Partager via


Étape 2. Concevoir votre espace de travail Microsoft Sentinel

Le déploiement de l’environnement Microsoft Sentinel implique la conception d’une configuration d’espace de travail pour répondre à vos besoins en matière de sécurité et de conformité. Le processus de provisionnement comprend la création d'espaces de travail Log Analytics et la configuration des options Microsoft Sentinel appropriées.

Cet article fournit des recommandations sur la conception et l’implémentation d’espaces de travail Microsoft Sentinel pour les principes de Confiance Zéro.

Étape 1 : Concevoir une stratégie de gouvernance

Si votre organisation dispose de plusieurs abonnements Azure, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d'administration fournissent une portée de gouvernance pour les abonnements. Lorsque vous organisez vos abonnements au sein de groupes d’administration, les conditions de gouvernance que vous configurez pour un groupe d’administration s’appliquent aux abonnements qu’il contient. Pour plus d’informations, consultez Organiser vos ressources avec des groupes d’administration.

Par exemple, l’espace de travail Microsoft Sentinel dans le diagramme suivant se trouve dans l’abonnement Sécurité sous le groupe d’administration Plateforme, qui fait partie du locataire Microsoft Entra ID.

Diagramme d’un exemple d’espace de travail Microsoft Sentinel dans un locataire Microsoft Entra ID.

L'abonnement Security Azure et l'espace de travail Microsoft Sentinel héritent du contrôle d'accès basé sur les rôles (RBAC) et des stratégies Azure appliqués au groupe de gestion Platform.

Étape 2  : Créez deux espaces de travail Log Analytics :

Pour utiliser Microsoft Sentinel, la première étape consiste à créer vos espaces de travail Log Analytics. Un seul espace de travail Log Analytics peut être suffisant pour de nombreux environnements, mais de nombreuses organisations créent plusieurs espaces de travail pour optimiser les coûts et mieux répondre aux différentes exigences de l'entreprise.

La bonne pratique est de créer des espaces de travail distincts pour les données opérationnelles et de sécurité, pour la propriété des données et la gestion des coûts de Microsoft Sentinel. Par exemple, s’il existe plusieurs personnes qui administrent des rôles opérationnels et de sécurité, votre première décision pour la stratégie Confiance Zéro est de créer des espaces de travail distincts pour ces rôles.

La plateforme d’opérations de sécurité unifiée, qui fournit l’accès à Microsoft Sentinel dans le portail Defender, ne prend en charge qu’un seul espace de travail.

Pour plus d’informations, consultez l’exemple de solution de Contoso pour des espaces de travail distincts pour les rôles d’opération et de sécurité.

Considérations de conception de l’espace de travail Log Analytics

Pour un seul locataire, il existe deux façons de configurer les espaces de travail Microsoft Sentinel :

  • Un seul locataire avec un seul espace de travail Log Analytics. Dans ce cas, l’espace de travail devient le référentiel central pour les journaux d’activité dans toutes les ressources au sein du locataire.

    Avantages :

    Inconvénients :

    • Peut ne pas répondre aux exigences de gouvernance
    • Il y a un coût de bande passante entre les régions.
  • Locataire unique avec des espaces de travail Log Analytics régionaux.

    Avantages :

    • Aucun coût de bande passante entre les régions
    • Peut être nécessaire pour répondre à la gouvernance.
    • Contrôle d’accès granulaire aux données
    • Paramètres de rétention granulaires
    • Facturation fractionnée

    Inconvénients :

    • Pas de vue centrale
    • L’analytique, les manuels et d’autres configurations doivent être déployés plusieurs fois.

Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.

