Outil d'auto-évaluation des opérations de sécurité
Triage
Évaluez les alertes, définissez les priorités et transmettez les incidents aux membres de votre centre des opérations de sécurité afin qu’ils les résolvent.
Enquête
Déterminez rapidement si une alerte indique une attaque réelle ou correspond à une fausse alarme.
Repérage
Concentrez vos efforts sur la détection des personnes mal intentionnées qui sont parvenues à contourner vos défenses principales et automatisées.
Gestion des incidents
Coordonnez la réponse des différentes équipes en charge des aspects techniques, des opérations, des questions juridiques, des communications et de la gouvernance.
Automatisation
Faites gagner du temps à vos analystes, accélérez la réponse et réduisez les charges de travail.
Comment hiérarchisez-vous les incidents et alertes liés à des menaces ?
(Sélectionnez toutes les options applicables.)
À quel degré utilisez-vous l’automatisation dans le cadre des enquêtes et corrections pour les incidents à volume élevé ou répétitifs ?
Dans combien de scénarios utilisez-vous des outils basés sur le nuage pour sécuriser des ressources locales et multicloud ?
Avez-vous mis en place un système de tickets pour gérer les incidents de sécurité et mesurer les délais de détection et de correction ?
Comment gérez-vous la fatigue liée aux alertes ?
(Sélectionnez toutes les options applicables.)
Suggestions
D’après vos réponses, vous êtes dans l’étape des opérations de sécurité optimisées.
Consultez des informations supplémentaires sur l’optimisation de la maturité de votre centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité avancées.
Consultez des informations supplémentaires sur la transition vers le stade optimal de la maturité du centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité Essentiel.
Consultez des informations supplémentaires sur la transition vers le stade avancé de la maturité du centre des opérations de sécurité.
Les ressources et recommandations suivantes peuvent être utiles à cette étape.
Hiérarchisation des alertes liées à des menaces
- La hiérarchisation des alertes liées à des menaces est essentielle. Il est recommandé de calculer le score sur la base du taux de vrais positifs de la source. Consultez des informations clés et les meilleures pratiques des responsables de la sécurité pour renforcer la maturité de vos opérations de sécurité. En savoir plus
Automatisation
- L’automatisation permet de vous soulager vous et l’équipe en charge des opérations de sécurité de certaines tâches fastidieuses. Vous pouvez ainsi vous concentrer pleinement sur les menaces critiques, gagner en productivité et réduire la fatigue au sein de l’équipe.
- Découvrez comment configurer l’automatisation dans Microsoft Defender pour point de terminaison
Tirez parti d’outils basés sur le nuage
- Les outils dans le nuage vous aident à visualiser le paysage des menaces de l’ensemble de votre organisation dans le nuage. La transition vers une solution SIEM basée sur le nuage peut atténuer les défis que présentent les solutions SIEM locales. En savoir plus
Gérez les incidents de sécurité grâce à un système de tickets
- La mise en place d’un système de tickets aide votre équipe à travailler et combattre les menaces plus efficacement. En savoir plus
Gestion de la fatigue due aux alertes
- Il est indispensable de gérer la fatigue liée aux alertes pour fluidifier les opérations de sécurité. En l’absence d’un système de hiérarchisation, votre équipe peut finir par examiner des faux positifs et laisser passer de graves menaces. Une telle situation peut accentuer la fatigue au sein de l’équipe. Azure Sentinel réduit la fatigue liée aux alertes grâce au Machine Learning. En savoir plus
Combien d’outils de sécurité utilisent les analystes pour enquêter sur les incidents (par exemple, produits ou portails fournisseurs, et outils ou scripts personnalisés
Utilisez-vous une solution SIEM ou d’autres outils pour consolider et mettre en corrélation toutes les sources de données ?
Utilisez-vous l’analyse du comportement dans le cadre des processus de détection et d’enquête (par exemple, analyse du comportement des utilisateurs et des entités) ?
Utilisez-vous des outils de détection et d’enquête axés sur les identités ?
Utilisez-vous des outils de détection et d’enquête axés sur les points de terminaison ?
Utilisez-vous des outils de détection et d’enquête axés sur les courriels et données ?
Utilisez-vous des outils de détection et d’enquête axés sur les applications SaaS ?
Utilisez-vous des outils de détection et d’enquête axés sur l’infrastructure nuage telle que les machines virtuelles, l’Internet des objets (IoT) et la technologie opérationnelle (OT, Operational Technology) ?
Utilisez-vous MITRE ATT&CK ou d’autres cadres pour détecter et analyser les incidents ?
