Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit Microsoft services de sécurité et comment ils fonctionnent ensemble en tant que système unifié pour assurer la protection entre piliers de la technologie qui incluent les identités, les appareils, les applications, les données, l’IA et l’infrastructure.
La sécurité d’entreprise moderne passe de la protection basée sur le périmètre à un modèle intégré basé sur l’identité et cloud. Les organisations doivent sécuriser les utilisateurs, les appareils, les applications et les données dans des environnements hybrides et multiclouds tout en s’adaptant en permanence aux menaces en constante évolution.
Microsoft fournit un ensemble intégré de services cloud qui fonctionnent ensemble pour partager des signaux, appliquer des stratégies cohérentes, appliquer des contrôles et coordonner la détection et la réponse dans l’environnement.
Résultats de sécurité
La sécurité intégrée Microsoft fournit les résultats suivants :
- Visibilité unifiée des signaux : la télémétrie est collectée et centralisée en continu entre les identités, les appareils, les applications, les données et l’infrastructure, et convertie en signaux centralisés et actionnables.
- Prise de décision basée sur l’identité : les décisions d’accès et d’application sont basées sur l’identité, l’état de l’appareil, les signaux de risque et le contexte de session.
- Consistent enforcement : les contrôles Confiance nulle sont appliqués entre les points de terminaison, les services cloud et les applications au moment de l’accès et pendant l’utilisation.
- Détection et réponse intégrées : les signaux et les alertes sont corrélés entre les domaines pour détecter et répondre aux menaces en tant qu’opérations unifiées.
- Validation continue et amélioration continue : les signaux de détection et de risque alimentent en retour les décisions en matière de politiques afin de renforcer la protection au fil du temps.
Principaux services de sécurité
Les services de sécurité de base s’étendent sur plusieurs piliers technologiques, chacun contribuant aux signaux, au contexte et à l’application sur la plateforme.
|
Pilier Service principal |
Protection | Portail principal |
|---|---|---|
|
Identité et accès Microsoft Entra Microsoft Defender pour Identity. |
Microsoft Entra contrôle l’accès pour les utilisateurs, les charges de travail et les applications. Il évalue les signaux d’identité, d’appareil et de session pour prendre des décisions d’accès. Defender pour Identity surveille l’infrastructure d’identité hybride pour détecter les attaques. |
Centre d’administration Microsoft Entra Portail Microsoft Defender |
|
Appareils/points de terminaison Microsoft Defender pour Endpoint Microsoft Intune |
Defender pour point de terminaison collecte les données de télémétrie de point de terminaison et détecte les menaces. Microsoft Intune évalue la conformité des appareils et applique la stratégie. |
Portail Microsoft Defender Centre d’administration Microsoft Intune |
|
E-mail et collaboration Defender pour Office 365 |
Protège les services de Exchange et de collaboration (Microsoft Teams, SharePoint, OneDrive) contre les programmes malveillants, les liens malveillants/pièces jointes et la compromission des e-mails professionnels. | Portail Microsoft Defender |
|
Données Microsoft Purview |
Applique les stratégies de protection des données et de protection contre la perte de données (DLP) entre les points de terminaison et les services cloud. | portail Microsoft Purview |
|
Charges de travail d’infrastructure/cloud Microsoft Defender pour le cloud |
Améliore la posture de sécurité et fournit une détection des menaces dans les charges de travail cloud et hybrides. |
Portail Microsoft Azure Portail Microsoft Defender |
|
Networks services de mise en réseau Azure |
Segmentez et protégez les réseaux. | Portail Microsoft Azure |
|
Applications SaaS/cloud Microsoft Defender for Cloud Apps (Solution de protection pour applications Cloud) |
Fournit une visibilité sur l’utilisation de l’application cloud et surveille l’activité des utilisateurs pour détecter le comportement à risque. | Portail Microsoft Defender |
|
Posture/risque Gestion des Expositions de Sécurité Microsoft |
Identifie, hiérarchise et réduit l’exposition entre les identités, les appareils, les ressources cloud et les applications. | Portail Microsoft Defender |
|
Détection/réponse aux menaces Microsoft Defender XDR |
Met en corrélation les signaux entre les services Defender et produit des incidents unifiés pour l’investigation et la réponse. | Portail Microsoft Defender |
|
Opérations de sécurité Microsoft Sentinel |
Agrège les données de télémétrie de Microsoft et de sources tierces pour l’analyse centralisée, l’investigation et la réponse. |
Portail Microsoft Azure Portail Microsoft Defender |
|
Sécurité des développeurs/applications Defender pour DevOps (en Defender for Cloud) Sécurité avancée GitHub |
Sécurise le code, les dépendances et les pipelines de génération, et applique la gouvernance de la sécurité dans les flux de travail DevOps. |
Portail Microsoft Defender interface de GitHub |
Services de protection réseau
Le tableau récapitule Azure fonctionnalités de mise en réseau et comment ils s’intègrent directement à d’autres services de sécurité. Les services sont configurés dans le Portail Microsoft Azure.
