SOLUTION SECURITE

• Microsoft Defender for Endpoint

• Implémenté Microsoft Defender for Endpoint

  Installation et de configuration. Déploiement et la gestion Defender for Endpoint.

  Renforcer l'infrastructure de sécurité des terminaux organisationnels. Une solution complète de sécurité des terminaux.

• Améliorer la sécurité des terminaux en mettant en œuvre diverses fonctionnalités et politiques proposées par Defender for Endpoint.

  Configurer Defender pour Endpoint 

  Configurer les rôles

  Configurer les groupes de périphériques

  Créer des politiques de base

• Machines embarquées

  Microsoft Defender for Endpoint et exécution de tests de détection pour évaluer la réactivité du service de sécurité.

  Il s'agit du processus d'intégration et de configuration de ces machines pour qu'elles se connectent de manière transparente à un système de sécurité ou de gestion. Cela comprend généralement l'installation des logiciels nécessaires, la configuration des paramètres et la garantie de la conformité aux politiques de sécurité. Dans le contexte de Microsoft Defender for Endpoint, l'intégration des appareils clients Windows implique le téléchargement et l'installation du client Defender for Endpoint, la confirmation de l'intégration réussie et la configuration des politiques de sécurité pour améliorer la protection contre les menaces sur les appareils Windows.

  Périphériques clients Windows intégrés

• Lancer l’intégration : les participants lanceront le processus d’intégration à partir du portail Microsoft Defender, en téléchargeant et en exécutant le script d’intégration.

• Vérifier la réussite de l’intégration : l’accent sera mis sur la vérification de la réussite de l’intégration des appareils clients Windows et sur le dépannage de tout problème potentiel.

• Comprendre les meilleures pratiques d’intégration : les participants apprendront les meilleures pratiques pour une intégration efficace, en garantissant que les appareils sont correctement configurés et conformes.

  Exécuter un test de détection

• Exécuter le script de test de détection : les participants exécuteront un script de test de détection sur les appareils nouvellement intégrés à l’aide de PowerShell.

• Vérifier la réactivité de Defender for Endpoint : l’exécution du script vérifiera que les appareils communiquent correctement avec le service Defender for Endpoint, garantissant ainsi sa réactivité.

• Importance dans le monde réel : comprendre l’importance dans le monde réel des tests de détection, en évaluant la capacité du système à détecter et à répondre aux menaces potentielles.

• EDR de bout en bout (incident, alertes, actions et réponses en direct)

  Couvre le processus de bout en bout de détection d'incident, de génération d'alertes, d'actions de réponse et de réponses en direct dans un cadre EDR. Une expérience pratique de la gestion des incidents de sécurité, de la détection à la résolution, en utilisant la fonction de réponse en direct pour une correction en temps réel.

  Détection des incidents : comment les systèmes EDR détectent les incidents de sécurité en surveillant les activités et les comportements des terminaux. La compréhension des critères d'identification des incidents potentiels est un objectif clé.

  Génération d'alertes : la génération automatique d'alertes en fonction des incidents détectés. Les participants découvriront comment les plateformes EDR catégorisent et hiérarchisent les alertes pour une réponse efficace aux incidents.

  Mesures d'intervention : Des mesures d'intervention pratiques visant à atténuer l'impact des incidents seront étudiées. Exploiter les capacités EDR pour répondre efficacement aux incidents.

  Réponses en direct : Le laboratoire présente aux participants le concept de réponses en direct pour une correction en temps réel. répondre activement aux incidents de sécurité en cours.

• Gestion et atténuation des vulnérabilités

  Tableau de bord de gestion des vulnérabilités pour obtenir une vue d'ensemble des vulnérabilités du système et mettre en œuvre des recommandations de sécurité pour atténuer les risques potentiels. s'engager activement dans l'identification, la priorisation et le traitement des vulnérabilités pour améliorer la posture de sécurité globale.

  Présentation du tableau de bord de gestion des vulnérabilités : gestion des vulnérabilités. Il est essentiel de comprendre comment naviguer et interpréter le tableau de bord pour une évaluation efficace des vulnérabilités.

  Recommandations de sécurité : l'accès et l'utilisation des recommandations de sécurité dans le tableau de bord de gestion des vulnérabilités. Hiérarchiser et à mettre en œuvre les mesures de sécurité recommandées pour remédier aux vulnérabilités identifiées.

• Configurer et tester les fonctionnalités de Defender for Endpoint

  La configuration et du test des fonctionnalités de Microsoft Defender for Endpoint. La configuration de Defender for Endpoint sur les appareils clients Windows, la configuration de diverses stratégies de sécurité et le test de ses capacités de détection et de réponse aux menaces. L'amélioration de la sécurité des terminaux, la garantie de la conformité et l'atténuation efficace des menaces potentielles à l'aide des fonctionnalités de Defender for Endpoint.

