Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment planifier votre déploiement pour des opérations de sécurité unifiées dans le portail Microsoft Defender. Unifiez les opérations de sécurité pour vous aider à réduire les risques, à prévenir les attaques, à détecter et à perturber les cybermenaces en temps réel, et à répondre plus rapidement avec des fonctionnalités de sécurité renforcées par IA, le tout à partir du portail Microsoft Defender.
Planifier votre déploiement
Le portail Defender combine des services tels que Microsoft Defender XDR, Microsoft Sentinel, Sécurité Microsoft - Gestion de l’exposition et Microsoft Security Copilot pour l’unification opérations de sécurité.
La première étape de la planification de votre déploiement consiste à sélectionner les services que vous souhaitez utiliser.
Comme prérequis de base, vous aurez besoin de Microsoft Defender XDR et de Microsoft Sentinel pour surveiller et protéger les services et solutions Microsoft et non-Microsoft, y compris les ressources cloud et locales.
Déployez l’un des services suivants pour ajouter la sécurité à vos points de terminaison, identités, e-mails et applications afin de fournir une protection intégrée contre les attaques sophistiquées.
Microsoft Defender XDR services sont les suivants :
| Service | Description |
|---|---|
| Microsoft Defender pour Office 365 | Protège contre les menaces posées par les messages électroniques, les liens d’URL et les outils de collaboration Office 365. |
| Microsoft Defender pour l’identité | Identifie, détecte et examine les menaces provenant des identités Active Directory local et cloud telles que Microsoft Entra ID. |
| Microsoft Defender pour point de terminaison | Surveille et protège les appareils de point de terminaison, détecte et examine les violations des appareils et répond automatiquement aux menaces de sécurité. |
| Microsoft Defender pour IoT | Fournit à la fois la découverte d’appareils IoT et la valeur de sécurité pour les appareils IoT. |
| Gestion des vulnérabilités de Microsoft Defender | Identifie les ressources et l’inventaire logiciel, et évalue la posture des appareils pour détecter les vulnérabilités de sécurité. |
| Microsoft Defender for Cloud Apps | Protège et contrôle l’accès aux applications cloud SaaS. |
Les autres services pris en charge dans le portail Microsoft Defender, mais sans licence avec Microsoft Defender XDR, sont les suivants :
| Service | Description |
|---|---|
| Sécurité Microsoft - Gestion de l’exposition | Fournit une vue unifiée de la posture de sécurité entre les ressources et charges de travail de l’entreprise, enrichissant les informations sur les ressources avec le contexte de sécurité. |
| Sécurité Microsoft Copilot | Fournit des informations et des recommandations basées sur l’IA pour améliorer vos opérations de sécurité. |
| Microsoft Defender pour le cloud | Protège les environnements multiclouds et hybrides avec une détection et une réponse avancées aux menaces. |
| Microsoft Defender Threat Intelligence | Simplifie les flux de travail de renseignement sur les menaces en agrégeant et en enrichissant les sources de données critiques pour mettre en corrélation les indicateurs de compromission avec les articles, les profils d’acteur et les vulnérabilités associés. |
| Protection Microsoft Entra ID | Évalue les données de risque des tentatives de connexion pour évaluer le risque de chaque connexion à votre environnement. |
| Microsoft Purview : gestion des risques internes | Met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. |
Passer en revue les prérequis du service
Avant de déployer Microsoft Defender services pour les opérations de sécurité unifiées, passez en revue les prérequis pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations :
| Service de sécurité | Configuration requise |
|---|---|
| Requis pour les opérations de sécurité unifiées | |
| Microsoft Defender XDR | Microsoft Defender XDR prérequis |
| Microsoft Sentinel | Conditions préalables pour déployer Microsoft Sentinel |
| Services Microsoft Defender XDR facultatifs | |
| Microsoft Defender pour Office | Microsoft Defender XDR prérequis |
| Microsoft Defender pour l’identité | Conditions préalables de Microsoft Defender pour Identity |
| Microsoft Defender pour point de terminaison | Configurer le déploiement Microsoft Defender pour point de terminaison |
| Supervision d’entreprise avec Microsoft Defender pour IoT | Prérequis pour Defender pour IoT dans le portail Defender |
| Gestion des vulnérabilités de Microsoft Defender | Prérequis & autorisations pour Gestion des vulnérabilités Microsoft Defender |
| Microsoft Defender for Cloud Apps | Démarrer avec Microsoft Defender pour les applications cloud |
| Autres services pris en charge dans le portail Microsoft Defender | |
| Sécurité Microsoft - Gestion de l’exposition | Prérequis et prise en charge |
| Sécurité Microsoft Copilot | Configuration minimale requise |
| Microsoft Defender pour le cloud | Commencez à planifier la protection multicloud et d’autres articles dans la même section. |
| Microsoft Defender Threat Intelligence | Prérequis pour Defender Threat Intelligence |
| Protection Microsoft Entra ID | Conditions préalables pour Protection Microsoft Entra ID |
| Microsoft Purview : gestion des risques internes | Prise en main de la gestion des risques internes |
Passer en revue les pratiques en matière de sécurité et de confidentialité des données
Avant de déployer Microsoft Defender services pour des opérations de sécurité unifiées, assurez-vous de bien comprendre les pratiques en matière de sécurité et de confidentialité des données pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations. Notez que plusieurs services utilisent les pratiques de sécurité et de rétention des données pour Microsoft Defender XDR au lieu d’avoir des pratiques distinctes.