Étape 3 : Concevoir l’architecture de l’espace de travail Microsoft Sentinel

L’intégration de Microsoft Sentinel nécessite la sélection d’un espace de travail Log Analytics. Voici quelques considérations relatives à la configuration de Log Analytics pour Microsoft Sentinel :

Une fois que vous avez intégré Microsoft Sentinel à un espace de travail Log Analytics, vous obtenez 90 jours de conservation des données sans frais supplémentaires et vous garantissez une substitution des données de journal pendant 90 jours. Vous êtes facturé pour la quantité totale de données dans l’espace de travail au bout de 90 jours. Vous pouvez envisager de conserver les données de journal pendant une période plus longue en fonction des exigences gouvernementales. Pour plus d’informations, consultez les articles Créer des espaces de travail Log Analytics et Démarrage rapide : Intégration dans Microsoft Sentinel.

Confiance Zéro avec Microsoft Sentinel

Pour implémenter une architecture de confiance zéro, envisagez d’étendre l’espace de travail pour interroger et analyser vos données entre les espaces de travail et les locataires. Utilisez des exemples de conceptions d’espace de travail Microsoft Sentinel et étendez Microsoft Sentinel entre les espaces de travail et les locataires pour déterminer la meilleure conception de l’espace de travail pour votre organisation.

En outre, utilisez les instructions prescriptives relatives aux rôles et aux opérations cloud et à sa feuille de calcul Excel (téléchargement). À partir de ce guide, les tâches Confiance Zéro à prendre en compte pour Microsoft Sentinel sont les suivantes :

  • Définissez des rôles RBAC Microsoft Sentinel avec des groupes Microsoft Entra associés.
  • Vérifiez que les pratiques d’accès implémentées à Microsoft Sentinel répondent toujours aux exigences de votre organisation.
  • Envisager l'utilisation de clés gérées par le client.

Confiance Zéro avec RBAC

Pour respecter le principe de Confiance Zéro, nous vous recommandons de configurer RBAC Azure en fonction des ressources autorisées pour vos utilisateurs au lieu de leur fournir l’accès à l’ensemble de l’environnement Microsoft Sentinel.

Le tableau suivant répertorie certains des rôles spécifiques à Microsoft Sentinel.

Nom de rôle Description
Lecteur Microsoft Sentinel Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel.
Répondeur Microsoft Sentinel Outre les fonctionnalités du rôle Lecteur Microsoft Sentinel, gérez les incidents (assignez, ignorez, etc.). Ce rôle s’applique aux types d’analystes de sécurité des utilisateurs.
Opérateur de playbook Microsoft Sentinel Répertoriez, affichez et exécutez manuellement des guides opérationnels. Ce rôle s'applique également aux types d'utilisateurs des analystes de la sécurité. Ce rôle permet d'accorder à un répondant Microsoft Sentinel la possibilité d'exécuter des guides opérationnels Microsoft Sentinel avec le moins de privilèges possible.
Contributeur Microsoft Sentinel Outre les fonctionnalités du rôle Opérateur Playbook Microsoft Sentinel, créez et modifiez des manuels, des règles d’analytique et d’autres ressources Microsoft Sentinel. Ce rôle s’applique aux types d’utilisateurs d’ingénieurs de sécurité.
Contributeur Microsoft Sentinel Automation Permet à Microsoft Sentinel d'ajouter des guides opérationnels aux règles d'automatisation. Il n’est pas destiné aux comptes d’utilisateur.

Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics qui peuvent avoir été attribués aux utilisateurs à d’autres fins. Par exemple, les rôles Contributeur Log Analytics et Lecteur Log Analytics accordent l’accès à un espace de travail Log Analytics.

Pour plus d’informations, consultez les articles Rôles et autorisations dans Microsoft Sentinel et Gérer l’accès aux données de Microsoft Sentinel par ressources.

Confiance Zéro dans les architectures multilocataire avec Azure Lighthouse

Azure Lighthouse permet une gestion multi-locataire avec de la scalabilité, une automatisation plus poussée et une gouvernance renforcée des ressources. Avec Azure Lighthouse, vous pouvez gérer plusieurs espaces de travail Microsoft Sentinel entre les locataires Microsoft Entra à grande échelle. Voici un exemple :

Diagramme d’un exemple d’utilisation d’Azure Lighthouse dans plusieurs locataires Microsoft Entra.

