Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Confiance nulle est une stratégie de sécurité pour la conception et l’implémentation des ensembles de principes de sécurité suivants :
| Vérifiez explicitement. | Utilisez des autorisations selon le principe des privilèges minimum. | Supposez une violation. |
|---|---|---|
| Toujours s’authentifier et autoriser en fonction de tous les points de données disponibles. | Limitez l’accès utilisateur avec juste-à-temps et just-enough-access (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données. | Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses. |
Cet article explique comment utiliser la solution Microsoft Sentinel Confiance nulle (TIC 3.0), qui aide les équipes de gouvernance et de conformité à surveiller et à répondre aux exigences Confiance nulle conformément à l’initiative TRUSTED INTERNET CONNECTIONS (TIC) 3.0.
Microsoft Sentinel solutions sont des ensembles de contenu groupé préconfigurés pour un jeu de données spécifique. La solution Confiance nulle (TIC 3.0) comprend un classeur, des règles d’analyse et un playbook, qui fournissent une visualisation automatisée des principes de Confiance nulle, croisés jusqu’à l’infrastructure Trust Internet Connections, aidant les organisations à surveiller les configurations au fil du temps.
Remarque
Obtenez une vue complète des Confiance nulle status de votre organization avec l’initiative Confiance nulle dans Microsoft Exposure Management. Pour plus d’informations, consultez Moderniser rapidement votre posture de sécurité pour Confiance nulle | Microsoft Learn.
La solution Confiance nulle et le framework TIC 3.0
Confiance nulle et TIC 3.0 ne sont pas identiques, mais elles partagent de nombreux thèmes communs et fournissent ensemble une histoire commune. La solution Microsoft Sentinel pour Confiance nulle (TIC 3.0) offre des passerelles détaillées entre Microsoft Sentinel et le modèle Confiance nulle avec le framework TIC 3.0. Ces passerelles aident les utilisateurs à mieux comprendre les chevauchements entre les deux.
Bien que la solution Microsoft Sentinel pour Confiance nulle (TIC 3.0) fournisse des conseils sur les meilleures pratiques, Microsoft ne garantit ni n’implique la conformité. Toutes les exigences, validations et contrôles tic (Trusted Internet Connection) sont régis par l’Agence de sécurité de l’infrastructure de cybersécurité &.
La solution Confiance nulle (TIC 3.0) offre une visibilité et une connaissance de la situation pour les exigences de contrôle fournies avec les technologies Microsoft dans des environnements principalement basés sur le cloud. L’expérience client varie selon l’utilisateur, et certains volets peuvent nécessiter des configurations supplémentaires et une modification de requête pour le fonctionnement.
Les recommandations n’impliquent pas la couverture des contrôles respectifs, car elles sont souvent l’une des nombreuses méthodes d’action pour l’approche des exigences, ce qui est propre à chaque client. Les recommandations doivent être considérées comme un point de départ pour la planification d’une couverture complète ou partielle des exigences de contrôle respectives.
La solution Microsoft Sentinel pour Confiance nulle (TIC 3.0) est utile pour les utilisateurs et les cas d’usage suivants :
- Professionnels de la gouvernance, des risques et de la conformité de la sécurité, pour l’évaluation de la posture de conformité et la création de rapports
- Ingénieurs et architectes, qui doivent concevoir des charges de travail Confiance nulle et alignées sur TIC 3.0
- Analystes de sécurité, pour la création d’alertes et d’automatisation
- Fournisseurs de services de sécurité managés (MSSP) pour les services de conseil
- Responsables de la sécurité, qui ont besoin de passer en revue les exigences, d’analyser les rapports et d’évaluer les fonctionnalités
Configuration requise
Avant d’installer la solution Confiance nulle (TIC 3.0), vérifiez que vous disposez des prérequis suivants :
Intégrer les services Microsoft : vérifiez que les Microsoft Sentinel et les Microsoft Defender pour le cloud sont activés dans votre abonnement Azure.
Microsoft Defender pour les exigences du cloud : dans Microsoft Defender pour le cloud :
Ajoutez les normes réglementaires requises à votre tableau de bord. Veillez à ajouter le benchmark de sécurité Microsoft Cloud et les évaluations NIST SP 800-53 R5 à votre tableau de bord Microsoft Defender pour le cloud. Pour plus d’informations, consultez Ajouter une norme réglementaire à votre tableau de bord dans la documentation Microsoft Defender pour le cloud.