Planifier votre architecture d’espace de travail Log Analytics
Pour intégrer Microsoft Sentinel au portail Defender, vous avez d’abord besoin d’un espace de travail Log Analytics activé pour Microsoft Sentinel. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différents besoins de l’entreprise.
Concevez l’espace de travail Log Analytics que vous souhaitez activer pour Microsoft Sentinel. Tenez compte des paramètres tels que les exigences de conformité que vous avez pour la collecte et le stockage des données et la façon de contrôler l’accès aux données Microsoft Sentinel.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Concevoir l’architecture de l’espace de travail
- Passer en revue les exemples de conceptions d’espace de travail
Planifier les coûts Microsoft Sentinel et les sources de données
Le portail Defender peut ingérer en mode natif des données à partir de services Microsoft internes, tels que Microsoft Defender for Cloud Apps et Microsoft Defender pour le cloud. Nous vous recommandons d’étendre votre couverture à d’autres sources de données dans votre environnement en ajoutant Microsoft Sentinel connecteurs de données.
Déterminer vos sources de données
Déterminez l’ensemble complet des sources de données à partir de laquelle vous allez ingérer des données, ainsi que les exigences de taille des données pour vous aider à projeter avec précision le budget et les chronologie de votre déploiement. Vous pouvez déterminer ces informations lors de la révision de votre cas d’usage professionnel ou en évaluant un SIEM actuel que vous avez déjà en place. Si vous avez déjà un SIEM en place, analysez vos données pour comprendre quelles sources de données fournissent le plus de valeur et doivent être ingérées dans Microsoft Sentinel.
Par exemple, vous pouvez utiliser l’une des sources de données recommandées suivantes :
Services Azure : si l’un des services suivants est déployé dans Azure, utilisez les connecteurs suivants pour envoyer les journaux de diagnostic de ces ressources à Microsoft Sentinel :
- Pare-feu Azure
- Azure Application Gateway
- Coffre de clés
- Azure Kubernetes Service
- Azure SQL
- Groupes de sécurité réseau
- Serveurs Azure Arc
Nous vous recommandons de configurer Azure Policy pour exiger que leurs journaux soient transférés à l’espace de travail Log Analytics sous-jacent. Pour plus d’informations, consultez Créer des paramètres de diagnostic à grande échelle à l’aide de Azure Policy.
Machines virtuelles : pour les machines virtuelles hébergées localement ou dans d’autres clouds qui nécessitent la collecte de leurs journaux, utilisez les connecteurs de données suivants :
- événements Sécurité Windows à l’aide d’AMA
- Événements via Defender pour point de terminaison (pour le serveur)
- Syslog
Appliances virtuelles réseau/sources locales : pour les appliances virtuelles réseau ou d’autres sources locales qui génèrent des journaux CEF (Common Event Format) ou SYSLOG, utilisez les connecteurs de données suivants :
- Syslog via AMA
- Common Event Format (CEF) via AMA
Pour plus d’informations, consultez Hiérarchiser les connecteurs de données.
Planifier votre budget
Planifiez votre budget Microsoft Sentinel, en tenant compte des implications en matière de coûts pour chaque scénario planifié. Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks qui seront déployés, etc. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Plans de rétention des journaux dans Microsoft Sentinel
- Planifier les coûts et comprendre Microsoft Sentinel tarification et facturation
Comprendre les portails de sécurité et les centres d’administration Microsoft
Bien que le portail Microsoft Defender soit la base de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils et applications, vous devez accéder à différents portails pour certaines tâches spécialisées.
Les portails de sécurité Microsoft incluent :
| Nom du portail | Description | Liens |
|---|---|---|
| Portail Microsoft Defender | Surveillez et répondez à l’activité des menaces et renforcez la posture de sécurité de vos identités, e-mails, données, points de terminaison et applications avec Microsoft Defender XDR |
security.microsoft.com Le portail Microsoft Defender vous permet d’afficher et de gérer les alertes, les incidents, les paramètres, etc. |
| Portail Defender pour le cloud | Utiliser Microsoft Defender pour le cloud afin de renforcer la posture de sécurité de vos centres de données et de vos charges de travail hybrides dans le cloud | portal.azure.com/#blade/Microsoft_Azure_Security |
| portail Renseignement de sécurité Microsoft | Obtenir des mises à jour de veille de sécurité pour Microsoft Defender pour point de terminaison, envoyer des exemples et explorer l’encyclopédie des menaces | microsoft.com/wdsi |
Le tableau suivant décrit les portails pour d’autres charges de travail qui peuvent avoir un impact sur votre sécurité. Visitez ces portails pour gérer les identités, les autorisations, les paramètres d’appareil et les stratégies de gestion des données.