Les équipes en charge des enquêtes ou du repérage examinent-elles les cas dans la file d’attente de triage afin d’identifier les tendances, les causes racines et d’autres informations analytiques ?
Suggestions
D’après vos réponses, vous êtes dans l’étape des opérations de sécurité optimisées.
Ressources principales :
- Découvrez la marche à suivreDécouvrez comment une pile de sécurité consolidée peut réduire vos risques et coûts.
- En savoir plusEn savoir plus sur les fonctions d’opérations de sécurité (SecOps).
Consultez des informations supplémentaires sur l’optimisation de la maturité de votre centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité avancées.
Ressources principales :
- Découvrez la marche à suivreDécouvrez comment une pile de sécurité consolidée peut réduire vos risques et coûts.
- En savoir plusEn savoir plus sur les fonctions d’opérations de sécurité (SecOps).
Consultez des informations supplémentaires sur la transition vers le stade optimal de la maturité du centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité Essentiel.
Ressources principales :
- Découvrez la marche à suivreDécouvrez comment une pile de sécurité consolidée peut réduire vos risques et coûts.
- En savoir plusEn savoir plus sur les fonctions d’opérations de sécurité (SecOps).
Consultez des informations supplémentaires sur la transition vers le stade avancé de la maturité du centre des opérations de sécurité.
Les ressources et suggestions suivantes peuvent être utiles à cette étape.
Outils de sécurité intégrée
- L’utilisation de solutions de sécurité intelligentes, automatisées et intégrées dans l’ensemble de vos domaines peut aider les défenseurs de l’équipe SecOps à établir des connexions entre des alertes sans liens apparents et à prendre l’avantage sur les attaquants. Découvrez comment une solution SIEM et XDR unifiée permet de stopper les attaques avancées. En savoir plus
- Modernisez le centre des opérations de sécurité pour renforcer la sécurité des employés travaillant à distance. En savoir plus.
Utilisez une solution SIEM pour consolider vos sources de données
- Une solution SIEM telle qu’Azure Sentinel offre une vue d’ensemble du paysage des menaces et capture toutes les données liées aux menaces, pour vous permettre d’adopter une posture plus proactive et être sûr de ne rien rater. Qu’est-ce qu’Azure Sentinel ?
- En savoir plus sur l’Architecture de référence de Microsoft pour la cybersécurité.
Meilleures pratiques de sécurité de Microsoft pour les opérations de sécurité
- L’apprentissage automatique et l’analyse du comportement constituent des pratiques recommandées qui peuvent vous aider à identifier rapidement les événements anormaux avec un haut degré de certitude. En savoir plus
Gestion de l’accès aux données
- Il est important d’identifier les personnes qui peuvent accéder à vos données et le type d’accès dont elles disposent. Il est recommandé d’utiliser un cadre basé sur les identités pour réduire les risques et améliorer la productivité. En savoir plus
Gestion des points de terminaison
- Il est recommandé d’identifier les utilisateurs qui accèdent aux données à partir d’emplacements situés au-delà du périmètre habituel et de déterminer s’il s’agit d’appareils intègres. Microsoft Defender pour point de terminaison peut vous aider grâce à ces recommandations détaillées. En savoir plus
- Découvrez comment déployer Microsoft Defender pour point de terminaison
Détection des courriels et de données
- Des acteurs malveillants peuvent s’introduire dans votre environnement en utilisant des courriels professionnels compromis. Une solution capable de détecter et d’arrêter les menaces telles que les tentatives d’hameçonnage permet d’éviter de laisser à l’utilisateur final la charge d’assurer la sécurité. En savoir plus
Détection des applications SaaS
- Il est important de sécuriser les solutions nuage qui peuvent accéder à vos données sensibles.
Détection de l’infrastructure nuage
- Alors que le périmètre s’étend pour inclure l’IoT et le stockage, les conteneurs et les autres composants de votre infrastructure nuage, il est important de définir la surveillance et la détection sur ces extensions de votre environnement.
Détection et analyse des incidents
- MITRE ATT&CK® est une base de connaissances accessible partout. Elle répertorie les tactiques et techniques des adversaires sur la base d’observations dans le monde réel. L’utilisation de cadres tels que MITRE ATT&CK vous aide à développer des modèles et méthodologies de menace spécifiques qui vous permettent de renforcer proactivement vos défenses.
Documentation et révision
- Pour recueillir des informations analytiques et adopter une position proactive face aux menaces, il est important de documenter les cas d’enquête.
