Implémenter Microsoft Sentinel et Microsoft Defender XDR pour Confiance Zéro
Le guide de solution décrit le processus de configuration des outils de détection et de réponse étendues Microsoft (XDR) avec Microsoft Sentinel pour accélérer la capacité de votre organisation à répondre et à corriger les attaques de cybersécurité.
Microsoft Defender XDR est une solution XDR qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement Microsoft 365.
Microsoft Sentinel est une solution cloud native qui fournit des fonctionnalités de Gestion des événements et des informations de sécurité (SIEM) et d’Orchestration, l’automatisation de la sécurité et la réponse (SOAR). Ensemble, Microsoft Sentinel et Microsoft Defender XDR fournissent une solution complète pour aider les organisations à se défendre contre les attaques modernes.
Ce guide vous aide à mûrir votre architecture Confiance Zéro en mappant les principes de Confiance Zéro de manière suivante.
| Principe de Confiance Zéro | Rencontré par |
|---|---|
| Vérifier explicitement | Microsoft Sentinel collecte des données à partir de l’environnement et analyse les menaces et les anomalies afin que votre organisation, ainsi que toute automatisation implémentée, puisse agir en fonction de tous les points de données disponibles et vérifiés. Microsoft Defender XDR fournit une détection et une réponse étendues concernant les utilisateurs, les identités, les appareils, les applications et les e-mails. Configurez l’automatisation de Microsoft Sentinel pour utiliser les signaux basés sur les risques capturés par Microsoft Defender XDR pour prendre des mesures, telles que le blocage ou l’autorisation du trafic en fonction du niveau de risque. |
| Utiliser le droit d'accès minimal | Microsoft Sentinel détecte une activité anormale par le biais de son moteur UEBA (User Entity Behavior Analytics). Étant donné que les scénarios de sécurité peuvent changer au fil du temps, et souvent très rapidement, le renseignement sur les menaces de Microsoft Sentinel importe également des données Microsoft ou des fournisseurs tiers pour détecter de nouvelles menaces émergentes et fournir un contexte supplémentaire pour les enquêtes. Microsoft Defender XDR est associé à la Protection Microsoft Entra ID, qui peut bloquer les utilisateurs en fonction du niveau de risque avec l’identité. Alimentez toutes les données associées dans Microsoft Sentinel pour une analyse et une automatisation supplémentaires. |
| Supposer une violation | Microsoft Defender XDR analyse en permanence l’environnement pour détecter les menaces et les vulnérabilités. Microsoft Sentinel analyse les données collectées et les tendances comportementales de chaque entité pour détecter les activités suspectes, les anomalies et les menaces multi-étapes dans l’entreprise. Microsoft Defender XDR et Microsoft Sentinel peuvent implémenter des tâches de correction automatisées, notamment des investigations automatisées, l’isolement des appareils et la mise en quarantaine des données. Le risque d’appareil peut être utilisé comme signal pour alimenter l’accès conditionnel Microsoft Entra. |
Architecture Microsoft Sentinel et XDR
Les clients Microsoft Sentinel peuvent utiliser l’une des méthodes suivantes pour intégrer Microsoft Sentinel aux services XDR Microsoft Defender :
Utilisez des connecteurs de données Microsoft Sentinel pour ingérer des données de service Microsoft Defender XDR dans Microsoft Sentinel. Dans ce cas, affichez les données Microsoft Sentinel dans le portail Azure.
Intégrez Microsoft Sentinel et Microsoft Defender XDR à une plateforme d’opérations de sécurité unifiée unique dans le portail Microsoft Defender. Dans ce cas, consultez les données Microsoft Sentinel directement dans le portail Microsoft Defender avec le reste de vos incidents, alertes, vulnérabilités et autres données de sécurité.
Ce guide de solution fournit des informations sur les deux méthodes. Tout au long de ce guide de solution, sélectionnez l’onglet pertinent pour votre espace de travail. Si vous avez intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée, travaillez dans le portail Defender. Si vous n’avez pas intégré votre espace de travail, travaillez dans le portail Azure, sauf indication contraire.