| Service | Protection | Intégration |
|---|---|---|
| Pare-feu Azure | Applique des règles d’adresse IP, de port et d’application pour contrôler le trafic entrant et sortant entre les sous-réseaux, Internet et les réseaux locaux. Utilise Microsoft renseignement sur les menaces pour bloquer le trafic malveillant connu. | Defender for Cloud évalue la posture de configuration. Les journaux de diagnostic sont ingérés dans Azure Monitor/Log Analytics et analysés par Microsoft Sentinel pour la détection et la corrélation. |
| Protection DDoS d'Azure | Atténue les attaques de couche volumetrice, de protocole et de couche application. Protège les ressources exposées à Internet dans les réseaux virtuels (VNets) contre les attaques par inondation à grande échelle. | Les métriques et les données de télémétrie d’attaque sont ingérées dans Azure Monitor/Log Analytics et peuvent être analysées dans Microsoft Sentinel. Defender for Cloud fournit des recommandations de posture. |
| Azure réseau virtuel | Fournit l’isolation, la segmentation et l’adressage IP privé pour les ressources Azure. Active la connectivité contrôlée entre les services. | Defender for Cloud évalue l’état de configuration, y compris l’exposition, comme les chemins d’accès public. |
| Groupes de sécurité réseau (NSG) | Filtre le trafic au niveau du sous-réseau et de l’interface réseau à l’aide de règles d’autorisation/refus. Restreint le trafic indésirable vers les ressources. | Les journaux de flux NSG (via Azure Monitor) peuvent être analysés dans Microsoft Sentinel pour la visibilité et la détection du trafic. Defender for Cloud évalue la configuration des règles de groupe de sécurité réseau. |
| Pare-feu d’applications web (WAF) Azure | Protège les applications HTTP/HTTPS à l’aide de jeux de règles OWASP. Permet d’empêcher les attaques web courantes telles que l’injection SQL et le script intersite (XSS). | Les journaux du WAF sont collectés dans Azure Monitor/Log Analytics et analysés par Microsoft Sentinel. Defender for Cloud évalue le niveau de sécurité de la configuration du WAF. |
| Porte d’entrée azur | Fournit un point d’entrée global pour les applications web avec des fonctionnalités de routage, d’accélération et de sécurité de périphérie. S’intègre au WAF pour la protection des applications. | Les journaux de diagnostic (Front Door/WAF) sont intégrés à Log Analytics et analysés par Microsoft Sentinel. Defender for Cloud évalue la posture de configuration. |
| Azure Application Gateway | Fournit un équilibrage de charge régional avec des fonctionnalités de pare-feu d’applications web intégrées pour protéger et router le trafic d’application. | Les journaux d’accès et les journaux WAF sont intégrés à Log Analytics et analysés par Microsoft Sentinel. Defender for Cloud évalue la posture de configuration et les paramètres d’exposition. |
| Passerelle VPN Azure | Fournit une connectivité IPsec/IKE chiffrée entre les environnements locaux et les réseaux virtuels Azure. Protège les données en transit sur les réseaux publics. | Les journaux des connexions et des tunnels sont importés dans Log Analytics et peuvent être analysés dans Microsoft Sentinel. Defender for Cloud évalue la posture de configuration, y compris les paramètres de chiffrement. |
| Azure ExpressRoute | Assure une connectivité privée et dédiée entre les environnements locaux et Azure via le réseau principal de Microsoft, sans passer par l’Internet public. | La télémétrie opérationnelle (par exemple, BGP, état du circuit) est disponible via Azure Monitor et peut être analysée dans Microsoft Sentinel. Defender for Cloud évalue la posture de configuration de haut niveau. |
| Azure Bastion | Fournit un accès RDP et SSH sécurisé aux machines virtuelles via un navigateur, ce qui élimine la nécessité d’une exposition à l’adresse IP publique. | Les journaux de diagnostic sont ingérés dans Log Analytics et analysés par Microsoft Sentinel. Defender for Cloud évalue la VM réduite, mais n’évalue pas directement la configuration d’Azure Bastion. |
| Azure Private Link | Fournit une connectivité privée à Azure services PaaS et aux services clients à l’aide d’adresses IP privées, éliminant ainsi l’exposition publique. | Les journaux de niveau service (pour les services accessibles via Private Link, tels que Stockage, SQL et Key Vault) sont importés dans Log Analytics et analysés par Microsoft Sentinel. Defender for Cloud évalue si les liens privés sont utilisés pour réduire l’exposition. |
| Azure Network Watcher | Fournit des diagnostics réseau, une surveillance et une visibilité au niveau du flux sur les ressources Azure. | Les journaux de flux NSG et les diagnostics sont collectés dans Log Analytics et peuvent être analysés dans Microsoft Sentinel. Defender for Cloud évalue l’état de configuration des ressources sous-jacentes, tels que les paramètres des groupes de sécurité réseau (NSG), plutôt que Network Watcher lui-même. |
Flux de travail de sécurité
Les services de sécurité fonctionnent comme un pipeline continu. Les signaux sont collectés, évalués, appliqués et utilisés pour la détection et la réponse.