Grâce à Azure Lighthouse, vous pouvez exécuter des requêtes sur plusieurs espaces de travail ou créer des classeurs pour visualiser et surveiller les données de vos sources de données connectées afin de mieux les exploiter. Il est important de prendre en compte les principes de la Confiance Zéro. Consultez les pratiques de sécurité recommandées pour implémenter des contrôles d’accès des privilèges minimum pour Azure Lighthouse.

Tenez compte des questions suivantes lors de l’implémentation des meilleures pratiques de sécurité pour Azure Lighthouse :

  • Qui est responsable de la propriété des données ?
  • Quelles sont les exigences d’isolation et de conformité des données ?
  • Comment allez-vous implémenter les privilèges minimum entre les locataires ?
  • Comment gérer plusieurs connecteurs de données dans plusieurs espaces de travail Microsoft Sentinel ?
  • Comment surveiller les environnements Office 365 ?
  • Comment protéger les propriétés intellectuelles , par exemple, les guides opérationnels, les notebooks, les règles d’analyse entre les locataires ?

Consultez Gérer les espaces de travail Microsoft Sentinel à grande échelle : RBAC Azure granulaire pour les meilleures pratiques de sécurité de Microsoft Sentinel et d’Azure Lighthouse.

Intégrer votre espace de travail à la plateforme d’opérations de sécurité unifiée

Si vous utilisez un seul espace de travail, nous vous recommandons de l’intégrer à la plateforme d’opérations de sécurité unifiée pour afficher toutes vos données Microsoft Sentinel avec les données XDR dans le portail Microsoft Defender.

La plateforme d’opérations de sécurité unifiée fournit également des fonctionnalités améliorées, telles que l’interruption automatique d’attaque pour le système SAP, les requêtes unifiées à partir de la page de repérage avancé Defender, ainsi que les incidents et entités unifiés sur Microsoft Defender et Microsoft Sentinel.

Pour plus d’informations, consultez l’article suivant :

Le contenu de formation ne couvre pas actuellement la plateforme d’opérations de sécurité unifiée.

Présentation de Microsoft Sentinel

Formation Présentation de Microsoft Sentinel
Microsoft Sentinel vous permet d’obtenir rapidement de précieux resneignements de sécurité à partir de vos données locales et cloud.

Configuration de votre environnement Microsoft Sentinel

Formation Configuration de votre environnement Microsoft Sentinel
Configurez correctement l’espace de travail Microsoft Sentinel pour bien démarrer avec Microsoft Sentinel.

Créer et gérer des espaces de travail Microsoft Sentinel

Formation Créer et gérer des espaces de travail Microsoft Sentinel
En savoir plus sur l’architecture des espaces de travail Microsoft Sentinel pour vous assurer que vous configurez votre système selon les exigences en matière d’opérations de sécurité de votre organisation.

Étape suivante

Passez à l’étape 3 pour configurer Microsoft Sentinel pour ingérer des sources de données et configurer la détection des incidents.

Image des étapes de la solution Microsoft Sentinel et XDR avec l’étape 3 mise en surbrillance

Références

Reportez-vous à ces liens pour en savoir plus sur les services et technologies mentionnés dans cet article.

Zone de service En savoir plus
Microsoft Sentinel - Démarrage rapide : Intégration dans Microsoft Sentinel
- Gérer l’accès aux données de Microsoft Sentinel par ressources
Gouvernance Microsoft Sentinel - Organiser vos ressources avec des groupes d’administration
- Rôles et autorisations dans Microsoft Sentinel
Espaces de travail Log Analytics - Concevoir une architecture d’espace de travail Log Analytics
- Critères de conception pour les espaces de travail Log Analytics
- Solution de Contoso
- Gérer les espaces de travail Log Analytics - Azure Monitor
- Concevoir une architecture d’espace de travail Log Analytics
- Créer des espaces de travail Log Analytics
Espaces de travail Microsoft Sentinel et Azure Lighthouse - Gérer les espaces de travail Microsoft Sentinel à grande échelle : RBAC Azure granulaire
- Pratiques de sécurité recommandées