Partager via


Conseils de planification pour les opérations de sécurité unifiées dans le portail Microsoft Defender

Cet article explique comment planifier votre déploiement pour des opérations de sécurité unifiées dans le portail Microsoft Defender. Unifiez les opérations de sécurité pour vous aider à réduire les risques, à prévenir les attaques, à détecter et à perturber les cybermenaces en temps réel, et à répondre plus rapidement avec des fonctionnalités de sécurité renforcées par IA, le tout à partir du portail Microsoft Defender.

Planifier votre déploiement

Le portail Defender combine des services tels que Microsoft Defender XDR, Microsoft Sentinel, Sécurité Microsoft - Gestion de l’exposition et Microsoft Security Copilot pour l’unification opérations de sécurité.

La première étape de la planification de votre déploiement consiste à sélectionner les services que vous souhaitez utiliser.

Comme prérequis de base, vous aurez besoin de Microsoft Defender XDR et de Microsoft Sentinel pour surveiller et protéger les services et solutions Microsoft et non-Microsoft, y compris les ressources cloud et locales.

Déployez l’un des services suivants pour ajouter la sécurité à vos points de terminaison, identités, e-mails et applications afin de fournir une protection intégrée contre les attaques sophistiquées.

Microsoft Defender XDR services sont les suivants :

Service Description
Microsoft Defender pour Office 365 Protège contre les menaces posées par les messages électroniques, les liens d’URL et les outils de collaboration Office 365.
Microsoft Defender pour l’identité Identifie, détecte et examine les menaces provenant des identités Active Directory local et cloud telles que Microsoft Entra ID.
Microsoft Defender pour point de terminaison Surveille et protège les appareils de point de terminaison, détecte et examine les violations des appareils et répond automatiquement aux menaces de sécurité.
Microsoft Defender pour IoT Fournit à la fois la découverte d’appareils IoT et la valeur de sécurité pour les appareils IoT.
Gestion des vulnérabilités de Microsoft Defender Identifie les ressources et l’inventaire logiciel, et évalue la posture des appareils pour détecter les vulnérabilités de sécurité.
Microsoft Defender for Cloud Apps Protège et contrôle l’accès aux applications cloud SaaS.

Les autres services pris en charge dans le portail Microsoft Defender, mais sans licence avec Microsoft Defender XDR, sont les suivants :

Service Description
Sécurité Microsoft - Gestion de l’exposition Fournit une vue unifiée de la posture de sécurité entre les ressources et charges de travail de l’entreprise, enrichissant les informations sur les ressources avec le contexte de sécurité.
Sécurité Microsoft Copilot Fournit des informations et des recommandations basées sur l’IA pour améliorer vos opérations de sécurité.
Microsoft Defender pour le cloud Protège les environnements multiclouds et hybrides avec une détection et une réponse avancées aux menaces.
Microsoft Defender Threat Intelligence Simplifie les flux de travail de renseignement sur les menaces en agrégeant et en enrichissant les sources de données critiques pour mettre en corrélation les indicateurs de compromission avec les articles, les profils d’acteur et les vulnérabilités associés.
Protection Microsoft Entra ID Évalue les données de risque des tentatives de connexion pour évaluer le risque de chaque connexion à votre environnement.
Microsoft Purview : gestion des risques internes Met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité.

Passer en revue les prérequis du service

Avant de déployer Microsoft Defender services pour les opérations de sécurité unifiées, passez en revue les prérequis pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations :

Service de sécurité Configuration requise
Requis pour les opérations de sécurité unifiées
Microsoft Defender XDR Microsoft Defender XDR prérequis
Microsoft Sentinel Conditions préalables pour déployer Microsoft Sentinel
Services Microsoft Defender XDR facultatifs
Microsoft Defender pour Office Microsoft Defender XDR prérequis
Microsoft Defender pour l’identité Conditions préalables de Microsoft Defender pour Identity
Microsoft Defender pour point de terminaison Configurer le déploiement Microsoft Defender pour point de terminaison
Supervision d’entreprise avec Microsoft Defender pour IoT Prérequis pour Defender pour IoT dans le portail Defender
Gestion des vulnérabilités de Microsoft Defender Prérequis & autorisations pour Gestion des vulnérabilités Microsoft Defender
Microsoft Defender for Cloud Apps Démarrer avec Microsoft Defender pour les applications cloud
Autres services pris en charge dans le portail Microsoft Defender
Sécurité Microsoft - Gestion de l’exposition Prérequis et prise en charge
Sécurité Microsoft Copilot Configuration minimale requise
Microsoft Defender pour le cloud Commencez à planifier la protection multicloud et d’autres articles dans la même section.
Microsoft Defender Threat Intelligence Prérequis pour Defender Threat Intelligence
Protection Microsoft Entra ID Conditions préalables pour Protection Microsoft Entra ID
Microsoft Purview : gestion des risques internes Prise en main de la gestion des risques internes

