Étape 2. Concevoir votre espace de travail Microsoft Sentinel
Le déploiement de l’environnement Microsoft Sentinel implique la conception d’une configuration d’espace de travail pour répondre à vos besoins en matière de sécurité et de conformité. Le processus de provisionnement comprend la création d'espaces de travail Log Analytics et la configuration des options Microsoft Sentinel appropriées.
Cet article fournit des recommandations sur la conception et l’implémentation d’espaces de travail Microsoft Sentinel pour les principes de Confiance Zéro.
Étape 1 : Concevoir une stratégie de gouvernance
Si votre organisation dispose de plusieurs abonnements Azure, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d'administration fournissent une portée de gouvernance pour les abonnements. Lorsque vous organisez vos abonnements au sein de groupes d’administration, les conditions de gouvernance que vous configurez pour un groupe d’administration s’appliquent aux abonnements qu’il contient. Pour plus d’informations, consultez Organiser vos ressources avec des groupes d’administration.
Par exemple, l’espace de travail Microsoft Sentinel dans le diagramme suivant se trouve dans l’abonnement Sécurité sous le groupe d’administration Plateforme, qui fait partie du locataire Microsoft Entra ID.
L'abonnement Security Azure et l'espace de travail Microsoft Sentinel héritent du contrôle d'accès basé sur les rôles (RBAC) et des stratégies Azure appliqués au groupe de gestion Platform.
Étape 2 : Créez deux espaces de travail Log Analytics :
Pour utiliser Microsoft Sentinel, la première étape consiste à créer vos espaces de travail Log Analytics. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différentes exigences de l'entreprise.
La bonne pratique est de créer des espaces de travail distincts pour les données opérationnelles et de sécurité, pour la propriété des données et la gestion des coûts de Microsoft Sentinel. Par exemple, s’il existe plusieurs personnes qui administrent des rôles opérationnels et de sécurité, votre première décision pour la stratégie Confiance Zéro est de créer des espaces de travail distincts pour ces rôles.
La plateforme d’opérations de sécurité unifiée, qui fournit l’accès à Microsoft Sentinel dans le portail Defender, ne prend en charge qu’un seul espace de travail.
Pour plus d’informations, consultez l’exemple de solution de Contoso pour des espaces de travail distincts pour les rôles d’opération et de sécurité.
Considérations de conception de l’espace de travail Log Analytics
Pour un seul locataire, il existe deux façons de configurer les espaces de travail Microsoft Sentinel :
Un seul locataire avec un seul espace de travail Log Analytics. Dans ce cas, l’espace de travail devient le référentiel central pour les journaux d’activité dans toutes les ressources au sein du locataire.
Avantages :
- Consolidation centralisée des journaux.
- Il est plus facile d’interroger toutes les informations
- Contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour contrôler l’accès à Log Analytics et à Microsoft Sentinel. Pour plus d’informations, consultez les articles Gérer l’accès à des espaces de travail Log Analytics – Azure Monitor et Rôles et autorisations dans Microsoft Sentinel.
Inconvénients :
- Peut ne pas répondre aux exigences de gouvernance
- Il y a un coût de bande passante entre les régions.
Locataire unique avec des espaces de travail Log Analytics régionaux.
Avantages :
- Aucun coût de bande passante entre les régions
- Peut être nécessaire pour répondre à la gouvernance.
- Contrôle d’accès granulaire aux données
- Paramètres de rétention granulaires
- Facturation fractionnée
Inconvénients :
- Pas de vue centrale
- L’analytique, les manuels et d’autres configurations doivent être déployés plusieurs fois.
Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.
Étape 3 : Concevoir l’architecture de l’espace de travail Microsoft Sentinel
L’intégration de Microsoft Sentinel nécessite la sélection d’un espace de travail Log Analytics. Voici quelques considérations relatives à la configuration de Log Analytics pour Microsoft Sentinel :
Créez un groupe de ressources Sécurité à des fins de gouvernance, ce qui vous permet d’isoler les ressources Microsoft Sentinel et l’accès en fonction du rôle à la collection. Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.
Créez un espace de travail Log Analytics dans le groupe de ressources Sécurité et intégrez-y Microsoft Sentinel. Cela vous donne automatiquement 31 jours d’ingestion de données jusqu’à 10 Go par jour gratuitement dans le cadre d’un essai gratuit.