L’illustration suivante montre comment la solution XDR de Microsoft s’intègre de façon transparente à Microsoft Sentinel avec la plateforme d’opérations de sécurité unifiée.
Dans ce diagramme :
- Les informations provenant des signaux de l’ensemble de votre organisation alimentent Microsoft Defender XDR et Microsoft Defender pour le cloud.
- Microsoft Sentinel prend en charge les environnements multicloud et s’intègre aux applications et partenaires tiers.
- Les données Microsoft Sentinel sont ingérées avec les données de votre organisation dans le portail Microsoft Defender.
- Les équipes SecOps peuvent ensuite analyser les menaces identifiées par Microsoft Sentinel et Microsoft Defender XDR et y répondre dans le portail Microsoft Defender.
Implémentation de Microsoft Sentinel et Microsoft Defender XDR pour la Confiance Zéro
Microsoft Defender XDR est une solution XDR qui complète Microsoft Sentinel. Un XDR extrait des données de télémétrie brutes à partir de plusieurs services tels que les applications cloud, la sécurité des e-mails, l’identité et la gestion des accès.
À l’aide de l’intelligence artificielle (IA) et du Machine Learning, le XDR effectue ensuite une analyse, un examen et une réponse automatiques en temps réel. La solution XDR met également en corrélation les alertes de sécurité en incidents plus importants, offrant aux équipes de sécurité une meilleure visibilité des attaques et fournit une hiérarchisation des incidents, aidant les analystes à comprendre le niveau de risque de la menace.
Avec Microsoft Sentinel, vous pouvez vous connecter à de nombreuses sources de sécurité à l’aide de connecteurs intégrés et de normes du secteur. Avec son IA, vous pouvez mettre en corrélation plusieurs signaux de faible fidélité couvrant plusieurs sources pour créer une vue complète de la chaîne de destruction de rançongiciel et des alertes hiérarchisées.
Application des fonctionnalités SIEM et XDR
Dans cette section, nous allons examiner un scénario d’attaque classique impliquant une attaque par hameçonnage, puis voyons comment répondre à l’incident avec Microsoft Sentinel et Microsoft Defender XDR.
Ordre d’attaque courant
Le diagramme suivant montre un ordre d’attaque courant d’un scénario de hameçonnage.
Le diagramme montre également les produits de sécurité Microsoft en place pour détecter chaque étape d’attaque, et comment les signaux d’attaque et les données SIEM transitent vers Microsoft Defender XDR et Microsoft Sentinel.
Voici un résumé de l’attaque.
| Étape d’attaque | Service de détection et source de signal | Défenses en place |
|---|---|---|
| 1. L’attaquant envoie un e-mail de hameçonnage | Microsoft Defender pour Office 365 | Protège les boîtes aux lettres avec des fonctionnalités avancées anti-hameçonnage qui peuvent se protéger contre les attaques par hameçonnage basées sur des emprunts d’identité malveillants. |
| 2. L’utilisateur ouvre la pièce jointe | Microsoft Defender pour Office 365 | La fonctionnalité Pièces jointes sécurisées Microsoft Defender pour Office 365 ouvre les pièces jointes dans un environnement isolé pour une analyse plus des menaces (détonation). |
| 3. La pièce jointe installe un logiciel malveillant | Microsoft Defender for Endpoint | Protège les points de terminaison contre les programmes malveillants avec ses fonctionnalités de protection de nouvelle génération, telles que la protection fournie par le cloud et la protection antivirus basée sur le comportement/heuristique/en temps réel. |
| 4. Le programme malveillant vole les informations d’identification de l’utilisateur | Microsoft Entra ID et Microsoft Entra ID Protection | Protège les identités en surveillant le comportement et les activités des utilisateurs, en détectant le mouvement latéral et en alertant sur les activités anormales. |
| 5. L'attaquant se déplace latéralement à travers les données et Microsoft 365 Apps | Microsoft Defender for Cloud Apps | Peut détecter une activité anormale des utilisateurs accédant aux applications cloud. |
| 6. L’attaquant télécharge des fichiers sensibles à partir d’un dossier SharePoint | Microsoft Defender for Cloud Apps | Peut détecter et répondre aux événements de téléchargement massif de fichiers à partir de SharePoint. |
Si vous avez intégré votre espace de travail Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée, les données SIEM sont disponibles avec Microsoft Sentinel directement dans le portail Microsoft Defender.