Passer en revue les pratiques en matière de sécurité et de confidentialité des données

Avant de déployer Microsoft Defender services pour des opérations de sécurité unifiées, assurez-vous de bien comprendre les pratiques en matière de sécurité et de confidentialité des données pour chaque service que vous envisagez d’utiliser. Le tableau suivant répertorie les services et les liens pour plus d’informations. Notez que plusieurs services utilisent les pratiques de sécurité et de rétention des données pour Microsoft Defender XDR au lieu d’avoir des pratiques distinctes.

Service de sécurité Sécurité et confidentialité des données
Requis pour les opérations de sécurité unifiées
Microsoft Defender XDR Sécurité et conservation des données dans Microsoft Defender XDR
Microsoft Sentinel Disponibilité géographique et résidence des données dans Microsoft Sentinel
Services Microsoft Defender XDR facultatifs
Microsoft Defender pour Office Sécurité et conservation des données dans Microsoft Defender XDR
Microsoft Defender pour l’identité Confidentialité avec Microsoft Defender pour Identity
Microsoft Defender pour point de terminaison Microsoft Defender pour point de terminaison le stockage et la confidentialité des données
Supervision d’entreprise avec Microsoft Defender pour IoT Sécurité et conservation des données dans Microsoft Defender XDR
Gestion des vulnérabilités de Microsoft Defender Microsoft Defender pour point de terminaison le stockage et la confidentialité des données
Microsoft Defender for Cloud Apps Confidentialité avec Microsoft Defender for Cloud Apps
Autres services pris en charge dans le portail Microsoft Defender
Sécurité Microsoft - Gestion de l’exposition Actualisation des données, rétention et fonctionnalités associées
Sécurité Microsoft Copilot Confidentialité et sécurité des données dans Sécurité Microsoft Copilot
Microsoft Defender pour le cloud Microsoft Defender pour la sécurité des données cloud
Microsoft Defender Threat Intelligence Sécurité et conservation des données dans Microsoft Defender XDR
Protection Microsoft Entra ID conservation des données Microsoft Entra
Microsoft Purview : gestion des risques internes Guide de confidentialité Gestion des risques internes Microsoft Purview et de conformité des communications

Gestion des enregistrements de messagerie (MRM) et stratégies de rétention dans Microsoft 365

Planifier votre architecture d’espace de travail Log Analytics

Pour intégrer Microsoft Sentinel au portail Defender, vous avez d’abord besoin d’un espace de travail Log Analytics activé pour Microsoft Sentinel. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différents besoins de l’entreprise.

Concevez l’espace de travail Log Analytics que vous souhaitez activer pour Microsoft Sentinel. Tenez compte des paramètres tels que les exigences de conformité que vous avez pour la collecte et le stockage des données et la façon de contrôler l’accès aux données Microsoft Sentinel.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  1. Concevoir l’architecture de l’espace de travail
  2. Passer en revue les exemples de conceptions d’espace de travail

Planifier les coûts Microsoft Sentinel et les sources de données

Le portail Defender peut ingérer en mode natif des données à partir de services Microsoft internes, tels que Microsoft Defender for Cloud Apps et Microsoft Defender pour le cloud. Nous vous recommandons d’étendre votre couverture à d’autres sources de données dans votre environnement en ajoutant Microsoft Sentinel connecteurs de données.

Déterminer vos sources de données

Déterminez l’ensemble complet des sources de données à partir de laquelle vous allez ingérer des données, ainsi que les exigences de taille des données pour vous aider à projeter avec précision le budget et les chronologie de votre déploiement. Vous pouvez déterminer ces informations lors de la révision de votre cas d’usage professionnel ou en évaluant un SIEM actuel que vous avez déjà en place. Si vous avez déjà un SIEM en place, analysez vos données pour comprendre quelles sources de données fournissent le plus de valeur et doivent être ingérées dans Microsoft Sentinel.

