Implémenter Microsoft Sentinel et Microsoft Defender XDR pour Confiance Zéro
Ce guide de solution décrit le processus de configuration des outils de détection et de réponse (XDR) Microsoft eXtended avec Microsoft Sentinel pour accélérer la capacité de votre organisation à répondre aux attaques de cybersécurité et à y remédier.
Microsoft Defender XDR est une solution XDR qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement Microsoft 365.
Microsoft Sentinel est une solution cloud native qui fournit des fonctionnalités de Gestion des événements et des informations de sécurité (SIEM) et d’Orchestration, l’automatisation de la sécurité et la réponse (SOAR). Ensemble, Microsoft Sentinel et Microsoft Defender XDR fournissent une solution complète pour aider les organisations à se défendre contre les attaques modernes.
Ce guide vous aide à mûrir votre architecture Confiance Zéro en mappant les principes de Confiance Zéro de manière suivante.
| Principe de Confiance Zéro | Rencontré par |
|---|---|
| Vérifier explicitement | Microsoft Sentinel collecte des données à partir de l’environnement, effectue une analyse des menaces et des anomalies et peut répondre grâce à l’automatisation. Microsoft Defender XDR fournit une détection et une réponse étendues concernant les utilisateurs, les identités, les appareils, les applications et les e-mails. Les signaux basés sur les risques qui sont capturés par Microsoft Defender XDR peuvent être utilisés par Microsoft Sentinel pour prendre des mesures. |
| Utiliser le droit d'accès minimal | Microsoft Sentinel peut détecter une activité anormale par le biais de son moteur UEBA (User Entity Behavior Analytics). Le renseignement sur les menaces avec Microsoft Sentinel peut importer des données de renseignement sur les menaces à partir de Microsoft ou de fournisseurs tiers pour détecter de nouvelles menaces émergentes et fournir un contexte supplémentaire pour les enquêtes. Microsoft Defender XDR est associé à la Protection Microsoft Entra ID, qui peut bloquer les utilisateurs en fonction du niveau de risque avec l’identité. Les données peuvent être transmises à Microsoft Sentinel pour une analyse et une automatisation supplémentaires. |
| Supposer une violation | Microsoft Defender XDR analyse en permanence l’environnement pour détecter les menaces et les vulnérabilités. Microsoft Sentinel analyse les données collectées, la tendance comportementale des entités pour détecter les activités suspectes, les anomalies et les menaces à plusieurs étapes dans l’entreprise. Microsoft Sentinel dispose de visualisations de manuels qui peuvent aider les organisations à renforcer l’environnement, comme le manuel Confiance Zéro. Microsoft Defender XDR et Sentinel peuvent implémenter des tâches de correction automatisées, notamment des investigations automatisées, l’isolement des appareils et la mise en quarantaine des données. Le risque d’appareil peut être utilisé comme signal pour alimenter l’accès conditionnel Microsoft Entra. |
Architecture Microsoft Sentinel et XDR
L’illustration suivante montre comment la solution XDR de Microsoft s’intègre parfaitement à Microsoft Sentinel.
Dans ce diagramme :
- Les insights provenant des signaux de l’ensemble de votre organisation alimentent Microsoft Defender XDR et Microsoft Defender pour le cloud.
- Microsoft Defender XDR et Microsoft Defender pour le cloud envoient des données de journal SIEM sur des connecteurs Microsoft Sentinel.
- Les équipes SecOps peuvent ensuite analyser les menaces identifiées et y répondre dans les portails Microsoft Sentinel et Microsoft Defender.
- Microsoft Sentinel prend en charge les environnements multiclouds et s’intègre à des applications et partenaires tiers.
Implémentation de Microsoft Sentinel et Microsoft Defender XDR pour la Confiance Zéro
Microsoft Defender XDR est une solution XDR qui complète Microsoft Sentinel. Un XDR extrait des données de télémétrie brutes à partir de plusieurs services tels que les applications cloud, la sécurité des e-mails, l’identité et la gestion des accès.
À l’aide de l’intelligence artificielle (IA) et du Machine Learning, le XDR effectue ensuite une analyse, un examen et une réponse automatiques en temps réel. La solution XDR met également en corrélation les alertes de sécurité en incidents plus importants, offrant aux équipes de sécurité une meilleure visibilité des attaques et fournit une hiérarchisation des incidents, aidant les analystes à comprendre le niveau de risque de la menace.
Avec Microsoft Sentinel, vous pouvez vous connecter à de nombreuses sources de sécurité à l’aide de connecteurs intégrés et de normes du secteur. Avec son IA, vous pouvez mettre en corrélation plusieurs signaux de faible fidélité couvrant plusieurs sources pour créer une vue complète de la chaîne de destruction de rançongiciel et des alertes hiérarchisées.
Tirer parti des fonctionnalités SIEM+XDR
Dans cette section, nous examinons un scénario d’attaque classique impliquant une attaque par hameçonnage, puis voyons comment répondre à l’incident avec Microsoft Sentinel et Microsoft Defender XDR.