Réponse aux incidents avec Microsoft Sentinel et Microsoft Defender XDR
Maintenant que nous avons vu comment une attaque courante a lieu, voyons comment utiliser l’intégration de Microsoft Sentinel et de Microsoft Defender XDR pour répondre aux incidents.
Sélectionnez l’onglet approprié pour votre espace de travail selon que vous avez intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée.
Après avoir intégré Microsoft Sentinel et Microsoft Defender XDR en intégrant votre espace de travail à la plateforme d’opérations de sécurité unifiée, effectuez toutes les étapes de réponse aux incidents directement dans le portail Microsoft Defender, comme vous le feriez pour d’autres incidents Microsoft Defender XDR. Les étapes prises en charge incluent tout, du triage à l’investigation et à la résolution.
Utilisez la zone Microsoft Sentinel dans le portail Microsoft Defender pour les fonctionnalités indisponibles uniquement avec le portail Defender.
Pour plus d’informations, consultez Répondre à un incident avec Microsoft Sentinel et Microsoft Defender XDR.
Fonctionnalités clés
Pour implémenter une approche confiance Zéro dans la gestion des incidents, utilisez ces fonctionnalités Microsoft Sentinel et XDR.
| Fonctionnalités | Description | Produit |
|---|---|---|
| Investigation et réponse automatisées (AIR) | Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée. | Microsoft Defender XDR |
| Recherche avancée | La chasse avancée est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et les entités de menace. L’accès flexible aux données permet un repérage sans contrainte des menaces connues et potentielles. | Microsoft Defender XDR |
| Indicateurs de fichier personnalisés | Vous pouvez empêcher la propagation d’une attaque au sein de votre organisation en interdisant des fichiers potentiellement malveillants ou des programmes malveillants suspectés. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analyse les journaux de trafic collectés par Defender for Endpoint et évalue les applications identifiées sur le catalogue d’applications cloud pour fournir des informations de conformité et de sécurité. | Microsoft Defender for Cloud Apps |
| Indicateurs de réseau personnalisés | En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer des adresses IP, des URL ou des domaines en fonction de vos propres renseignements sur les menaces. | Microsoft Defender XDR |
| Protection évolutive des points de terminaison (EDR) Bloquer | Fournit une protection ajoutée contre les artefacts malveillants lorsque Microsoft Defender Antivirus (MDAV) n’est pas l’antivirus principal et s’exécute en mode passif. La PEPT en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés par les fonctionnalités PEPT. | Microsoft Defender XDR |
| Fonctionnalités de réponse de l’appareil | Répondre rapidement aux attaques détectées en isolant des appareils ou en collectant un package d’investigation | Microsoft Defender XDR |
| Réponse dynamique | La réponse dynamique permet aux équipes de sécurité d’accéder instantanément à un appareil (également appelé machine) à l’aide d’une connexion de l’interpréteur de commandes à distance. Cela vous donne la possibilité d’effectuer des investigations approfondies et de prendre des mesures immédiates pour contenir rapidement les menaces identifiées en temps réel. | Microsoft Defender XDR |
| Applications cloud sécurisées | Solution d’opérations de sécurité de développement (DevSecOps) qui unifie la gestion de la sécurité au niveau du code dans les environnements multicloud et multi pipelines. | Microsoft Defender pour le cloud |
| Renforcer votre posture de sécurité | Solution de gestion de la posture de sécurité cloud (CSPM) qui expose les actions que vous pouvez entreprendre pour empêcher les violations. | Microsoft Defender pour le cloud |
| Protéger les charges de travail cloud | Plateforme de protection de charge de travail cloud (CWPP) avec des protections spécifiques pour les serveurs, les conteneurs, le stockage, les bases de données et autres charges de travail. | Microsoft Defender pour le cloud |
