Apportez la segmentation à votre SOC avec l'intégration Illumio + Microsoft Sentinel

Si vous avez travaillé dans un SOC, vous connaissez ce sentiment : trop d'alertes, trop d'outils, pas assez de temps. Les enquêtes s'enlisent, les politiques dérivent et, dès que quelque chose se produit, la question n'est pas de savoir ce qui s'est passé, mais de savoir à quelle vitesse nous pouvons réagir.

C'est la réalité dans laquelle vivent les équipes de sécurité, et c'est pourquoi la visibilité seule ne suffit plus. Le paysage actuel des menaces exige des systèmes qui communiquent entre eux, automatisent les bonnes actions et donnent aux équipes le contexte dont elles ont besoin au moment où elles en ont besoin.

C'est exactement ce que nous avons voulu faire avec l'intégration d'Illumio et de Microsoft Sentinel. Il s'agit de transformer les données de segmentation en informations, et les informations en actions, le tout au sein du centre de commandement du SOC.

Dans notre récent webinaire, Exploiter la segmentation zéro confiance avec Microsoft Sentinel, nous avons expliqué comment cette intégration donne aux équipes de sécurité un nouvel avantage dans la lutte pour la réduction des risques et la résilience.

Pourquoi cette intégration est-elle importante ?

Aujourd'hui, de nombreuses organisations utilisent un monstre de Frankenstein d'outils de sécurité. Ils ont des dizaines de vendeurs en jeu, qui parlent tous des langues légèrement différentes.  

C'est bruyant, c'est cloisonné et il est difficile de suivre le rythme, surtout lorsque les attaquants sont de plus en plus rapides et sophistiqués dans leur façon d'agir.

C'est là que Microsoft Sentinel intervient.

Eric Burkholder, directeur de programme chez Microsoft, a commencé le webinaire en exposant la vision de Sentinel. Il ne s'agit pas seulement d'un SIEM, mais d'une plateforme unifiée qui combine les fonctions SIEM, XDR, d'orchestration et de chasse en un seul endroit. Il est conçu pour aider les équipes chargées des opérations de sécurité à détecter, enquêter et réagir plus rapidement.

L'intégration d'Illumio s'inscrit directement dans cette mission. Il apporte à l'écosystème de Sentinel de riches informations de segmentation - non seulement des données brutes, mais aussi le contexte du trafic en temps réel et les événements de sécurité.  

Cela signifie que les analystes ne reçoivent pas seulement des alertes. Ils connaissent l'histoire qui se cache derrière l'alerte.

Apporter la segmentation à votre SOC

Tina Lam, d'Illumio, a expliqué le fonctionnement de l'intégration et les raisons pour lesquelles elle a déjà trouvé un écho auprès des clients.

À la base, la segmentation d'Illumio aide les équipes de sécurité à appliquer l'accès au moindre privilège dans tous les environnements. Il ne s'agit pas seulement de règles de pare-feu. Il s'agit de contrôler le rayon de l'explosion lorsqu'une brèche se produit (et non si elle se produit).

Grâce à cette intégration, toutes les données de segmentation, y compris les flux de trafic, les changements de politique et les actions de mise en œuvre, sont transférées directement et en temps réel dans Microsoft Sentinel. Cela donne des analystes du SOC :

• Visibilité centralisée sur l'ensemble de leur parc hybride
• Informations sur l'application des politiques en temps réel
• Données normalisées selon le schéma ASIM de Microsoft
• Corrélation avec les alertes provenant d'autres outils de sécurité
• Des playbooks prêts à être automatisés pour une réponse plus rapide

C'est une boucle complète. Voyez ce qui se passe, comprenez ce que cela signifie, agissez et renforcez vos défenses en fonction de ce que vous apprenez.