Ordre d’attaque courant
Le diagramme suivant montre un ordre d’attaque courant d’un scénario de hameçonnage.
Le diagramme montre également les produits de sécurité Microsoft en place pour détecter chaque étape d’attaque, et comment les signaux d’attaque et les données SIEM transitent vers Microsoft Defender XDR et Microsoft Sentinel.
Voici un résumé de l'attaque.
| Étape d’attaque | Service de détection et source de signal | Défenses en place |
|---|---|---|
| 1. L’attaquant envoie un e-mail de hameçonnage | Microsoft Defender pour Office 365 | Protège les boîtes aux lettres avec des fonctionnalités avancées anti-hameçonnage qui peuvent se protéger contre les attaques par hameçonnage basées sur des emprunts d’identité malveillants. |
| 2. L’utilisateur ouvre la pièce jointe | Microsoft Defender pour Office 365 | La fonctionnalité Microsoft Defender for Office 365 « pièce jointe fiable » ouvre les pièces jointes dans un environnement isolé pour une analyse supplémentaire des menaces (détonation). |
| 3. La pièce jointe installe un logiciel malveillant | Microsoft Defender for Endpoint | Protège les points de terminaison contre les programmes malveillants avec ses fonctionnalités de protection de nouvelle génération, telles que la protection fournie par le cloud et la protection antivirus basée sur le comportement/heuristique/en temps réel. |
| 4. Le programme malveillant vole les informations d’identification de l’utilisateur | Microsoft Entra ID et Microsoft Entra ID Protection | Protège les identités en surveillant le comportement et les activités des utilisateurs, en détectant le mouvement latéral et en alertant sur les activités anormales. |
| 5. L'attaquant se déplace latéralement à travers les données et Microsoft 365 Apps | Microsoft Defender for Cloud Apps | Peut détecter une activité anormale des utilisateurs accédant aux applications cloud. |
| 6. L’attaquant télécharge des fichiers sensibles à partir d’un dossier SharePoint | Microsoft Defender for Cloud Apps | Peut détecter et répondre aux événements de téléchargement massif de fichiers à partir de SharePoint. |
Réponse aux incidents avec Microsoft Sentinel et Microsoft Defender XDR
Maintenant que nous avons vu comment une attaque courante a lieu, voyons comment utiliser l’intégration de Microsoft Sentinel et de Microsoft Defender XDR pour répondre aux incidents.
Voici le processus de réponse à un incident avec Microsoft Defender XDR et Microsoft Sentinel :
- Triez l’incident dans le portail Microsoft Sentinel.
- Accédez au portail Microsoft Defender pour démarrer votre investigation.
- Si nécessaire, poursuivez l’examen dans le portail Microsoft Sentinel.
- Résolvez l’incident dans le portail Microsoft Sentinel.
Le diagramme suivant montre le processus, en commençant par la découverte et le tri dans Microsoft Sentinel.
Pour plus d’informations, consultez Répondre à un incident avec Microsoft Sentinel et Microsoft Defender XDR.
Fonctionnalités clés
Pour implémenter une approche confiance Zéro dans la gestion des incidents, utilisez ces fonctionnalités Microsoft Sentinel et XDR.
| Fonctionnalités | Description | Produit |
|---|---|---|
| Investigation et réponse automatisées (AIR) | Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée. | Microsoft Defender XDR |
| Recherche avancée | La chasse avancée est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et les entités de menace. L’accès flexible aux données permet un repérage sans contrainte des menaces connues et potentielles. | Microsoft Defender XDR |
| Indicateurs de fichier personnalisés | Vous pouvez empêcher la propagation d’une attaque au sein de votre organisation en interdisant des fichiers potentiellement malveillants ou des programmes malveillants suspectés. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analyse les journaux de trafic collectés par Defender for Endpoint et évalue les applications identifiées sur le catalogue d’applications cloud pour fournir des informations de conformité et de sécurité. | Microsoft Defender for Cloud Apps |
| Indicateurs de réseau personnalisés | En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer des adresses IP, des URL ou des domaines en fonction de vos propres renseignements sur les menaces. | Microsoft Defender XDR |
| Protection évolutive des points de terminaison (EDR) Bloquer | Fournit une protection ajoutée contre les artefacts malveillants lorsque Microsoft Defender Antivirus (MDAV) n’est pas l’antivirus principal et s’exécute en mode passif. La PEPT en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés par les fonctionnalités PEPT. | Microsoft Defender XDR |
| Fonctionnalités de réponse de l’appareil | Répondre rapidement aux attaques détectées en isolant des appareils ou en collectant un package d’investigation | Microsoft Defender XDR |
