Feuille de route de sécurité - Principales priorités pour les 30 premiers jours, 90 jours et au-delà

Notes

Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.

Cet article contient les principales recommandations de l’équipe de cybersécurité de Microsoft pour implémenter des fonctionnalités de sécurité afin de protéger votre environnement Microsoft 365. Cet article est adapté d’une session Microsoft Ignite — Sécuriser Microsoft 365 comme un professionnel de la cybersécurité : Priorités principales pour les 30 premiers jours, 90 jours et au-delà. Cette session a été développée et présentée par Mark Simos et Matt Kemelhar, Enterprise Cybersecurity Architects.

Contenu de cet article :

Résultats de la feuille de route

Ces recommandations de feuille de route sont réparties en trois phases dans un ordre logique avec les objectifs suivants.

Intervalle de temps Résultats
30 jours Configuration rapide :
  • Protections d’administration de base.
  • Journalisation et analytique.
  • Protections d’identité de base.

Configuration du locataire.

Préparer les parties prenantes.

90 jours Protections avancées :
  • Comptes d’administrateur.
  • Comptes de données et d’utilisateurs.

Visibilité de la conformité, des menaces et des besoins des utilisateurs.

Adaptez et implémentez des stratégies et des protections par défaut.

Au-delà Ajustez et affinez les stratégies et contrôles clés.

Étendez les protections aux dépendances locales.

S’intégrer aux processus métier et de sécurité (juridique, insider threat, etc.).

30 jours — de puissantes victoires rapides

Ces tâches peuvent être accomplies rapidement et ont un faible impact sur les utilisateurs.

Zone Tâches
Gestion de la sécurité
Protection contre les menaces Connecter Microsoft 365 à Microsoft Defender for Cloud Apps de commencer la surveillance à l’aide des stratégies de détection des menaces par défaut pour les comportements anormaux. La création d’une base de référence pour la détection des anomalies prend sept jours.

Implémenter la protection pour les comptes d’administrateur :

  • Utilisez des comptes d’administrateur dédiés pour l’activité d’administrateur.
  • Appliquer l’authentification multifacteur (MFA) pour les comptes d’administrateur.
  • Utilisez un appareil Windows hautement sécurisé pour l’activité de l’administrateur.
Gestion des identités et des accès
Protection des informations Passez en revue les exemples de recommandations de protection des informations. La protection des informations nécessite une coordination au sein de votre organisation. Commencez à utiliser ces ressources :

90 jours — protections améliorées

Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais augmentent considérablement votre posture de sécurité.

Zone Tâche
Gestion de la sécurité
  • Vérifiez le degré de sécurisation pour les actions recommandées pour votre environnement (https://security.microsoft.com/securescore).
  • Passez régulièrement en revue les tableaux de bord et les rapports dans le portail Microsoft 365 Defender, les applications Defender pour le cloud et les outils SIEM.
  • Recherchez et implémentez des mises à jour logicielles.
  • Effectuez des simulations d’attaque pour le harponnage, la pulvérisation de mots de passe et les attaques par mot de passe par force brute à l’aide de la formation de simulation d’attaque (incluse avec Office 365 Threat Intelligence.
  • Recherchez le partage des risques en examinant les rapports intégrés dans Defender pour le cloud Apps (sous l’onglet Examiner).
  • Vérifiez le Gestionnaire de conformité pour vérifier l’état des réglementations qui s’appliquent à votre organisation (par exemple, RGPD, NIST 800-171).
Protection contre les menaces Implémentez des protections améliorées pour les comptes d’administrateur :
  • Configurez des stations de travail à accès privilégié (PAW) pour l’activité d’administrateur.
  • Configurez Azure AD Privileged Identity Management.
  • Configurez un outil SIEM (Security Information and Event Management) pour collecter des données de journalisation à partir de Office 365, Defender pour le cloud Apps et d’autres services, notamment AD FS. Le journal d’audit stocke les données pendant seulement 90 jours. La capture de ces données dans l’outil SIEM vous permet de stocker des données pendant une période plus longue.
Gestion des identités et des accès
Protection des informations Adapter et implémenter des stratégies de protection des informations. Ces ressources incluent des exemples :

Utilisez des stratégies de protection contre la perte de données et des outils de surveillance dans Microsoft Purview pour les données stockées dans Microsoft 365 (au lieu de Defender pour le cloud Apps).

Utilisez Defender pour le cloud Apps avec Microsoft 365 pour les fonctionnalités avancées d’alerte (autres que la protection contre la perte de données).

Au-delà

Il s’agit de mesures de sécurité importantes qui s’appuient sur les travaux précédents.

Zone Tâche
Gestion de la sécurité
  • Continuez à planifier les actions suivantes à l’aide du degré de sécurisation (https://security.microsoft.com/securescore).
  • Passez régulièrement en revue les tableaux de bord et les rapports dans le portail Microsoft 365 Defender, les applications Defender pour le cloud et les outils SIEM.
  • Continuez à rechercher et à implémenter des mises à jour logicielles.
  • Intégrez eDiscovery à vos processus juridiques et de réponse aux menaces.
Protection contre les menaces
  • Implémentez l’accès privilégié sécurisé (SPA) pour les composants d’identité locaux (AD, AD FS).
  • Utilisez Defender pour le cloud Apps pour surveiller les menaces internes.
  • Découvrez l’utilisation de Shadow IT SaaS à l’aide de Defender pour le cloud Apps.
Gestion des identités et des accès
  • Affinez les stratégies et les processus opérationnels.
  • Utilisez Azure AD Identity Protection pour identifier les menaces internes.
Protection des informations Affiner les stratégies de protection des informations :
  • Microsoft 365 et Office 365 étiquettes de confidentialité et de protection contre la perte de données (DLP) ou Azure Information Protection.
  • Defender pour le cloud stratégies et alertes d’applications.

Voir aussi : Comment atténuer les cyberattaques rapides telles que Petya et WannaCrypt.