Feuille de route de sécurité : principales priorités pour les 30 premiers jours, 90 jours et au-delà

Important

Le Centre de sécurité Microsoft 365 amélioré est à présent disponible. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender, etc., dans le portail Microsoft 365 Defender. Découvrir les nouveautés.

Cet article inclut les principales recommandations de l’équipe de cybersécurité de Microsoft pour implémenter des fonctionnalités de sécurité pour protéger Microsoft 365 environnement. Cet article est adapté à partir d’une session Microsoft Ignite — Secure Microsoft 365 like a cybersecurity pro: Top priorities for the first 30 days, 90 days, and beyond. Cette session a été développée et présentée par Mark Simos et Matt Kemelhar, architectes Enterprise cyber-sécurité.

Contenu de cet article :

Résultats de la feuille de route

Ces recommandations de feuille de route sont organisées en trois phases dans un ordre logique avec les objectifs suivants.


Période Résultats
30 jours Configuration rapide :
  • Protections d’administration de base.
  • Journalisation et analyse.
  • Protections d’identité de base.

Configuration du client.

Préparez les parties prenantes.

90 jours Protections avancées :
  • Comptes d’administrateur.
  • Les données et les comptes d’utilisateur.

Visibilité de la conformité, des menaces et des besoins des utilisateurs.

Adaptez et implémentez les stratégies et protections par défaut.

Au-delà Ajuster et affiner les stratégies et les contrôles clés.

Étendre les protections aux dépendances sur site.

Intégration aux processus d’entreprise et de sécurité (juridique, menace interne, etc.).

30 jours : puissantes et rapides

Ces tâches peuvent être accomplies rapidement et ont un faible impact sur les utilisateurs.


Zone Tâches
Gestion de la sécurité
Protection contre les menaces Connecter Microsoft 365 à Microsoft Defender pour les applications cloud pour commencer à surveiller les comportements anormaux à l’aide des stratégies de détection des menaces par défaut. La construction d’une base de référence pour la détection des anomalies prend sept jours.

Implémenter la protection des comptes d’administrateur :

Gestion des identités et des accès
Protection des informations Examinez les exemples de recommandations en matière de protection des informations. La protection des informations nécessite une coordination au sein de votre organisation. Commencez à utiliser ces ressources :

90 jours : protections améliorées

Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais augmentent considérablement votre posture de sécurité.


Zone Tâche
Gestion de la sécurité
  • Vérifiez le score de sécurité pour les actions recommandées pour votre environnement ( https://security.microsoft.com/securescore ).
  • Continuez à consulter régulièrement les tableaux de bord et les rapports dans le portail Microsoft 365 Defender, Defender pour les applications cloud et les outils SIEM.
  • Recherchez et implémentez des mises à jour logicielles.
  • Effectuer des simulations d’attaques pour le harponnage, la pulvérisation de mots de passe et les attaques par mot de passe en force brute à l’aide de la formation à la simulation d’attaques (incluse dans Office 365 Threat Intelligence.
  • Recherchez les risques de partage en examineant les rapports intégrés dans Defender pour les applications cloud (sous l’onglet Examiner).
  • Consultez le Gestionnaire de conformité pour vérifier l’état des réglementations qui s’appliquent à votre organisation (par exemple, R GDPR, NIST 800-171).
Protection contre les menaces Implémenter des protections améliorées pour les comptes d’administrateur :
  • Configurez les stations de travail à accès privilégié (PAW) pour l’activité de l’administrateur.
  • Configurez Azure AD Privileged Identity Management.
  • Configurez un outil de gestion des événements et des informations de sécurité (SIEM) pour collecter des données de journalisation à partir de Office 365, Defender pour les applications cloud et d’autres services, y compris AD FS. Le journal d’audit stocke les données pendant 90 jours seulement. La capture de ces données dans l’outil SIEM vous permet de stocker les données pendant une période plus longue.
Gestion des identités et des accès
Protection des informations Adaptez et implémentez des stratégies de protection des informations. Ces ressources incluent des exemples :

Utilisez des stratégies de protection contre la perte de données et des outils de surveillance dans Microsoft 365 pour les données stockées dans Microsoft 365 (au lieu de Defender pour les applications cloud).

Utilisez Defender pour les applications cloud avec Microsoft 365 fonctionnalités d’alerte avancées (autres que la protection contre la perte de données).

Au-delà

Voici des mesures de sécurité importantes qui s’appuient sur les travaux précédents.


Zone Tâche
Gestion de la sécurité
  • Continuez à planifier les actions suivantes à l’aide du niveau de sécurité ( https://security.microsoft.com/securescore ).
  • Continuez à consulter régulièrement les tableaux de bord et les rapports dans le portail Microsoft 365 Defender, Defender pour les applications cloud et les outils SIEM.
  • Continuez à rechercher et implémenter des mises à jour logicielles.
  • Intégrez eDiscovery à vos processus de réponse aux menaces et juridiques.
Protection contre les menaces
  • Implémenter l’accès privilégié sécurisé (SPA) pour les composants d’identité locaux (AD, AD FS).
  • Utilisez Defender pour les applications cloud pour surveiller les menaces internes.
  • Découvrez l’utilisation de shadow IT SaaS à l’aide de Defender pour les applications cloud.
Gestion des identités et des accès
  • Affiner les stratégies et les processus opérationnels.
  • Utilisez Azure AD Identity Protection pour identifier les menaces internes.
Protection des informations Affiner les stratégies de protection des informations :
  • Microsoft 365 et Office 365 étiquettes de sensibilité et protection contre la perte de données (DLP) ou Azure Information Protection.
  • Stratégies et alertes de Defender for Cloud Apps.

Voir aussi : Comment atténuer les cyberattaques rapides telles que Petya et WannaCrypt.