Par exemple, vous pouvez utiliser l’une des sources de données recommandées suivantes :

  • Services Azure : si l’un des services suivants est déployé dans Azure, utilisez les connecteurs suivants pour envoyer les journaux de diagnostic de ces ressources à Microsoft Sentinel :

    • Pare-feu Azure
    • Azure Application Gateway
    • Coffre de clés
    • Azure Kubernetes Service
    • Azure SQL
    • Groupes de sécurité réseau
    • Serveurs Azure Arc

    Nous vous recommandons de configurer Azure Policy pour exiger que leurs journaux soient transférés à l’espace de travail Log Analytics sous-jacent. Pour plus d’informations, consultez Créer des paramètres de diagnostic à grande échelle à l’aide de Azure Policy.

  • Machines virtuelles : pour les machines virtuelles hébergées localement ou dans d’autres clouds qui nécessitent la collecte de leurs journaux, utilisez les connecteurs de données suivants :

    • événements Sécurité Windows à l’aide d’AMA
    • Événements via Defender pour point de terminaison (pour le serveur)
    • Syslog
  • Appliances virtuelles réseau/sources locales : pour les appliances virtuelles réseau ou d’autres sources locales qui génèrent des journaux CEF (Common Event Format) ou SYSLOG, utilisez les connecteurs de données suivants :

    • Syslog via AMA
    • Common Event Format (CEF) via AMA

Pour plus d’informations, consultez Hiérarchiser les connecteurs de données.

Planifier votre budget

Planifiez votre budget Microsoft Sentinel, en tenant compte des implications en matière de coûts pour chaque scénario planifié. Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks qui seront déployés, etc. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Comprendre les portails de sécurité et les centres d’administration Microsoft

Bien que le portail Microsoft Defender soit la base de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils et applications, vous devez accéder à différents portails pour certaines tâches spécialisées.

Les portails de sécurité Microsoft incluent :

Nom du portail Description Liens
Portail Microsoft Defender Surveillez et répondez à l’activité des menaces et renforcez la posture de sécurité de vos identités, e-mails, données, points de terminaison et applications avec Microsoft Defender XDR security.microsoft.com

Le portail Microsoft Defender vous permet d’afficher et de gérer les alertes, les incidents, les paramètres, etc.
Portail Defender pour le cloud Utiliser Microsoft Defender pour le cloud afin de renforcer la posture de sécurité de vos centres de données et de vos charges de travail hybrides dans le cloud portal.azure.com/#blade/Microsoft_Azure_Security
portail Renseignement de sécurité Microsoft Obtenir des mises à jour de veille de sécurité pour Microsoft Defender pour point de terminaison, envoyer des exemples et explorer l’encyclopédie des menaces microsoft.com/wdsi

Le tableau suivant décrit les portails pour d’autres charges de travail qui peuvent avoir un impact sur votre sécurité. Visitez ces portails pour gérer les identités, les autorisations, les paramètres d’appareil et les stratégies de gestion des données.

Nom du portail Description Liens
Centre d'administration Microsoft Entra Accéder à la famille Microsoft Entra et l’administrer pour protéger votre entreprise avec une identité décentralisée, une protection des identités, une gouvernance et bien plus encore, dans un environnement multicloud entra.microsoft.com
Portail Azure Afficher et gérer toutes vos ressources Azure portal.azure.com
Portail Microsoft Purview Gérer les stratégies de gestion des données et garantir la conformité aux réglementations purview.microsoft.com
Centre d’administration Microsoft 365 Configurer les services Microsoft 365 ; gérer les rôles, les licences et suivre les mises à jour de vos services Microsoft 365 admin.microsoft.com
centre d’administration Microsoft Intune Utilisez Microsoft Intune pour gérer et sécuriser les appareils. Peut également combiner des fonctionnalités Intune et Configuration Manager. intune.microsoft.com
portail Microsoft Intune Utiliser Microsoft Intune pour déployer des stratégies d’appareil et surveiller la conformité des appareils intune.microsoft.com

Planifier les rôles et les autorisations

Le portail Microsoft Defender unifie les modèles de contrôle d’accès en fonction du rôle (RBAC) suivants pour les opérations de sécurité unifiées :

  • Microsoft Entra ID RBAC, utilisé pour déléguer l’accès à Defender, comme les groupes d’appareils
  • Azure RBAC, utilisé par Microsoft Sentinel pour déléguer des autorisations
  • RBAC unifié Defender, utilisé pour déléguer des autorisations entre les solutions Defender

Bien que les autorisations accordées via Azure RBAC pour Microsoft Sentinel soient fédérées pendant l’exécution avec le RBAC unifié de Defender, azure RBAC et RBAC Defender sont toujours gérés séparément.