  Créer des règles de réduction de la surface d'attaque : le processus de création de règles de réduction de la surface d'attaque. limiter la surface d'attaque et atténuer les risques de sécurité potentiels est un objectif clé.

  Configurer le filtrage de contenu Web : la configuration des stratégies de filtrage de contenu Web. contrôler d'accès au contenu Web et de mettre en œuvre des mesures de filtrage appropriées.

  Test de la politique de filtrage de contenu Web : tester l'efficacité des politiques de filtrage de contenu Web. évaluer activement l'impact des politiques configurées sur l'accès au contenu Web.

  Découvrir les mécanismes d'investigation et de réponse automatiques (AIR) : explorer les capacités des mécanismes d'investigation et de réponse automatiques (AIR). De réponse automatisés pour améliorer la détection et la réponse aux incidents.

• Simuler et enquêter sur les attaques

  La configuration et au lancement d'une simulation d'attaque par URL, ce qui leur permettra de mieux comprendre les techniques et l'impact potentiel de telles attaques. configuré et exécuté une simulation d'attaque par URL de type Drive-by, une menace courante en matière de cybersécurité. En définissant les paramètres de l'attaque et en lançant celle-ci, les participants ont acquis des connaissances pratiques sur les techniques employées par les attaquants pour diffuser des logiciels malveillants via des sites Web malveillants. En outre, les participants ont validé le succès de l'attaque par URL de type Drive-by simulée, ce qui leur a permis de comprendre en profondeur les risques potentiels et l'importance de mesures de cybersécurité robustes pour contrer ces menaces.

  Configurer et lancer une attaque d'URL par intrusion : configurer activement les paramètres et lanceront une attaque d'URL par intrusion simulée. Comprendre les mécanismes des attaques d'URL par intrusion et leur impact potentiel est un objectif clé.

  Valider l'attaque d'URL par drive-by simulée : la validation de l'efficacité de l'attaque d'URL par drive-by simulée. Evalueront l'impact de l'attaque et exploreront les indicateurs potentiels de compromission.

• Mise en place d'un laboratoire d'évaluation

  Le laboratoire comprend la mise en place d'un laboratoire d'évaluation, l'ajout d'appareils à l'environnement du laboratoire et l'exécution de scénarios de simulation de menaces. Les participants s'engageront activement dans la création et l'évaluation d'un environnement contrôlé pour simuler et répondre aux menaces potentielles en matière de cybersécurité.

  Mise en place du laboratoire d'évaluation : le processus de mise en place d'un environnement de laboratoire d'évaluation pour simuler des scénarios de cybersécurité. Comprendre l'importance des environnements contrôlés pour les tests et l'évaluation est un objectif clé.

  Ajouter des appareils : l'ajout d'appareils à l'environnement du laboratoire d'évaluation. comprendront les étapes nécessaires à l'extension du laboratoire pour inclure divers appareils.

  Scénarios de simulateur de menaces : exécuteront activement des scénarios de simulateur de menaces au sein du laboratoire.

• Politique de sécurité

  Automatiquement un résumé lorsque vous accédez à la page d'un incident.

  Vous guide à travers les politiques de sécurité actuelles de Microsoft Defender for Cloud. Ces politiques de sécurité sont constituées de normes et de recommandations de sécurité qui vous aident à améliorer votre posture de sécurité cloud. Les normes de sécurité sont constituées de Microsoft Cloud Security Benchmark (MCSB) , de normes de conformité réglementaire et de normes personnalisées. À la fin de cet exercice, vous saurez comment créer des exemptions, des applications de politiques et des politiques personnalisées.

• Conformité réglementaire La fonctionnalité de conformité réglementaire actuelle de Microsoft Defender for Cloud. Defender for Cloud aide les clients à répondre à ces exigences en évaluant la position de leurs ressources par rapport à une norme particulière via le tableau de bord de conformité réglementaire

• Améliorer votre posture sécuritaire Utiliser pour l’évaluation de la vulnérabilité des machines virtuelles et des conteneurs, ainsi que l’automatisation et la requête de données.

• Protections de la charge de travail

  Simulation d'alerte, qui devrait sortir au cours de la première semaine de décembre.

• Exportation des informations de Microsoft Defender for Cloud vers un SIEM

  configurer l'exportation continue pour l'espace de travail Log Analytics, l'exportation des alertes de sécurité, des recommandations, du score de sécurité et des résultats de sécurité.

  Activer l'intégration entre Microsoft Defender for Cloud et Azure Sentinel. A provisionner automatiquement l'extension Guest Configuration d'Azure Policy.