Exportez en continu des Microsoft Defender pour les données cloud vers votre espace de travail Log Analytics. Pour plus d’informations, consultez Exporter en continu Microsoft Defender pour les données cloud.
Autorisations utilisateur requises. Pour installer la solution Confiance nulle (TIC 3.0), vous devez avoir accès à votre espace de travail Microsoft Sentinel avec les autorisations Lecteur de sécurité.
La solution Confiance nulle (TIC 3.0) est également améliorée par des intégrations avec d’autres services Microsoft, tels que :
- Microsoft Defender XDR
- Protection des informations Microsoft
- Identifiant Microsoft Entra
- Microsoft Defender pour le cloud
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour Office 365
Installer la solution Confiance nulle (TIC 3.0)
Pour déployer la solution Confiance nulle (TIC 3.0) à partir du Portail Azure :
Dans Microsoft Sentinel, sélectionnez Hub de contenu et recherchez la solution Confiance nulle (TIC 3.0).
En bas à droite, sélectionnez Afficher les détails, puis Créer. Sélectionnez l’abonnement, le groupe de ressources et l’espace de travail où vous souhaitez installer la solution, puis passez en revue le contenu de sécurité associé qui sera déployé.
Lorsque vous avez terminé, sélectionnez Vérifier + créer pour installer la solution.
Pour plus d’informations, consultez Déployer du contenu et des solutions prêtes à l’emploi.
Exemple de scénario d’utilisation
Les sections suivantes montrent comment un analyste des opérations de sécurité peut utiliser les ressources déployées avec la solution Confiance nulle (TIC 3.0) pour passer en revue les exigences, explorer les requêtes, configurer des alertes et implémenter l’automatisation.
Après avoir installé la solution Confiance nulle (TIC 3.0), utilisez le classeur, les règles d’analyse et le playbook déployés sur votre espace de travail Microsoft Sentinel pour gérer Confiance nulle dans votre réseau.
Visualiser les données Confiance nulle
Accédez au classeur Microsoft Sentinel Workbooks>Confiance nulle (TIC 3.0), puis sélectionnez Afficher le classeur enregistré.
Dans la page du classeur Confiance nulle (TIC 3.0), sélectionnez les fonctionnalités TIC 3.0 que vous souhaitez afficher. Pour cette procédure, sélectionnez Détection d’intrusion.
Conseil
Utilisez le bouton bascule Guide en haut de la page pour afficher ou masquer les recommandations et les volets guides. Assurez-vous que les détails corrects sont sélectionnés dans les options Abonnement, Espace de travail et TimeRange afin de pouvoir afficher les données spécifiques que vous souhaitez rechercher.
Sélectionnez les cartes de contrôle que vous souhaitez afficher. Pour cette procédure, sélectionnez Adaptive Access Control, puis continuez à faire défiler pour afficher le carte affiché.
Conseil
Utilisez le bouton bascule Guides en haut à gauche pour afficher ou masquer les recommandations et les volets de guide. Par exemple, celles-ci peuvent être utiles lorsque vous accédez au classeur pour la première fois, mais inutiles une fois que vous avez compris les concepts pertinents.
Explorez les requêtes. Par exemple, en haut à droite de la carte Access Control adaptative, sélectionnez le menu Options à trois points, puis sélectionnez Ouvrir la dernière requête d’exécution dans la vue Journaux.
La requête est ouverte dans la page Journaux Microsoft Sentinel :
Configurer les alertes liées aux Confiance nulle
Dans Microsoft Sentinel, accédez à la zone Analytique. Affichez les règles analytiques prêtes à l’emploi déployées avec la solution Confiance nulle (TIC 3.0) en recherchant TIC3.0.
Par défaut, la solution Confiance nulle (TIC 3.0) installe un ensemble de règles d’analyse configurées pour surveiller la posture de Confiance nulle (TIC3.0) par famille de contrôles, et vous pouvez personnaliser les seuils pour alerter les équipes de conformité en cas de changement de posture.
Par exemple, si la posture de résilience de votre charge de travail tombe en dessous d’un pourcentage spécifié au cours d’une semaine, Microsoft Sentinel génère une alerte pour détailler les status de stratégie respectives (réussite/échec), les ressources identifiées, l’heure de la dernière évaluation et fournir des liens approfondis vers Microsoft Defender pour le cloud pour les actions de correction.
