Introduction

Depuis un certain nombre d’années, la technologie numérique s’est considérablement démocratisée. Elle n’a cessé d’évoluer, révélant au fil du temps ses qualités, mais aussi ses faiblesses. Ce sont d’ailleurs ces dernières qui ont amené à faire de la sécurité informatique une nécessité absolue face à l’émergence des cyberattaques.

Dans Microsoft 365, même si chaque service possède une base de protection, il existe un portail dédié uniquement à la sécurité du tenant Microsoft 365. Ce portail est le Microsoft Defender XDR.

L’origine de Microsoft Defender XDR est historiquement liée à celle de Microsoft Purview, car les deux outils partageaient le même portail, le Security & Compliance center.

Quelques années plus tard, Microsoft adopte une logique de centralisation des outils et décide d’abord de transformer le Security & Compliance center en deux portails d’administration distincts. Cette scission donne naissance au Microsoft 365 Compliance center (aujourd’hui Microsoft Purview) et au Microsoft 365 Security center.

Le Microsoft 365 Security center permettait de gérer les fonctionnalités suivantes : les alertes, les rapports, le Secure Score, les classifications...

Vue d’ensemble de Microsoft Defender XDR

1. Centre d’administration de Microsoft Defender XDR

Le centre d’administration de Microsoft Defender XDR regroupe tous les paramètres liés à la sécurité des identités, des e-mails et des applications. Il dispose de son propre rôle qui est Security Administrator. Comme le rôle Global Administrator, qui dispose de l’ensemble des autorisations nécessaires à la gestion d’un tenant Microsoft 365, d’autres rôles peuvent également y accéder, mais avec des droits limités et une visibilité restreinte.

Le centre d’administration est accessible depuis l’adresse https://security.microsoft.com ou depuis le centre d’administration de Microsoft 365 disponible à l’adresse https://admin.microsoft.com.

Il se compose de deux sections principales : la partie centrale affichant plusieurs indicateurs sous forme de vignettes et la partie de gauche qui regroupe les différents menus présents dans le portail d’administration.

Présentation des menus du centre d’administration de Microsoft Defender XDR :

Home : vue d’ensemble du centre d’administration ;
Exposure management : analyse des risques et recommandation ;
Investigation & response : gestion des incidents ;
Threat intelligence : informations de Microsoft sur les menaces actuelles ;
Assets : gestion et inventaire des actifs ;
Microsoft Sentinel : gestion des menaces avec Microsoft Sentinel ;
Identities : gestion des comptes ;
Email & collaboration : supervision des services liés à la collaboration ;
Cloud apps : gestion des applications dans SaaS ;
System : paramètres du portail.

2. Microsoft Defender XDR

Microsoft Defender XDR n’est pas qu’un simple produit, c’est une plateforme unifiée qui centralise plusieurs solutions Defender comme Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender for Identity.

Bien qu’ils dépendent tous de la même plateforme, chacun de ces outils a une fonction bien précise. Voici une vue d’ensemble des produits de la famille Defender.

Microsoft Defender for Endpoint

Le Microsoft Defender...

Gestion des risques et recommandation

La gestion des risques au sein d’une organisation est une tâche qui demande bien plus que de la réactivité. Plutôt que se limiter à entreprendre des actions pendant le déroulement d’une attaque, il est judicieux de maîtriser des outils qui permettent de se mettre à jour face à de nouvelles menaces, pour être en mesure d’identifier en amont les risques et ainsi préserver la sécurité.

1. Microsoft Secure Score

Le Microsoft Secure Score est un indicateur qui mesure le niveau de sécurité du tenant Microsoft 365. Ce score est calculé sur les configurations et stratégies mises en place. Basé sur l’ensemble des services Microsoft 365, l’outil effectue des recommandations sous forme d’actions correctives adaptées à l’environnement de l’organisation. Ces actions sont regroupées dans différentes catégories : Identités, Données, Appareils et Applications.

Alors que le compliance score de Microsoft Purview est axé sur la conformité des réglementations, le Microsoft Secure Score se concentre sur la protection des identités et des appareils.

Voici une vue détaillée du Microsoft Secure Score :

Le Microsoft Secure Score est composé de quatre onglets :

Overview : vue d’ensemble du Microsoft Secure Score ;
Recommended actions : liste des actions à mettre en œuvre ;
History : historique des actions réalisées ;
Metrics & trends : liste de rapports.

Gestion complète d’une action dans Microsoft Defender XDR

Pour traiter une action dans Microsoft...

Sécurité et collaboration

La sécurité ne se résume pas seulement aux fichiers infectés ou aux sites frauduleux, mais elle concerne toutes les actions effectuées à l’intérieur et à l’extérieur d’une organisation.

En effet, avec la généralisation des outils collaboratifs, les menaces ciblent de plus en plus souvent les canaux de communication. C’était déjà le cas auparavant avec la messagerie, mais aujourd’hui les outils comme SharePoint, OneDrive et Microsoft Teams n’échappent pas à la règle. Même s’ils disposent par défaut d’une couche de sécurité, il est primordial que leur configuration soit adaptée aux usages et aux besoins de l’organisation.

1. Politique et règles

Pour se prémunir avec Microsoft Defender XDR des menaces visant la messagerie et le collaboratif, la mise en place de politiques et de règles est indispensable.

Par le biais de l’option Threat policies (Policy & rules - Email & collaboration), il est possible de mettre en place ce type de politique. Ce menu est structuré par quatre thèmes : Teamplated policies, Policies, Rules et Others.

Pour illustrer concrètement la gestion des politiques qui sécurisent la messagerie et le collaboratif, le type de politique qui va être créée est la Safe Attachments qui permet de sécuriser non seulement les pièces jointes dans les e-mails, mais aussi les fichiers présents dans SharePoint, OneDrive et Microsoft Teams.

Création d’une politique Safe Attachments

Pour créer une politique, rendez-vous dans le sous-menu Policies & rules du menu Email & collaboration, cliquez sur Threat policies puis sur Safe Attachments.

Par défaut, une politique créée par Microsoft, appelée Built-in protection (Microsoft), est déjà présente et active. Son but est d’offrir une sécurité de base contre les liens et pièces jointes malveillants.

Cette politique s’applique à tous les utilisateurs de l’organisation qui ne sont pas protégés par une autre...

Conclusion

L’inventivité et la détermination des cyberattaquants ont obligé les experts de l’IT à concevoir des outils à la hauteur des menaces déployées. Dans l’environnement Microsoft 365, Microsoft Defender XDR joue un rôle central en termes de sécurité.

Sa structure, basée sur plusieurs services Defender (Endpoint, Office 365, Cloud apps et Identity) lui permet de se doter d’une multitude d’indicateurs et d’outils afin de couvrir l’intégralité des périmètres.

Parmi les différents outils proposés par Microsoft Defender XDR figurent :

le Microsoft Secure Score qui permet aux administrateurs d’avoir une vision concrète sur les axes d’amélioration à apporter sur le tenant sans pour autant que cela ne nécessite une expertise poussée ;
le Threat Intelligence qui permet de se tenir informé sur l’actualité de la cybercriminalité afin de connaître et comprendre les menaces actuelles, les protagonistes ainsi que les vulnérabilités exploitées ;
les nombreuses politiques disponibles qui permettent la configuration et la personnalisation des différents périmètres, y compris les e-mails et le collaboratif ;
le Attack simulation training qui permet de tester les réflexes...

Administration de Microsoft Defender XDR