Visibilité, automatisation et orchestration avec Confiance nulle

L’un des changements importants apportés aux perspectives qui caractérisent un Confiance nulle frameworks de sécurité consiste à passer de la confiance par défaut à la confiance par exception. Toutefois, vous avez besoin d’un moyen fiable d’établir la confiance une fois la confiance nécessaire. Étant donné que vous ne partez plus du principe que les demandes sont dignes de confiance, il est essentiel d’établir un moyen d’attester de la fiabilité de la demande pour prouver sa fiabilité dans le temps. Cette attestation nécessite la possibilité d’obtenir une visibilité sur les activités sur et autour de la demande.

Dans nos autres guides Confiance nulle, nous avons défini l’approche d’implémentation d’une approche Confiance nulle de bout en bout sur les identités, les points de terminaison et les appareils, les données, les applications, l’infrastructure et le réseau. Tous ces investissements augmentent votre visibilité, ce qui vous donne de meilleures données pour prendre des décisions d’approbation. Toutefois, en adoptant une approche Confiance nulle dans ces six domaines, vous augmentez nécessairement le nombre d’incidents que les analystes des centres d’opérations de sécurité (SOC) doivent atténuer. Vos analystes deviennent plus occupés que jamais, à un moment où il y a déjà une pénurie de talents. Cela peut entraîner une fatigue chronique des alertes et l’absence d’alertes critiques pour les analystes.

Diagram of integrated capabilities to manage threats.

Chacune de ces zones générant ses propres alertes pertinentes, nous avons besoin d’une capacité intégrée pour gérer l’afflux de données résultant afin de mieux se défendre contre les menaces et de valider la confiance dans une transaction.

Vous souhaitez avoir la possibilité de :

  • Détecter les menaces et les vulnérabilités.
  • Enquêter sur.
  • Répondre.
  • Chasse.
  • Fournissez un contexte supplémentaire via l’analyse des menaces.
  • Évaluer les vulnérabilités.
  • Obtenir de l’aide d’experts de classe mondiale
  • Empêcher ou bloquer les événements qui se produisent sur les piliers.

La gestion des menaces inclut une détection réactive et proactive et nécessite des outils qui prennent en charge les deux.

La détection réactive se produit lorsque des incidents sont déclenchés à partir de l’un des six piliers qui peuvent être examinés. En outre, un produit de gestion tel qu’un SIEM prendra probablement en charge une autre couche d’analytique qui enrichira et mettra en corrélation les données, ce qui entraînera l’indicateur d’un incident comme étant incorrect. L’étape suivante consisterait alors à examiner pour obtenir la narration complète de l’attaque.

La détection proactive consiste à appliquer la chasse aux données pour prouver une hypothèse compromise. La chasse aux menaces commence par l’hypothèse que vous avez été violé - vous chassez pour la preuve qu’il y a effectivement une violation.

La chasse aux menaces commence par une hypothèse basée sur les menaces actuelles, telles que les attaques par hameçonnage coVID-19. Les analystes commencent par cette menace hypothétique, identifient les indicateurs clés de compromission et recherchent les données pour voir s’il existe des preuves que l’environnement a été compromis. S’il existe des indicateurs, les scénarios de chasse peuvent entraîner des analyses qui notifient les organisations si certains indicateurs se reproduisent.

Dans les deux cas, une fois qu’un incident est détecté, vous devez l’examiner pour générer l’histoire complète de l’attaque. Que fait l’utilisateur d’autre ? Quels autres systèmes ont été impliqués ? Quels exécutables ont été exécutés ?

Si une enquête aboutvient à des apprentissages exploitables, vous pouvez prendre des mesures de correction. Par exemple, si une enquête révèle des lacunes dans un déploiement de confiance zéro, les stratégies peuvent être modifiées pour combler ces lacunes et éviter les incidents indésirables futurs. Dans la mesure du possible, il est souhaitable d’automatiser les étapes de correction, car cela réduit le temps nécessaire à un analyste SOC pour traiter la menace et passer à l’incident suivant.

Un autre composant clé de l’évaluation des menaces consiste à incorporer des informations sur les menaces connues sur les données ingérées. Si une adresse IP, un hachage, une URL, un fichier, un exécutable, etc. sont connus comme étant incorrects, elles peuvent être identifiées, examinées et corrigées.

Dans le pilier de l’infrastructure , le temps a été consacré à la résolution des vulnérabilités. Si un système est connu pour être vulnérable et qu’une menace a profité de cette vulnérabilité, il peut être détecté, examiné et corrigé.

Afin d’utiliser ces tactiques pour gérer les menaces, vous devez disposer d’une console centrale pour permettre aux administrateurs SOC de détecter, d’examiner, de corriger, de chasser, d’utiliser le renseignement sur les menaces, de comprendre les vulnérabilités connues, de s’appuyer sur des experts en menaces et de bloquer les menaces sur l’un des six piliers. Les outils nécessaires pour prendre en charge ces phases fonctionnent mieux s’ils sont convergés en un seul flux de travail, offrant une expérience transparente qui augmente l’efficacité de l’analyste SOC.