De la visibilité à l'atténuation : l'intégration en action

Tina a montré comment la plateforme Illumio construit une carte de dépendance d'application en direct, en faisant ressortir le trafic entre les charges de travail, les instances en nuage et les points d'extrémité. Il met même en évidence les flux qui se produisent sans qu'aucune politique n'ait été mise en place (ce qui constitue un signal d'alarme pour toute équipe de sécurité).

Tina a montré comment une nouvelle politique de segmentation a été appliquée à une charge de travail PCI critique en un seul clic. Quelques secondes plus tard, Sentinel a détecté le changement de politique, affiché la mise à jour dans un tableau de bord dynamique et signalé l'état d'application - le tout dans une vue unique et centralisée.

Les tableaux de bord comprennent

• Auditer les classeurs d'événements: Suivez les changements de politique, les états de charge de travail et les actions administratives ‍
• Visualisation des flux de trafic: Identifiez les principaux interlocuteurs, les connexions bloquées et les schémas anormaux ‍
• Rapports sur l'état de la charge de travail: Contrôlez les états d'application, les versions des agents et la distribution du système d'exploitation.

De plus, grâce à des règles d'analyse intégrées et à des playbooks d'automatisation, les équipes chargées de la sécurité peuvent :

• Détecter automatiquement les modifications apportées à la configuration du pare-feu
• Identifier les charges de travail qui échappent à l'application de la loi
• Mettez en quarantaine les charges de travail suspectes en un seul clic
• Personnalisez les flux de réponse aux incidents à l'aide des capacités d'orchestration de Sentinel.

C'est tout ce dont une équipe SOC a besoin pour enquêter plus rapidement et réagir plus intelligemment, en particulier dans des environnements complexes et hybrides, où les menaces ne respectent pas vos schémas d'architecture.

Trois avantages clés de l'intégration Illumio + Sentinel

Les équipes de sécurité n'ont pas besoin de plus de bruit. Ils ont besoin d'outils qui leur facilitent la tâche. L'intégration d'Illumio et de Microsoft Sentinel est conçue à cette fin, vous aidant à centraliser les opérations, à renforcer la conformité et à réagir plus rapidement aux menaces. Voici comment il apporte une réelle valeur ajoutée là où cela compte :

1. Opérations centralisées

Plus besoin de passer d'une console à l'autre. Tout, de la posture de segmentation aux données de trafic en temps réel, est désormais accessible directement dans Microsoft Sentinel. Cela signifie moins de changements de contexte, des investigations plus rapides et des équipes plus efficaces.

2. Renforcement des rapports sur les politiques et la conformité

Les modifications de la politique de segmentation et les mesures d'application sont saisies et enregistrées automatiquement. Vous devez prouver votre conformité à la norme PCI DSS ? Vous devez montrer aux auditeurs qui a modifié quoi, quand et pourquoi ? Vous avez tout en un seul endroit.

3. Amélioration de la détection et de la réponse aux menaces

En combinant la visibilité du trafic est-ouest d'Illumio avec les pouvoirs de corrélation et d'automatisation de Sentinel, votre équipe voit ce qui se passe et peut agir avant que les dommages ne s'étendent.

Segmentation automatisée et détection des menaces en une seule intégration

Dans un monde où les menaces évoluent rapidement et de manière imprévisible, vos outils ne peuvent pas être fragmentés, réactifs ou cloisonnés.

L'intégration Illumio + Microsoft Sentinel est un alignement stratégique qui réunit la visibilité de la segmentation et l'agilité de la réponse aux menaces en nuage. Il vous donne les informations nécessaires pour passer de la chasse aux alertes à la maîtrise de votre environnement.

Il est temps de cesser de considérer la segmentation et la détection comme des problèmes distincts et de commencer à les considérer comme faisant partie de la même solution.

Vous souhaitez en savoir plus ?

• Regardez la démo complète sur demande
• Lisez la présentation de la solution Illumio Sentinel
• Trouvez l'intégration sur Azure Marketplace et le Sentinel Content Hub