Le RBAC unifié de Defender n’est pas nécessaire pour intégrer votre espace de travail au portail Defender, et Microsoft Sentinel autorisations continuent de fonctionner comme prévu dans le portail Defender, même sans RBAC unifié. Toutefois, l’utilisation du contrôle d’accès en fonction du rôle unifié simplifie la délégation d’autorisations entre les solutions Defender. Pour plus d’informations, consultez Activer Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC).

L’autorisation minimale requise pour qu’un analyste affiche Microsoft Sentinel données consiste à déléguer des autorisations pour le rôle Lecteur RBAC Sentinel Azure. Ces autorisations sont également appliquées au portail unifié. Sans ces autorisations, le menu de navigation Microsoft Sentinel n’est pas disponible sur le portail unifié, même si l’analyste a accès au portail Microsoft Defender.

Une bonne pratique consiste à avoir toutes les ressources associées Microsoft Sentinel dans le même groupe de ressources Azure, puis à déléguer Microsoft Sentinel autorisations de rôle (comme le rôle Lecteur Sentinel) au niveau du groupe de ressources qui contient l’espace de travail Microsoft Sentinel. En procédant ainsi, l’attribution de rôle s’applique à toutes les ressources qui prennent en charge Microsoft Sentinel.

Pour les services suivants, utilisez les différents rôles disponibles ou créez des rôles personnalisés pour vous donner un contrôle précis sur ce que les utilisateurs peuvent voir et faire. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Service de sécurité Lien vers les exigences de rôle
Requis pour les opérations de sécurité unifiées
Microsoft Defender XDR Gérer l’accès aux Microsoft Defender XDR avec Microsoft Entra rôles globaux
Microsoft Sentinel Rôles et autorisations dans Microsoft Sentinel
Services Microsoft Defender XDR facultatifs
Microsoft Defender pour l’identité Groupes de rôles dans Microsoft Defender pour Identity
Microsoft Defender pour Office Microsoft Defender pour Office 365 autorisations dans le portail Microsoft Defender
Microsoft Defender pour point de terminaison Attribuer des rôles et des autorisations pour Microsoft Defender pour point de terminaison déploiement
Gestion des vulnérabilités de Microsoft Defender Options d’autorisation pertinentes pour Gestion des vulnérabilités Microsoft Defender
Microsoft Defender for Cloud Apps Configurer l’accès administrateur pour Microsoft Defender for Cloud Apps
Autres services pris en charge dans le portail Microsoft Defender
Sécurité Microsoft - Gestion de l’exposition Autorisations pour Sécurité Microsoft - Gestion de l’exposition
Microsoft Defender pour le cloud Rôles et autorisations d’utilisateur
Microsoft Purview : gestion des risques internes Activez les autorisations pour la gestion des risques internes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Planifier Confiance nulle activités

Les opérations de sécurité unifiées dans le portail Defender font partie du modèle de sécurité Confiance nulle de Microsoft, qui inclut les principes suivants :

Principe de sécurité Description
Vérifier explicitement Toujours s’authentifier et autoriser en fonction de tous les points de données disponibles.
Utilisez des autorisations selon le principe des privilèges minimum. Limitez l’accès utilisateur avec juste-à-temps et just-enough-access (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données.
Supposer une violation Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses.

Confiance nulle sécurité est conçue pour protéger les environnements numériques modernes en tirant parti de la segmentation du réseau, en empêchant les mouvements latéraux, en fournissant un accès aux privilèges minimum et en utilisant des analyses avancées pour détecter les menaces et y répondre.

Pour plus d’informations sur l’implémentation des principes de Confiance nulle dans le portail Defender, consultez Confiance nulle contenu pour les services suivants :

Pour plus d’informations, consultez le Centre d’aide Confiance nulle.

Étape suivante

Déployer pour les opérations de sécurité unifiées