Le repérage proactif des menaces est-il un volet de votre stratégie de sécurité ?
Utilisez-vous des processus de repérage automatisé tels que les notebooks Jupyter ?
Avez-vous mis en place des processus et outils pour détecter et gérer les menaces internes ?
L’équipe en charge du repérage prend-elle le temps d’affiner les alertes afin d’accroître le taux de vrais positifs pour les équipes en charge du triage (niveau 1) ?
Suggestions
D’après vos réponses, vous êtes dans l’étape des opérations de sécurité optimisées.
Ressources principales :
- En savoir plus sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur l’optimisation de la maturité de votre centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité avancées.
Ressources principales :
- Découvrez-en davantage sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur la transition vers le stade optimal de la maturité du centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité Essentiel.
Ressources principales :
- Découvrez-en davantage sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur la transition vers le stade avancé de la maturité du centre des opérations de sécurité.
Les ressources et suggestions suivantes peuvent être utiles à cette étape.
Repérage proactif des menaces
- Identifiez les menaces avant qu’elles ne se concrétisent. Il est important d’élaborer une stratégie proactive car des personnes malintentionnées déterminées peuvent parvenir à contourner vos dispositifs de détection automatisée. Réduisez l’impact des risques internes en accélérant le délai d’action. En savoir plus
- Découvrez comment le centre des opérations de sécurité de Microsoft aborde le repérage des menaces
Repérage automatisé
- L’utilisation de processus de repérage automatisés peut accroître la productivité et réduire le volume des menaces.
Menaces internes
- Le personnel, les fournisseurs et les sous-traitants ayant accès à votre réseau d’entreprise à partie d’innombrables points de terminaison, il importe plus que jamais que les responsables Risque puissent identifier rapidement les risques émergents dans l’organisation et prendre des actions correctives.
- En savoir plus sur la surveillance des menaces internes
- Commencez à utiliser la gestion des risques liés aux menaces internes
Affinement des processus de repérage
- Les informations analytiques recueillies par les équipes de repérage des menaces peuvent vous aider à affiner et améliorer la précision des systèmes d’alerte de triage. En savoir plus
Votre équipe a-t-elle mis en place un processus de gestion de crise pour faire face aux incidents de sécurité majeurs ?
Ce processus inclut-il des dispositions visant à approfondir l’expertise des équipes fournisseur en lien avec la réponse aux incidents, la veille des menaces ou les plateformes technologiques ?
Ce processus implique-t-il la direction exécutive, notamment les équipes juridiques et les organismes de réglementation ?
Ce processus inclut-il des équipes chargées de gérer les aspects liés à la communication et aux relations publiques ?
Votre équipe s’exerce-t-elle régulièrement afin de mettre en pratique et affiner ce processus ?
Suggestions
D’après vos réponses, vous êtes dans l’étape des opérations de sécurité optimisées.
Ressources principales :
- Découvrez-en davantage sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur l’optimisation de la maturité de votre centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité avancées.
Ressources principales :
- Découvrez-en davantage sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur la transition vers le stade optimal de la maturité du centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité Essentiel.
Ressources principales :
- Découvrez-en davantage sur la gestion des risques liés aux menaces internes dans Microsoft 365.
Consultez des informations supplémentaires sur la transition vers le stade avancé de la maturité du centre des opérations de sécurité.
Les ressources et suggestions suivantes peuvent être utiles à cette étape.
Réponse aux incidents
- Face à une crise, chaque minute compte. Il est important d’avoir défini un processus temporaire pour garantir une gestion des incidents et une correction rapides.
- Téléchargez le guide de référence pour la réponse aux incidents
- Découvrez comment empêcher les attaques de cybersécurité, des rançongiciels à l’extorsion.
Correction des incidents
- L’agilité et la flexibilité constituent deux aspects importants pour la correction et la gestion des incidents. L’identification et l’évaluation des compétences et expériences disponibles au sein de votre équipe vous aident également à déterminer les équipes et technologies fournisseurs dont vous avez besoin. En savoir plus
Atténuation des impacts
- La sécurité est l’affaire de tous dans l’organisation. Les analyses et éclairages d’autres parties prenantes peuvent fournir des recommandations spécifiques permettant d’atténuer l’impact des violations de la sécurité.
- Regardez la série CISO Spotlight
- En savoir plus sur la sécurité du nuage
Communication et relations publiques
- Votre processus doit inclure une stratégie de gestion des relations publiques et de communication post-violation afin d’être prêt à accompagner les clients et atténuer l’impact de la violation. Découvrez comment renforcer l’efficacité de votre centre des opérations de sécurité.