• Sécurité renforcée

  Defender for Servers offre des fonctionnalités avancées de détection des menaces et de défense cloud pour les charges de travail de calcul. Cela inclut l'accès aux machines virtuelles Just In Time (JIT) pour protéger les ports de gestion d'une machine, la surveillance de l'intégrité des fichiers (FIM) et les contrôles d'application adaptatifs pour suivre les modifications et les applications en cours d'exécution sur les machines, mais également la détection des menaces au niveau du système d'exploitation offerte par Microsoft Defender for Endpoint et la détection des menaces de la couche réseau pour les machines virtuelles Azure, y compris les attaques basées sur le DNS et le réseau. Des fonctionnalités améliorées dans Defender for Servers Plan 2 sont activées pour vous aider à protéger les charges de travail de calcul dans les environnements cloud.

• Analyse d'évaluation de la vulnérabilité des conteneurs sans agent

  Valider et utiliser l’analyse d’évaluation des vulnérabilités des images de conteneur sans agent optimisée par Microsoft Defender Vulnerability Management pour les registres de conteneurs Azure.

  Defender for Containers ou Defender Cloud Security Posture Management doit être activé sur l'abonnement. L'extension ci-dessous doit être activée.

• Microsoft Copilot for Security

  Configuration de l'environnement pour Microsoft Copilot for Security

  Le portail Microsoft Defender regroupe la protection, la détection, l'investigation et la réponse aux menaces sur l'ensemble de votre organisation et tous ses composants, dans un emplacement central. Le portail Defender met l'accent sur l'accès rapide aux informations, des présentations plus simples et le regroupement des informations connexes pour une utilisation plus facile. Il comprend :

  Microsoft Defender pour Office 365 aide les organisations à sécuriser leur entreprise avec un ensemble de fonctionnalités de prévention, de détection, d’investigation et de recherche pour protéger les e-mails et les ressources Office 365.

  Microsoft Defender for Endpoint offre une protection préventive, une détection post-violation, une enquête automatisée et une réponse pour les appareils de votre organisation.

  Defender for Identity est une solution de sécurité basée sur le cloud qui utilise vos signaux Active Directory sur site pour identifier, détecter et enquêter sur les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.

  Microsoft Defender for Cloud Apps est une solution complète SaaS et PaaS offrant une visibilité approfondie, des contrôles de données renforcés et une protection renforcée contre les menaces à vos applications cloud.

  Microsoft Sentinel est une solution de gestion des informations et des événements de sécurité (SIEM) native du cloud qui fournit une détection, une enquête et une réponse proactives aux menaces.

• Connexion de Microsoft Sentinel dans le portail Microsoft Defender pour la recherche, le tri, l'investigation et la réponse aux menaces

  L'intégration des incidents Microsoft Defender XDR de Microsoft Sentinel vous permet de diffuser tous les incidents Microsoft Defender XDR dans Microsoft Sentinel et de les synchroniser entre les deux portails. Les incidents de Microsoft Defender XDR incluent toutes les alertes, entités et informations pertinentes associées, vous offrant ainsi suffisamment de contexte pour effectuer un tri et une enquête préliminaire dans Microsoft Sentinel. Une fois dans Sentinel, les incidents resteront synchronisés de manière bidirectionnelle avec Microsoft Defender XDR, ce qui vous permettra de profiter des avantages des deux portails dans votre enquête sur les incidents à l'aide de Microsoft Copilot for Security.

• Création d'un incident en plusieurs étapes dans Microsoft Defender

  Vous allez créer un incident en plusieurs étapes dans Microsoft Defender en exécutant des documents et des scripts malveillants dans testvm1. L'incident en plusieurs étapes sera analysé dans les prochains laboratoires à l'aide de Microsoft Copilot for Security.

• Création d'une politique DLP et génération d'une alerte dans Microsoft Purview

  Microsoft Copilot for Security est une plateforme d'IA basée sur le cloud qui peut vous aider à identifier, résumer, trier et corriger les alertes et les événements dans Microsoft Purview pour :

  Protection contre la perte de données (DLP) de Microsoft Purview Gestion des risques internes de Microsoft Purview Conformité aux communications Microsoft Purview Microsoft Purview eDiscovery

  Il prend également en charge les professionnels de la sécurité et de la conformité dans différents scénarios, tels que la réponse aux alertes et aux incidents, la recherche de menaces et la collecte de renseignements. Pour plus d'informations sur ce qu'il peut faire.

• Objectifs

  Pour créer un compte Microsoft Purview. Pour créer des stratégies de prévention contre la perte de données (DLP) personnalisées pour Microsoft Copilot for Security. Pour tester l’efficacité de la politique DLP en envoyant des informations de carte de crédit simulées à un utilisateur spécifique dans Microsoft Teams, en observant les messages signalés et en vérifiant les alertes dans le portail Purview.