Mettez à jour les règles en fonction des besoins ou configurez-en une nouvelle :
Pour plus d’informations, consultez Créer des règles d’analyse personnalisées pour détecter les menaces.
Répondre avec SOAR
Dans Microsoft Sentinel, accédez à l’ongletPlaybooks actifsAutomation> et recherchez le playbook Notify-GovernanceComplianceTeam.
Utilisez ce playbook pour surveiller automatiquement les alertes CMMC et informer l’équipe de conformité de la gouvernance avec des détails pertinents par e-mail et des messages Microsoft Teams. Modifiez le playbook en fonction des besoins :
Pour plus d’informations, consultez Utiliser des déclencheurs et des actions dans Microsoft Sentinel playbooks.
Foire aux questions
Les vues et les rapports personnalisés sont-ils pris en charge ?
Oui. Vous pouvez personnaliser votre classeur Confiance nulle (TIC 3.0) pour afficher les données par abonnement, espace de travail, temps, famille de contrôle ou paramètres de niveau de maturité, et vous pouvez exporter et imprimer votre classeur.
Pour plus d’informations, consultez Utiliser des classeurs Azure Monitor pour visualiser et surveiller vos données.
Des produits supplémentaires sont-ils nécessaires ?
Les Microsoft Sentinel et les Microsoft Defender pour le cloud sont requis.
En dehors de ces services, chaque carte de contrôle est basé sur les données de plusieurs services, en fonction des types de données et de visualisations affichés dans le carte. Plus de 25 services Microsoft permettent d’enrichir la solution Confiance nulle (TIC 3.0).
Que dois-je faire avec les panneaux sans données ?
Les panneaux sans données fournissent un point de départ pour répondre aux exigences de contrôle Confiance nulle et TIC 3.0, y compris des recommandations pour traiter les contrôles respectifs.
Plusieurs abonnements, clouds et locataires sont-ils pris en charge ?
Oui. Vous pouvez utiliser des paramètres de classeur, Azure Lighthouse et Azure Arc pour tirer parti de la solution Confiance nulle (TIC 3.0) sur l’ensemble de vos abonnements, clouds et locataires.
Pour plus d’informations, consultez Utiliser des classeurs Azure Monitor pour visualiser et surveiller vos données et Gérer plusieurs locataires dans Microsoft Sentinel en tant que MSSP.
L’intégration de partenaires est-elle prise en charge ?
Oui. Les classeurs et les règles d’analyse sont personnalisables pour les intégrations avec les services partenaires.
Pour plus d’informations, consultez Utiliser des classeurs Azure Monitor pour visualiser et surveiller vos données et Détails des événements personnalisés Surface dans les alertes.
Est-ce disponible dans les régions gouvernementales ?
Oui. La solution Confiance nulle (TIC 3.0) est disponible en préversion publique et peut être déployée dans les régions commerciales/gouvernementales. Pour plus d’informations, consultez Disponibilité des fonctionnalités cloud pour les clients commerciaux et du gouvernement des États-Unis.
Quelles sont les autorisations requises pour utiliser ce contenu ?
Microsoft Sentinel utilisateurs contributeurs peuvent créer et modifier des classeurs, des règles d’analyse et d’autres ressources Microsoft Sentinel.
Microsoft Sentinel les utilisateurs du lecteur peuvent afficher des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel.
Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Bien démarrer avec Microsoft Sentinel
- Visualiser et surveiller vos données avec des classeurs
- Modèle microsoft Confiance nulle
- Centre de déploiement Confiance nulle
Regardez nos vidéos :
- Démonstration : solution Microsoft Sentinel Confiance nulle (TIC 3.0)
- Microsoft Sentinel : démonstration de classeur Confiance nulle (TIC 3.0)
Lisez nos blogs !
- Annonce de la solution Microsoft Sentinel : Confiance nulle (TIC3.0)
- Création et surveillance de charges de travail Confiance nulle (TIC 3.0) pour les systèmes d’information fédéraux avec Microsoft Sentinel
- Confiance nulle : 7 stratégies d’adoption des responsables de la sécurité
- Implémentation de Confiance nulle avec Microsoft Azure : Gestion des identités et des accès (série 6)