Définissez votre espace de travail Log Analytics prenant en charge Microsoft Sentinel sur une rétention de 90 jours au minimum.
Une fois que vous avez intégré Microsoft Sentinel à un espace de travail Log Analytics, vous obtenez 90 jours de conservation des données sans frais supplémentaires et vous garantissez une substitution des données de journal pendant 90 jours. Vous êtes facturé pour la quantité totale de données dans l’espace de travail au bout de 90 jours. Vous pouvez envisager de conserver les données de journal pendant une période plus longue en fonction des exigences gouvernementales. Pour plus d’informations, consultez les articles Créer des espaces de travail Log Analytics et Démarrage rapide : Intégration dans Microsoft Sentinel.
Confiance Zéro avec Microsoft Sentinel
Pour implémenter une architecture de confiance zéro, envisagez d’étendre l’espace de travail pour interroger et analyser vos données entre les espaces de travail et les locataires. Utilisez des exemples de conceptions d’espace de travail Microsoft Sentinel et étendez Microsoft Sentinel entre les espaces de travail et les locataires pour déterminer la meilleure conception de l’espace de travail pour votre organisation.
En outre, utilisez les instructions prescriptives relatives aux rôles et aux opérations cloud et à sa feuille de calcul Excel (téléchargement). À partir de ce guide, les tâches Confiance Zéro à prendre en compte pour Microsoft Sentinel sont les suivantes :
- Définissez des rôles RBAC Microsoft Sentinel avec des groupes Microsoft Entra associés.
- Vérifiez que les pratiques d’accès implémentées à Microsoft Sentinel répondent toujours aux exigences de votre organisation.
- Envisager l'utilisation de clés gérées par le client.
Confiance Zéro avec RBAC
Pour respecter le principe de Confiance Zéro, nous vous recommandons de configurer RBAC Azure en fonction des ressources autorisées pour vos utilisateurs au lieu de leur fournir l’accès à l’ensemble de l’environnement Microsoft Sentinel.
Le tableau suivant répertorie certains des rôles spécifiques à Microsoft Sentinel.
Nom de rôle | Description |
---|---|
Lecteur Microsoft Sentinel | Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel. |
Répondeur Microsoft Sentinel | Outre les fonctionnalités du rôle Lecteur Microsoft Sentinel, gérez les incidents (assignez, ignorez, etc.). Ce rôle s’applique aux types d’analystes de sécurité des utilisateurs. |
Opérateur de playbook Microsoft Sentinel | Répertoriez, affichez et exécutez manuellement des guides opérationnels. Ce rôle s'applique également aux types d'utilisateurs des analystes de la sécurité. Ce rôle permet d'accorder à un répondant Microsoft Sentinel la possibilité d'exécuter des guides opérationnels Microsoft Sentinel avec le moins de privilèges possible. |
Contributeur Microsoft Sentinel | Outre les fonctionnalités du rôle Opérateur Playbook Microsoft Sentinel, créez et modifiez des manuels, des règles d’analytique et d’autres ressources Microsoft Sentinel. Ce rôle s’applique aux types d’utilisateurs d’ingénieurs de sécurité. |
Contributeur Microsoft Sentinel Automation | Permet à Microsoft Sentinel d'ajouter des guides opérationnels aux règles d'automatisation. Il n’est pas destiné aux comptes d’utilisateur. |
Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics qui peuvent avoir été attribués aux utilisateurs à d’autres fins. Par exemple, les rôles Contributeur Log Analytics et Lecteur Log Analytics accordent l’accès à un espace de travail Log Analytics.
Pour plus d’informations, consultez les articles Rôles et autorisations dans Microsoft Sentinel et Gérer l’accès aux données de Microsoft Sentinel par ressources.