| Nom du portail | Description | Liens |
|---|---|---|
| Centre d'administration Microsoft Entra | Accéder à la famille Microsoft Entra et l’administrer pour protéger votre entreprise avec une identité décentralisée, une protection des identités, une gouvernance et bien plus encore, dans un environnement multicloud | entra.microsoft.com |
| Portail Azure | Afficher et gérer toutes vos ressources Azure | portal.azure.com |
| Portail Microsoft Purview | Gérer les stratégies de gestion des données et garantir la conformité aux réglementations | purview.microsoft.com |
| Centre d’administration Microsoft 365 | Configurer les services Microsoft 365 ; gérer les rôles, les licences et suivre les mises à jour de vos services Microsoft 365 | admin.microsoft.com |
| centre d’administration Microsoft Intune | Utilisez Microsoft Intune pour gérer et sécuriser les appareils. Peut également combiner des fonctionnalités Intune et Configuration Manager. | intune.microsoft.com |
| portail Microsoft Intune | Utiliser Microsoft Intune pour déployer des stratégies d’appareil et surveiller la conformité des appareils | intune.microsoft.com |
Planifier les rôles et les autorisations
Le portail Microsoft Defender unifie les modèles de contrôle d’accès en fonction du rôle (RBAC) suivants pour les opérations de sécurité unifiées :
- Microsoft Entra ID RBAC, utilisé pour déléguer l’accès à Defender, comme les groupes d’appareils
- Azure RBAC, utilisé par Microsoft Sentinel pour déléguer des autorisations
- RBAC unifié Defender, utilisé pour déléguer des autorisations entre les solutions Defender
Bien que les autorisations accordées via Azure RBAC pour Microsoft Sentinel soient fédérées pendant l’exécution avec le RBAC unifié de Defender, azure RBAC et RBAC Defender sont toujours gérés séparément.
Le RBAC unifié de Defender n’est pas nécessaire pour intégrer votre espace de travail au portail Defender, et Microsoft Sentinel autorisations continuent de fonctionner comme prévu dans le portail Defender, même sans RBAC unifié. Toutefois, l’utilisation du contrôle d’accès en fonction du rôle unifié simplifie la délégation d’autorisations entre les solutions Defender. Pour plus d’informations, consultez Activer Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC).
L’autorisation minimale requise pour qu’un analyste affiche Microsoft Sentinel données consiste à déléguer des autorisations pour le rôle Lecteur RBAC Sentinel Azure. Ces autorisations sont également appliquées au portail unifié. Sans ces autorisations, le menu de navigation Microsoft Sentinel n’est pas disponible sur le portail unifié, même si l’analyste a accès au portail Microsoft Defender.
Une bonne pratique consiste à avoir toutes les ressources associées Microsoft Sentinel dans le même groupe de ressources Azure, puis à déléguer Microsoft Sentinel autorisations de rôle (comme le rôle Lecteur Sentinel) au niveau du groupe de ressources qui contient l’espace de travail Microsoft Sentinel. En procédant ainsi, l’attribution de rôle s’applique à toutes les ressources qui prennent en charge Microsoft Sentinel.
Pour les services suivants, utilisez les différents rôles disponibles ou créez des rôles personnalisés pour vous donner un contrôle précis sur ce que les utilisateurs peuvent voir et faire. Pour plus d’informations, reportez-vous aux rubriques suivantes :
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Planifier les rôles et les autorisations pour Microsoft Sentinel
- Rôles intégrés Azure
- Microsoft Sentinel rôles
- Conditions préalables à l’intégration
- Gestion du RBAC unifié dans Microsoft Defender (vidéo de démonstration)
Planifier Confiance nulle activités
Les opérations de sécurité unifiées dans le portail Defender font partie du modèle de sécurité Confiance nulle de Microsoft, qui inclut les principes suivants :
| Principe de sécurité | Description |
|---|---|
| Vérifier explicitement | Toujours s’authentifier et autoriser en fonction de tous les points de données disponibles. |
| Utilisez des autorisations selon le principe des privilèges minimum. | Limitez l’accès utilisateur avec juste-à-temps et just-enough-access (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposer une violation | Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses. |
Confiance nulle sécurité est conçue pour protéger les environnements numériques modernes en tirant parti de la segmentation du réseau, en empêchant les mouvements latéraux, en fournissant un accès aux privilèges minimum et en utilisant des analyses avancées pour détecter les menaces et y répondre.
Pour plus d’informations sur l’implémentation des principes de Confiance nulle dans le portail Defender, consultez Confiance nulle contenu pour les services suivants :
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender pour l’identité
- Microsoft Defender pour Office 365
- Microsoft Defender pour point de terminaison
- Microsoft Defender for Cloud Apps
- Sécurité Microsoft - Gestion de l’exposition
- Microsoft Defender pour le cloud
- Sécurité Microsoft Copilot
- Protection Microsoft Entra ID
- Microsoft Purview
Pour plus d’informations, consultez le Centre d’aide Confiance nulle.