| Pipeline | Action | Activité clé |
|---|---|---|
| Étape 1 : Collecte de signaux | Les services de sécurité génèrent des données de télémétrie entre les identités, les appareils, les applications et l’infrastructure. | - Defender for Endpoint collecte la télémétrie des appareils. - Microsoft Intune évalue la conformité des appareils. - Defender for Identity surveille les activités d’identité locales. - Defender for Cloud Apps surveille l’activité SaaS. - Defender for Cloud surveille la configuration et l’activité de l’infrastructure/de la charge de travail. |
| Étape 2 : Décisions de stratégie | Les signaux sont évalués pour déterminer les conditions d’accès et les actions de contrôle. | Accès conditionnel Microsoft Entra évalue le risque d’identité, la confiance des appareils, l’emplacement et le contexte de session. |
| Étape 3 : Mise en application des contrôles | Les contrôles de sécurité sont appliqués entre les couches d’identité, d’appareil, de session, de données et de réseau. | Les points d’application sont les suivants : - Accès conditionnel (MFA/restrictions) - Intune (conformité des appareils) -Defender for Cloud Apps (contrôle de session) - Microsoft Purview (DLP) - mise en réseau Azure (restrictions de connectivité). |
| Étape 4 : Détection et réponse | Les signaux et les alertes sont corrélés pour détecter, examiner et corriger les menaces. | Microsoft Defender XDR met en corrélation les signaux de tous les produits Defender en incidents unifiés. Microsoft Sentinel centralise les journaux, les incidents, la chasse aux menaces ainsi que l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR) à l’échelle de l’ensemble de l’environnement, y compris les sources tierces. |
| Boucle de commentaires | Les résultats de la détection reviennent dans les décisions de stratégie pour améliorer continuellement la protection. | Les signaux de risque et de menace informent les mises à jour de stratégie en temps réel, ce qui permet une protection adaptative et automatisée. |
Intégration du service de sécurité
Les services de sécurité de Microsoft s’intègrent à travers plusieurs flux qui forment un pipeline cohérent, constituant un système de protection continu.
- Les signaux (télémétrie) capturent l’activité entre les identités, les appareils, les applications et d’autres ressources.
- Le contexte (identité, posture de l’appareil et classification des données) enrichit les signaux pour améliorer la précision et la prise de décision.
- La stratégie définit l’accès autorisé ou bloqué en fonction des conditions évaluées.
- Les actions appliquent des décisions par le biais de contrôles et de réponses automatisés.
À mesure que les signaux transitent par la plateforme, ils sont enrichis, évalués au regard des politiques et traités, créant ainsi un cycle continu de protection et de réponse.
Intégration des services
Le tableau récapitule la façon dont les services de sécurité utilisent les signaux et le contexte de chaque sortie, ainsi que ce qu’ils produisent et les actions qu’ils entreprennent.