Confiance Zéro dans les architectures multilocataire avec Azure Lighthouse
Azure Lighthouse permet une gestion multi-locataire avec de la scalabilité, une automatisation plus poussée et une gouvernance renforcée des ressources. Avec Azure Lighthouse, vous pouvez gérer plusieurs espaces de travail Microsoft Sentinel entre les locataires Microsoft Entra à grande échelle. Voici un exemple :
Grâce à Azure Lighthouse, vous pouvez exécuter des requêtes sur plusieurs espaces de travail ou créer des classeurs pour visualiser et surveiller les données de vos sources de données connectées afin de mieux les exploiter. Il est important de prendre en compte les principes de la Confiance Zéro. Consultez les pratiques de sécurité recommandées pour implémenter des contrôles d’accès des privilèges minimum pour Azure Lighthouse.
Tenez compte des questions suivantes lors de l’implémentation des meilleures pratiques de sécurité pour Azure Lighthouse :
- Qui est responsable de la propriété des données ?
- Quelles sont les exigences d’isolation et de conformité des données ?
- Comment allez-vous implémenter les privilèges minimum entre les locataires ?
- Comment gérer plusieurs connecteurs de données dans plusieurs espaces de travail Microsoft Sentinel ?
- Comment surveiller les environnements Office 365 ?
- Comment protéger les propriétés intellectuelles , par exemple, les guides opérationnels, les notebooks, les règles d’analyse entre les locataires ?
Consultez Gérer les espaces de travail Microsoft Sentinel à grande échelle : RBAC Azure granulaire pour les meilleures pratiques de sécurité de Microsoft Sentinel et d’Azure Lighthouse.
Intégrer votre espace de travail à la plateforme d’opérations de sécurité unifiée
Si vous utilisez un seul espace de travail, nous vous recommandons de l’intégrer à la plateforme d’opérations de sécurité unifiée pour afficher toutes vos données Microsoft Sentinel avec les données XDR dans le portail Microsoft Defender.
La plateforme d’opérations de sécurité unifiée fournit également des fonctionnalités améliorées, telles que l’interruption automatique d’attaque pour le système SAP, les requêtes unifiées à partir de la page de repérage avancé Defender, ainsi que les incidents et entités unifiés sur Microsoft Defender et Microsoft Sentinel.
Pour plus d’informations, consultez l’article suivant :
- Connecter Microsoft Sentinel à Microsoft Defender XDR
- Microsoft Sentinel sur le portail Microsoft Defender
Entraînement recommandé
Le contenu de formation ne couvre pas actuellement la plateforme d’opérations de sécurité unifiée.
Présentation de Microsoft Sentinel
Formation | Présentation de Microsoft Sentinel |
---|---|
Microsoft Sentinel vous permet d’obtenir rapidement de précieux resneignements de sécurité à partir de vos données locales et cloud. |
Configuration de votre environnement Microsoft Sentinel
Formation | Configuration de votre environnement Microsoft Sentinel |
---|---|
Configurez correctement l’espace de travail Microsoft Sentinel pour bien démarrer avec Microsoft Sentinel. |
Créer et gérer des espaces de travail Microsoft Sentinel
Formation | Créer et gérer des espaces de travail Microsoft Sentinel |
---|---|
En savoir plus sur l’architecture des espaces de travail Microsoft Sentinel pour vous assurer que vous configurez votre système selon les exigences en matière d’opérations de sécurité de votre organisation. |
Étape suivante
Passez à l’étape 3 pour configurer Microsoft Sentinel pour ingérer des sources de données et configurer la détection des incidents.
Références
Reportez-vous à ces liens pour en savoir plus sur les services et technologies mentionnés dans cet article.
Zone de service | En savoir plus |
---|---|
Microsoft Sentinel | - Démarrage rapide : Intégration dans Microsoft Sentinel - Gérer l’accès aux données de Microsoft Sentinel par ressources |
Gouvernance Microsoft Sentinel | - Organiser vos ressources avec des groupes d’administration - Rôles et autorisations dans Microsoft Sentinel |
Espaces de travail Log Analytics | - Concevoir une architecture d’espace de travail Log Analytics - Critères de conception pour les espaces de travail Log Analytics - Solution de Contoso - Gérer les espaces de travail Log Analytics - Azure Monitor - Concevoir une architecture d’espace de travail Log Analytics - Créer des espaces de travail Log Analytics |
Espaces de travail Microsoft Sentinel et Azure Lighthouse | - Gérer les espaces de travail Microsoft Sentinel à grande échelle : RBAC Azure granulaire - Pratiques de sécurité recommandées |