C’est en s’exerçant qu’on s’améliore
- La pratique vous garantit de pouvoir détecter les lacunes et les aspects devant être améliorés en cas de violation. Testez-vous à l’aide de cas de test et vérifiez ainsi que vous êtes prêt à réagir en cas de violation.
- Disposez-vous d’une solution d’automatisation fournie ou gérée par un fournisseur qui permet de réduire la charge de travail des analystes associée aux enquêtes et corrections ?
Pouvez-vous orchestrer des actions automatisées au sein de différents outils ?
Si vous orchestrez des actions automatisées via différents outils, vous connectez-vous nativement à la plupart ou à l’ensemble d’entre eux, ou ce processus est-il basé sur la création de scripts personnalisés ?
Utilisez-vous des solutions d’automatisation fournies par la communauté ?
Suggestions
D’après vos réponses, vous êtes dans l’étape des opérations de sécurité optimisées.
Ressources principales :
- Azure Sentinel - Classeur de cadre de processus SOC. Téléchargez-le maintenant.
- Orchestration de la sécurité, automatisation et réponse (SOAR) dans Azure Sentinel. En savoir plus.
- Guide pour un accès sécurisé sans faille : une expérience utilisateur améliorée avec une sécurité renforcée. En savoir plus.
- Gérer la sécurité de manière proactive avec la Confiance nulle. En savoir plus.
- Guide de déploiement de confiance zéro pour Microsoft Azure Active Directory. Téléchargez-le maintenant.
Consultez des informations supplémentaires sur l’optimisation de la maturité de votre centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité avancées.
Ressources principales :
- Azure Sentinel - Classeur de cadre de processus SOC. Téléchargez-le maintenant.
- Orchestration de la sécurité, automatisation et réponse (SOAR) dans Azure Sentinel. En savoir plus.
- Guide pour un accès sécurisé sans faille : une expérience utilisateur améliorée avec une sécurité renforcée. En savoir plus.
- Gérer la sécurité de manière proactive avec la Confiance nulle. En savoir plus.
- Guide de déploiement de confiance zéro pour Microsoft Azure Active Directory. Téléchargez-le maintenant.
Consultez des informations supplémentaires sur la transition vers le stade optimal de la maturité du centre des opérations de sécurité.
Suggestions
D’après vos réponses, vous êtes à l’étape des opérations de sécurité Essentiel.
Ressources principales :
- Azure Sentinel - Classeur de cadre de processus SOC. Téléchargez-le maintenant.
- Orchestration de la sécurité, automatisation et réponse (SOAR) dans Azure Sentinel. En savoir plus.
- Guide pour un accès sécurisé sans faille : une expérience utilisateur améliorée avec une sécurité renforcée. En savoir plus.
- Gérer la sécurité de manière proactive avec la Confiance nulle. En savoir plus.
- Guide de déploiement de confiance zéro pour Microsoft Azure Active Directory. Téléchargez-le maintenant.
Consultez des informations supplémentaires sur la transition vers le stade avancé de la maturité du centre des opérations de sécurité.
Les ressources et suggestions suivantes peuvent être utiles à cette étape.
Gestion de la charge de travail des analystes
- La prise en charge de solutions d’automatisation fournisseur peut aider votre équipe à gérer sa charge de travail. Vous pouvez protéger votre infrastructure numérique en adoptant une approche intégrée conçue pour renforcer l’efficacité de votre centre des opérations de sécurité. En savoir plus
- Découvrez comment les équipes en charge des opérations de sécurité s’adaptent à l’évolution du paysage des menaces
Orchestration d’actions automatisées
- L’intégration d’actions automatisées dans l’ensemble de vos outils peut améliorer la productivité et accroître l’exhaustivité de la détection des menaces. Découvrez comment une pile de sécurité consolidée peut vous aider à réduire les risques et les coûts. En savoir plus
Connexion d’actions automatisées
- La connexion et l’intégration d’outils et de processus peuvent permettre de réduire les lacunes de votre programme de surveillance des menaces et vous aider à faire face à un paysage des menaces de cybersécurité en constante évolution.
Solutions d’automatisation fournies par la communauté
- Vous pouvez utiliser des solutions d’automatisation fournies par la communauté. Celles-ci accroissent la reconnaissance des modèles de menace et peuvent vous permettre de gagner du temps en éliminant la nécessité de recourir à des outils automatisés spécialement développés à cette fin.
Suivez la Sécurité Microsoft