Les centres d’opérations de sécurité déploient souvent une combinaison de technologies SIEM et SOAR pour collecter, détecter, examiner et répondre aux menaces. Microsoft propose Microsoft Sentinel en tant qu’offre SIEM-as-a-service. Microsoft Sentinel ingère toutes les données Microsoft Defender pour Identity et tierces.

Microsoft Threat Protection (MTP), un flux clé dans Microsoft Sentinel, fournit une suite de défense d’entreprise unifiée qui apporte une protection, une détection et une réponse contextuelles à tous les composants Microsoft 365. En étant conscients du contexte et coordonnés, les clients qui utilisent Microsoft 365 peuvent bénéficier d’une visibilité et d’une protection sur les points de terminaison, les outils de collaboration, les identités et les applications.

C’est grâce à cette hiérarchie que nous permetisons à nos clients d’optimiser leur concentration. Bien que la prise en charge du contexte et la correction automatisée, MTP peut détecter et arrêter de nombreuses menaces sans ajouter de fatigue supplémentaire aux alertes au personnel SOC déjà surchargé. La chasse avancée à l’intérieur de MTP apporte ce contexte à la chasse pour se concentrer sur de nombreux points d’attaque clés. Et la chasse et l’orchestration dans l’ensemble de l’écosystème via Microsoft Sentinel offrent la possibilité d’obtenir la bonne visibilité sur tous les aspects d’un environnement hétérogène, tout en minimisant la surcharge cognitive de l’opérateur.

Objectifs de déploiement de visibilité, d’automatisation et d’orchestration Confiance nulle

Lors de l’implémentation d’une infrastructure Confiance nulle de bout en bout pour la visibilité, l’automatisation et l’orchestration, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :

List icon with one checkmark.

I.Établirla visibilité.

II.Activez l’automatisation.

Une fois ces opérations terminées, concentrez-vous sur ces objectifs de déploiement supplémentaires :

List icon with two checkmarks.

III.Activez des contrôles de protection et de détection supplémentaires.

Guide de déploiement de la visibilité, de l’automatisation et de l’orchestration Confiance nulle

Ce guide vous guide tout au long des étapes nécessaires à la gestion de la visibilité, de l’automatisation et de l’orchestration en suivant les principes d’une infrastructure de sécurité Confiance nulle.




Checklist icon with one checkmark.

Objectifs de déploiement initiaux

Je. Établir la visibilité

La première étape consiste à établir une visibilité en activant Microsoft Threat Protection (MTP).

Procédez comme suit :

  1. Inscrivez-vous à l’une des charges de travail Microsoft Threat Protection.
  2. Activez les charges de travail et établissez la connectivité.
  3. Configurez la détection sur vos appareils et votre infrastructure pour offrir une visibilité immédiate des activités en cours dans l’environnement. Cela vous donne le « ton de numérotation » tout important pour démarrer le flux de données critiques.
  4. Activez Microsoft Threat Protection pour obtenir une visibilité inter-charges de travail et une détection des incidents.

II. Activer l’automatisation

L’étape clé suivante, une fois que vous avez établi la visibilité, consiste à activer l’automatisation.

Examens et corrections automatisés

Avec Microsoft Threat Protection, nous avons automatisé les investigations et la correction, ce qui fournit essentiellement une analyse SOC de niveau 1 supplémentaire.

L’investigation et la correction automatisées (AIR) peuvent être activées progressivement, afin que vous puissiez développer un niveau de confort avec les actions prises.

Procédez comme suit :

  1. Activez AIR pour un groupe de test.
  2. Analysez les étapes d’investigation et les actions de réponse.
  3. Passez progressivement à l’approbation automatique pour tous les appareils afin de réduire le temps de détection et de réponse.

Afin d’obtenir une visibilité sur les incidents qui résultent du déploiement d’un modèle Confiance nulle, il est important de connecter MTP, d’autres connecteurs de données Microsoft et des produits tiers pertinents à Microsoft Sentinel afin de fournir une plateforme centralisée pour l’investigation et la réponse aux incidents.

Dans le cadre du processus de connexion de données, des analyses pertinentes peuvent être activées pour déclencher des incidents et des classeurs peuvent être créés pour une représentation graphique des données au fil du temps.

Bien que l’analytique du Machine Learning et de la fusion soit fournie en dehors des limites, il est également utile d’ingérer des données de renseignement sur les menaces dans Microsoft Sentinel pour aider à identifier les événements liés à des entités incorrectes connues.




Checklist icon with two checkmarks.

Objectifs de déploiement supplémentaires

III. Activer des contrôles de protection et de détection supplémentaires

L’activation de contrôles supplémentaires améliore le signal entrant dans MTP et Sentinel pour améliorer votre visibilité et votre capacité à orchestrer les réponses.

Les contrôles de réduction de la surface d’attaque représentent une telle opportunité. Ces contrôles protecteurs bloquent non seulement certaines activités qui sont les plus associées aux programmes malveillants, mais aussi les tentatives d’utilisation d’approches spécifiques, ce qui peut aider à détecter les adversaires tirant parti de ces techniques plus tôt dans le processus.

Produits abordés dans ce guide

Microsoft Azure

Microsoft Defender pour Identity

Microsoft Sentinel

Microsoft 365

Protection Microsoft contre les menaces



La série de guides de déploiement Confiance nulle

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration