Microsoft Unified Security Operation Platform en public preview

Microsoft poursuit l’intégration de ses produits de sécurité.
Après vous avoir présenté dans un précédent article Microsoft Security Copilot, nous vous proposons de faire le point sur deux nouvelles versions publiques préliminaires liées à l’écosystème de sécurité Microsoft :
- « Microsoft Unified Security Operation platform »
- « Microsoft Security Exposure Management »
Microsoft Unified Security Operation Platform
La plupart des équipes SOC font face journalièrement à une multitude de données à traiter, parfois dans des environnements logiciels différents. La gouvernance de la sécurité des environnements digitaux s’en trouve complexifiée.
Pour lutter contre cette mise en silo, Microsoft a intégré l’ensemble de ses produits Defender à Microsoft Defender XDR. De plus, Microsoft Sentinel peut aussi être relié à Microsoft Defender XDR via un connecteur bidirectionnel. Dès lors, Microsoft Sentinel collecte l’ensemble des alertes et incidents de Microsoft XDR.
Enfin, depuis le 1er avril 2024, Microsoft Security Copilot peut être ajouté à l’environnement global de sécurité de Microsoft. Pour plus d’informations sur Copilot for Security, je vous renvoie à notre article : Microsoft Security Copilot : une révolution pour les équipes SOC.
Aujourd’hui, Microsoft choisit d’unifier l’administration de la sécurité en embarquant Microsoft Sentinel directement au sein de Microsoft Defender XDR.

Nouveau menu Microsoft Sentinel dans Microsoft Defender XDR
(Source : documentation Microsoft)
Mais l’unification ne s’arrête pas à un simple ajout de menu.
Avec l’intégration de Microsoft Sentinel, nous bénéficions désormais :
- D’une vision centralisée de notre sécurité globale sur les identités, périphériques, objets connectés, email, outils de collaboration, applications SaaS, données et charges de travail Cloud.
- « Unified entities » affiche dans le portail Defender des informations provenant de sources de données Microsoft Sentinel et Defender pour les appareils, les utilisateurs, les adresses IP et les ressources Azure.
- « Unified incidents » affiche les incidents de sécurité dans un emplacement unique et à partir d’une seule file d’attente dans le portail Defender.
- « Advanced hunting » permet désormais depuis un seul environnement d’interroger toutes les données, y compris les données des services de sécurité Microsoft et Microsoft Sentinel.
De plus, certaines fonctionnalités de Microsoft Defender for XDR sont enrichies par les données issues de l’espace de travail de Microsoft Sentinel.
- Microsoft Defender « Attack disruption » est une fonctionnalité « out of the box » qui permet de stopper automatiquement la progression d’une attaque, et d’en limiter l’impact quasiment en temps réel en se basant sur l’analyse de millions de signaux.
- Avec la nouvelle plateforme unifiée, « Attack disruption » pourra être utilisée sur des produits non Microsoft à partir de l’analyse de l’espace de travail de Microsoft Sentinel.
- Actuellement, « Attack disruption for SAP » (en preview) permet, lorsque vous ajoutez un nouveau système SAP à Microsoft Sentinel, d’inclure par défaut des fonctionnalités d’interruption d’attaque dans la plateforme SOC unifiée.
Certaines fonctionnalités de Microsoft Sentinel sont donc directement accessibles via Microsoft Defender XDR, d’autres ouvrent encore le portail Azure. L’« Attack disruption for SAP » est en revanche uniquement disponible via le portail Defender.
Vous trouverez dans la documentation Microsoft plus d’informations sur l’intégration de chaque fonctionnalité.
Microsoft Security Exposure Management
Le 13 mars 2024, Microsoft a annoncé « Microsoft Security Exposure Management », intégré à Microsoft Defender XDR.
Cette solution :
- Analyse les chemins d’attaque potentiels permettant aux équipes de sécurité de les hiérarchiser afin de prioriser des efforts de remédiation ciblés pour réduire l’exposition.

Source : documentation Microsoft
- Fournit une vue complète de l’ensemble de la surface d’attaque potentielle, permettant l’exploration des actifs et de leurs relations.

Source : documentation Microsoft
- Marque les actifs prédéfinis et les actifs que vous personnalisez comme critiques. Cela vous permet de vous concentrer et de prioriser ces actifs critiques pour garantir la sécurité et la continuité des activités.

Source : documentation Microsoft
- Fournit aux décideurs une vue consolidée de l’exposition aux menaces d’une organisation.
Actuellement, Security Exposure Management consolide les informations de posture de sécurité depuis :
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Office
- Microsoft Defender for IoT
- Microsoft Secure Score
- Microsoft Defender Vulnerability Management
- Microsoft Defender for Cloud
- Microsoft Entra ID
- Microsoft Defender External Attack Surface Management (EASM)
Ces deux annonces successives associées à celle de Microsoft Security for Copilot soulignent l’investissement de Microsoft dans la sécurité globale de nos environnements digitaux, introduisent l’intelligence artificielle en support des équipes SOC, et permettent d’avoir une gestion / vision unifiée de l’ensemble du patrimoine digital d’une organisation.
À l’heure actuelle, seul Microsoft dispose d’une offre totalement unifiée sur l’ensemble de la sécurité de nos assets.
Vous souhaitez être accompagné dans la sécurisation de votre Cloud ? Contactez-nous !