• Activation de la sécurité pour Copilot à l'aide de l'abonnement Azure et analyse des alertes générées dans Microsoft Purview

  Copilot for Security est un produit de sécurité génératif basé sur l'IA qui permet aux professionnels de la sécurité et de l'informatique de réagir aux cybermenaces, de traiter les signaux et d'évaluer l'exposition aux risques à la vitesse et à l'échelle de l'IA. Vous activerez Security for Copilot à l'aide de l'abonnement Azure et analyserez les alertes générées dans Microsoft Purview.

• Objectifs

  Pour configurer la capacité Microsoft Copilot for Security dans le portail Azure. Pour changer les unités SCU. Pour analyser l'alerte de stratégie DLP personnalisée à l'aide de Microsoft Copilot for Security

• Copilot pour la sécurité – Enquête sur le copilote intégré à Microsoft Defender vers le copilote autonome

  for Security est intégré au portail Microsoft Defender pour permettre aux équipes de sécurité de résumer efficacement les incidents, d'analyser les scripts et les codes, d'analyser les fichiers, de résumer les informations sur les appareils, d'utiliser des réponses guidées pour résoudre les incidents, de générer des requêtes KQL et de créer des rapports d'incident.

  Enquêtez et réagissez aux incidents comme un expert : permettez aux équipes de sécurité de mener des enquêtes sur les attaques en temps opportun, avec facilité et précision. Copilot aide les équipes à comprendre immédiatement les attaques, à analyser rapidement les fichiers et scripts suspects, et à évaluer et appliquer rapidement les mesures d'atténuation appropriées pour arrêter et contenir les attaques.

  Résumer rapidement les incidents : Enquêter sur des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez appuyer sur Copilot pour qu'il le résume à votre place. Copilot crée un aperçu de l'attaque contenant des informations essentielles pour vous permettre de comprendre ce qui s'est passé lors de l'attaque, les ressources impliquées et la chronologie de l'attaque. Copilot crée automatiquement un résumé lorsque vous accédez à la page d'un incident.

• Objectifs

  Pour obtenir des informations sur l’utilisateur impliqué dans l’incident de sécurité et vérifier l’état du compte de l’utilisateur.

  Pour désactiver le compte d’utilisateur compromis dans Microsoft Entra.

• Utilisation du portail autonome Copilot for Security pour obtenir des informations sur les menaces

  Copilot for Security fournit des informations sur les acteurs de la menace, les indicateurs de compromission (IOC), les outils et les vulnérabilités, ainsi que des renseignements contextuels sur les menaces provenant de Microsoft Defender Threat Intelligence (Defender TI). Vous pouvez utiliser les invites et les livres d'invites pour enquêter sur les incidents, enrichir vos flux de recherche avec des informations de renseignements sur les menaces ou acquérir plus de connaissances sur votre organisation. Vous pouvez utiliser de nombreuses invites pour obtenir des informations de Defender TI.

• Objectifs

  Pour explorer et accéder aux articles liés aux menaces à l’aide de Microsoft Copilot for Security Standalone.

  Pour obtenir des informations sur l'acteur de la menace Silk Typhoon et les indicateurs de compromission associés (IOC).

  Pour obtenir des informations sur les vulnérabilités et expositions courantes (CVE).

  Fournir des commentaires sur l’efficacité et la précision de l’intégration de Defender Threat Intelligence avec Copilot for Security.

• Connecter un projet GCP

  Connecter et protéger les projets GCP à l’aide de Defender for Cloud.

• Protection des bases de données Microsoft Defender pour le Cloud

  les plans de protection de base de données de MDC. La protection de base de données dans Defender for Cloud contient quatre types, selon le type de base de données que vous souhaitez protéger.

1. Defender for SQL PaaS (SQL sur machine virtuelle Azure) Une évaluation des vulnérabilités et une protection contre les menaces sont disponibles pour ce plan.

2. Defender for SQL sur les machines (serveurs SQL hébergés sur site, dans Azure, AWS ou GCP) Pour ce plan, Azure Monitoring Agent (AMA) est requis, à la place de Microsoft Monitoring Agent (MMA). L'évaluation des vulnérabilités et la détection des activités anormales sont disponibles pour protéger vos serveurs SQL Iaas.

3. Defender pour bases de données relationnelles open source Protégez vos ressources PostgreSQL, MySQL et MariaDB en détectant les activités anormales.

4. Defender for Cosmos DB (NoSQL) Détectez les menaces potentielles contre les comptes Cosmos DB telles que les injections SQL, les identités compromises ou les exploitations potentielles.