| Réponse dynamique | La réponse dynamique permet aux équipes de sécurité d’accéder instantanément à un appareil (également appelé machine) à l’aide d’une connexion de l’interpréteur de commandes à distance. Cela vous donne la possibilité d’effectuer des investigations approfondies et de prendre des mesures immédiates pour contenir rapidement les menaces identifiées en temps réel. | Microsoft Defender XDR |
| Applications cloud sécurisées | Solution d’opérations de sécurité de développement (DevSecOps) qui unifie la gestion de la sécurité au niveau du code dans les environnements multicloud et multi pipelines. | Microsoft Defender pour le cloud |
| Renforcer votre posture de sécurité | Solution de gestion de la posture de sécurité cloud (CSPM) qui expose les actions que vous pouvez entreprendre pour empêcher les violations. | Microsoft Defender pour le cloud |
| Protéger les charges de travail cloud | Plateforme de protection de charge de travail cloud (CWPP) avec des protections spécifiques pour les serveurs, les conteneurs, le stockage, les bases de données et autres charges de travail. | Microsoft Defender pour le cloud |
| Analytique du comportement des entités et des utilisateurs (UEBA) | Analyse le comportement des entités d’organisation telles que les utilisateurs, les hôtes, les adresses IP et les applications) | Microsoft Sentinel |
| Fusion | Moteur de corrélation basé sur des algorithmes de Machine Learning évolutifs. Détecte automatiquement les attaques en plusieurs étapes, également connues sous le nom de menaces persistantes avancées (APT), en identifiant les combinaisons de comportements anormaux et d'activités suspectes observées à différents stades de la chaîne d'exécution. | Microsoft Sentinel |
| Renseignement sur les menaces | Utilisez des fournisseurs tiers Microsoft pour enrichir les données pour fournir un contexte supplémentaire autour des activités, des alertes et des journaux d’activité dans votre environnement. | Microsoft Sentinel |
| Automation | Les règles d’automatisation sont un moyen de gérer de manière centralisée l’automatisation dans Microsoft Sentinel, en vous permettant de définir et de coordonner un petit ensemble de règles pouvant s’appliquer dans différents scénarios. | Microsoft Sentinel |
| Règles d’anomalie | Les modèles de règle d’anomalie utilisent l’apprentissage automatique pour détecter des types spécifiques de comportement anormal. | Microsoft Sentinel |
| Requête planifiée | Règles intégrées écrites par les experts de sécurité Microsoft qui effectuent une recherche dans les journaux collectés par Sentinel pour les chaînes d’activité suspectes, menaces connues. | Microsoft Sentinel |
| Règles en quasi-temps réel | Les règles NRT sont un ensemble limité de règles planifiées, conçues pour s’exécuter une fois toutes les minutes, afin de vous fournir des informations aussi récentes que possible. | Microsoft Sentinel |
| Chasse | Afin de faciliter la tâche des analystes de la sécurité dans la recherche proactive des nouvelles anomalies non détectées par vos applications de sécurité ou même par vos règles analytiques planifiées, les requêtes de repérage intégrées de Microsoft Sentinel vous aident à poser les bonnes questions pour identifier les problèmes au niveau des données déjà présents dans le réseau. | Microsoft Sentinel |
| Connecteur Microsoft Defender XDR | Le connecteur Microsoft Defender XDR synchronise les journaux et les incidents dans Microsoft Sentinel. | Microsoft Defender XDR et Microsoft Sentinel |
| Connecteurs de données | Autorisez l’ingestion de données à des fins d’analyse dans Microsoft Sentinel. | Microsoft Sentinel |
| Solution de hub de contenu -Confiance Zéro (TIC 3.0) | La solution Confiance Zéro (TIC 3.0) comprend un manuel, des règles d'analyse et un guide opérationnel, qui fournissent une visualisation automatisée des principes de la Confiance Zéro, en lien avec le framework Trust Internet Connections, aidant ainsi les organisations à surveiller les configurations au fil du temps. | Microsoft Sentinel |
| Orchestration, automatisation et réponse en matière de sécurité (SOAR) | L’utilisation de règles d’automatisation et de guides opérationnels en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous permet de gagner du temps et des ressources. | Microsoft Sentinel |
Contenu de cette solution
Cette solution vous guide tout au long de l’implémentation de Microsoft Sentinel et XDR afin que votre équipe des opérations de sécurité puisse corriger efficacement les incidents à l’aide d’une approche Confiance Zéro.
Entraînement recommandé
| Formation | Connecter Microsoft Defender XDR à Microsoft Sentinel |
|---|---|
|
Découvrez les options de configuration et les données fournies par les connecteurs Microsoft Sentinel pour Microsoft Defender XDR. |
Étapes suivantes
Procédez comme suit pour implémenter Microsoft Sentinel et XDR pour une approche Confiance Zéro :
- Configurer les outils XDR
- Concevoir votre espace de travail Microsoft Sentinel
- Ingestion de sources de données
- Répondre aux incidents
Consultez également ces articles supplémentaires pour appliquer la stratégie Confiance Zéro principes à Azure :