des espaces de travail Microsoft Sentinel pour vous assurer que vous configurez votre système selon les exigences en matière d’opérations de sécurité de votre organisation. |
Étape suivante
Passez à l’étape 3 pour configurer Microsoft Sentinel pour ingérer des sources de données et configurer la détection des incidents.
Références
Reportez-vous à ces liens pour en savoir plus sur les services et technologies mentionnés dans cet article.
Microsoft Sentinel :
- Démarrage rapide : Intégration dans Microsoft Sentinel
- Gérer l’accès aux données de Microsoft Sentinel par ressources
Gouvernance Microsoft Sentinel :
- Organiser vos ressources avec des groupes d’administration
- Rôles et autorisations dans Microsoft Sentinel
Espaces de travail Log Analytics :
- Concevoir une architecture d’espace de travail Log Analytics
- Critères de conception pour les espaces de travail Log Analytics
- Solution de Contoso
- Gérer les espaces de travail Log Analytics - Azure Monitor
- Concevoir une architecture d’espace de travail Log Analytics
- Créer des espaces de travail Log Analytics
Espaces de travail Microsoft Sentinel et Azure Lighthouse :