| Service | Consomme | Résultats |
|---|---|---|
| Microsoft Entra ID |
Signaux : activité d’authentification (connexions, événements à risque). État de conformité de l’appareil à partir de Microsoft Intune. Context : contexte de l’appareil utilisé pour les décisions d’accès de Defender pour point de terminaison. Contexte de session pour les décisions d’accès de Defender for Cloud Apps. |
Actions : décisions d’accès conditionnel (autoriser, bloquer, restreindre, exiger des contrôles). |
| Microsoft Intune |
Signaux : inventaire des appareils gérés, intégrité, état de conformité. Contexte : Association d’identités provenant de Microsoft Entra ID. |
Sorties: état de conformité des appareils dans Microsoft Entra ID. Journaux d’audit des appareils pour Microsoft Sentinel. |
| Microsoft Purview |
Signals : données d’entreprise entre Microsoft 365, applications SaaS et systèmes locaux. Contexte : classification des données (étiquettes de confidentialité, inspection du contenu, activité utilisateur). |
Sorties : alertes liées aux risques internes et à la protection contre la perte de données (DLP) dans Defender XDR. Journaux de conformité et d’audit pour Microsoft Sentinel. Actions : application des stratégies DLP sur les points de terminaison (Defender for Endpoint) et sur les sessions (Defender for Cloud Apps). |
| Defender pour point de terminaison |
Signaux : télémétrie de point de terminaison (processus, fichier, activité réseau). Context : Microsoft Entra ID (contexte d’identité). Microsoft Intune (posture de l’appareil). Microsoft Purview (stratégies DLP). |
Outputs : alertes de point de terminaison et données de télémétrie pour Defender XDR et Microsoft Sentinel. Actions: application de mesures sur le terminal (isolation du terminal, blocage, remédiation). |
| Défenseur pour l'Identité | Signals : signaux d’identité Active Directory. | Output : alertes de menace d’identité pour Defender XDR et Microsoft Sentinel. |
| Defender for Cloud Apps |
Signaux : activité d’application SaaS (utilisation du cloud). Données de télémétrie du réseau et du shadow IT de Defender for Endpoint. Context : contexte de session et d’authentification à partir de Microsoft Entra ID. Stratégies DLP de Microsoft Purview. |
Outputs : alertes d’application cloud pour Defender XDR et Microsoft Sentinel. Actions : application de session (bloquer, surveiller, restreindre l’accès). |
| Defender for Cloud |
Signals : informations d’opération de ressource de Azure. Données de télémétrie des serveurs/charges de travail issues de Defender for Endpoint. Contexte : configuration et posture des ressources. |
Sorties : alertes de sécurité et informations sur la posture pour Defender XDR et Microsoft Sentinel. |
| Sécurité Microsoft - Gestion de l’exposition |
Signals : scores de risque des appareils de Microsoft Defender pour point de terminaison. Résultats relatifs à l’inventaire des ressources cloud, à la posture, à l’exposition et à la surface d’attaque, provenant de Microsoft Defender for Cloud. Inventaire des identités et signaux de risque de Microsoft Entra. Inventaire des applications SaaS, risque et contexte d’utilisation à partir de Defender for Cloud Apps. Contexte : corrélation unifiée de l’exposition et des risques. |
Sorties: Analyses de l’exposition et corrélations des risques pour Microsoft XDR et Microsoft Sentinel. |
| Defender XDR | Signals : alertes de Defender pour point de terminaison (appareils), Defender pour l’identité (signaux d’identité), Defender for Office 365 (e-mail et collaboration), Defender for Cloud Apps (activité SaaS/application). Signaux supplémentaires de Microsoft Purview (DLP, risque interne, classification des données), Protection Microsoft Entra ID (signaux de risque d’identité) et Defender for Cloud (posture de charge de travail/cloud). |
Outputs : alertes corrélées, incidents à Microsoft Sentinel. Actions : réponse inter-domaines automatisée. |
| Microsoft Sentinel | Signals : alertes, journaux et données de télémétrie provenant de Defender XDR, de Microsoft Purview, de services cloud et d’autres sources Microsoft et tierces. |
Sorties : Analyse, enquêtes et incidents. Actions : réponse automatisée à l’aide de playbooks. |
| Microsoft Security Copilot |
Signals : incidents et alertes de Microsoft Sentinel et de Defender XDR. Context : contexte de risque interne et de données sensibles provenant de Microsoft Purview. Contexte d’exposition de Sécurité Microsoft Exposure Management. |
Sorties : résumés d’investigation, recommandations, insights basés sur l’IA. Actions : actions de réponse guidées routées via des flux de travail Microsoft Sentinel et Defender XDR. |
Étapes suivantes
- Pour commencer avec une évaluation Confiance nulle de votre posture de sécurité actuelle.
- Suivez notre modèle structuré adoption pour commencer à adopter Confiance nulle.
- Découvrez les résultats de sécurité critiques pour les chefs d’entreprise dans nos scénarios d’adoption. Commencez parimplémenter des solutions techniques pour les solutions métier et les piliers technologiques tels que les données et les appareils.