| Analytique du comportement des entités et des utilisateurs (UEBA) | Analyse le comportement des entités d’organisation telles que les utilisateurs, les hôtes, les adresses IP et les applications) | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Fusion | Moteur de corrélation basé sur des algorithmes de Machine Learning évolutifs. Détecte automatiquement les attaques en plusieurs étapes, également connues sous le nom de menaces persistantes avancées (APT), en identifiant les combinaisons de comportements anormaux et d'activités suspectes observées à différents stades de la chaîne d'exécution. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Renseignement sur les menaces | Utilisez des fournisseurs tiers Microsoft pour enrichir les données pour fournir un contexte supplémentaire autour des activités, des alertes et des journaux d’activité dans votre environnement. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Automation | Les règles d’automatisation sont un moyen de gérer de manière centralisée l’automatisation avec Microsoft Sentinel, en vous permettant de définir et de coordonner un petit ensemble de règles pouvant s’appliquer dans différents scénarios. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Règles d’anomalie | Les modèles de règle d’anomalie utilisent l’apprentissage automatique pour détecter des types spécifiques de comportement anormal. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Requête planifiée | Règles intégrées écrites par les experts de sécurité Microsoft qui effectuent une recherche dans les journaux collectés par Sentinel pour les chaînes d’activité suspectes, menaces connues. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Règles en quasi-temps réel | Les règles NRT sont un ensemble limité de règles planifiées, conçues pour s’exécuter une fois toutes les minutes, afin de vous fournir des informations aussi récentes que possible. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Chasse | Afin de faciliter la tâche des analystes de la sécurité dans la recherche proactive des nouvelles anomalies non détectées par vos applications de sécurité ou même par vos règles analytiques planifiées, les requêtes de repérage intégrées de Microsoft Sentinel vous aident à poser les bonnes questions pour identifier les problèmes au niveau des données déjà présents dans le réseau. | Microsoft Sentinel Pour les espaces de travail intégrés, utilisez la fonctionnalité de repérage avancée du portail Microsoft Defender. |
| Connecteur Microsoft Defender XDR | Le connecteur Microsoft Defender XDR synchronise les journaux et les incidents dans Microsoft Sentinel. | Microsoft Defender XDR et Microsoft Sentinel br> Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Connecteurs de données | Autorisez l’ingestion de données à des fins d’analyse dans Microsoft Sentinel. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Solution de hub de contenu -Confiance Zéro (TIC 3.0) | La solution Confiance Zéro (TIC 3.0) comprend un manuel, des règles d'analyse et un guide opérationnel, qui fournissent une visualisation automatisée des principes de la Confiance Zéro, en lien avec le framework Trust Internet Connections, aidant ainsi les organisations à surveiller les configurations au fil du temps. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Orchestration, automatisation et réponse en matière de sécurité (SOAR) | L’utilisation de règles d’automatisation et de playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous permet de gagner du temps et des ressources. | Microsoft Sentinel Pour les espaces de travail intégrés, Microsoft Sentinel dans la plateforme d’opérations de sécurité unifiée |
| Optimisations SOC | Fermez les lacunes de couverture contre des menaces spécifiques et renforcez vos taux d’ingestion par rapport aux données qui ne fournissent pas de valeur de sécurité. |
Contenu de cette solution
Cette solution vous guide tout au long de l’implémentation de Microsoft Sentinel et XDR afin que votre équipe des opérations de sécurité puisse corriger efficacement les incidents à l’aide d’une approche Confiance Zéro.
Entraînement recommandé
Le contenu de formation ne couvre pas actuellement la plateforme d’opérations de sécurité unifiée.
| Formation | Connecter Microsoft Defender XDR à Microsoft Sentinel |
|---|---|
|
Découvrez les options de configuration et les données fournies par les connecteurs Microsoft Sentinel pour Microsoft Defender XDR. |
Étapes suivantes
Procédez comme suit pour implémenter Microsoft Sentinel et XDR pour une approche Confiance Zéro :
- Configurer les outils XDR
- Concevoir votre espace de travail Microsoft Sentinel
- Ingestion de sources de données
- Répondre aux incidents
Consultez également ces articles pour appliquer des principes de Confiance Zéro à Azure :