Que sont les stratégies, les initiatives et les recommandations de sécurité ?

Microsoft Defender pour le cloud applique des initiatives de sécurité à vos abonnements. Ces initiatives contiennent une ou plusieurs stratégies de sécurité. Chacune de ces stratégies entraîne une recommandation de sécurité pour améliorer votre position de sécurité. Cette page explique en détail chacun de ces concepts.

Qu’est-ce qu’une stratégie de sécurité ?

Une définition Azure Policy, créée dans Azure Policy, est une règle relative à des conditions de sécurité spécifiques que vous souhaitez contrôler. Les définitions intégrées incluent des éléments tels que le contrôle du type de ressources qui peut être déployé ou le respect des balises sur toutes les ressources. Vous pouvez également créer vos propres définitions de stratégies personnalisées.

Pour implémenter ces définitions de stratégie (définitions intégrées et personnalisées), vous devez les attribuer. Vous pouvez affecter ces stratégies via le portail Azure, PowerShell ou Azure CLI. Les stratégies peuvent être désactivées ou activées à partir d’Azure Policy.

Il existe différents types de stratégies dans Azure Policy. Defender pour le cloud utilise principalement des stratégies « d’audit » qui vérifient des conditions et configurations spécifiques, puis rendent compte de la conformité. Il existe également des stratégies de « respect » qui peuvent être utilisées pour appliquer des paramètres sécurisés.

Qu’est-ce qu’une initiative de sécurité ?

Une initiative de sécurité est une collection de définitions ou de règles Azure Policy regroupées pour atteindre un objectif. spécifique. Les initiatives de sécurité simplifient la gestion de vos stratégies en regroupant un ensemble de stratégies de manière logique sous la forme d’un seul élément.

Une initiative de sécurité définit la configuration souhaitée de vos charges de travail, et vous permet de vous assurer que vous êtes en conformité avec les exigences de sécurité de votre organisation ou des régulateurs.

À l’instar des stratégies de sécurité, les initiatives de Defender pour le cloud sont également créées dans Azure Policy. Vous pouvez utiliser Azure Policy pour gérer vos stratégies, créer des initiatives et attribuer des initiatives à plusieurs abonnements ou à des groupes d’administration complets.

L’initiative par défaut attribuée automatiquement à chaque abonnement dans Microsoft Defender pour le cloud est le Benchmark de sécurité Azure. Ce benchmark de sécurité Azure constitue l’ensemble des directives propres à Azure et créées par Microsoft, qui contient les bonnes pratiques de sécurité et de conformité s’inscrivant dans les cadres de conformité courants. Ce point de référence, largement respecté et centré sur le cloud, est basé sur les contrôles du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST). Découvrez le Benchmark de sécurité Azure.

Defender pour le cloud offre les options suivantes pour l’utilisation des initiatives de sécurité :

  • Afficher et modifier l’initiative par défaut intégrée : lorsque vous activez Defender pour le cloud, l’initiative nommée « Benchmark de sécurité Azure » est automatiquement attribuée à tous les abonnements inscrits auprès de Defender pour le cloud. Pour personnaliser cette initiative, vous pouvez activer ou désactiver des stratégies individuelles au sein des paramètres de stratégies. Pour comprendre les options disponibles prêtes à l’emploi, consultez la liste des stratégies de sécurité intégrées.

  • Ajouter vos propres initiatives personnalisées : si vous souhaitez personnaliser les initiatives de sécurité appliquées à votre abonnement, vous pouvez le faire dans Defender pour le cloud. Vous recevez ensuite des recommandations si vos machines ne suivent pas les stratégies que vous créez. Pour obtenir des instructions sur la création et l’attribution de stratégies personnalisées, consultez Utilisation de stratégies et d’initiatives de sécurité personnalisées.

  • Ajouter des initiatives de conformité réglementaire : le tableau de bord de conformité réglementaire de Defender pour le cloud affiche l’état de toutes les évaluations au sein de votre environnement dans le contexte d’une norme ou d’une réglementation particulière (par exemple, Azure CIS, NIST SP 800-53 R4, CSP CSCF-v2020). Pour plus d’informations, voir Améliorer votre conformité aux normes.

Qu’est-ce qu’une recommandation de sécurité ?

À l’aide des stratégies, Defender pour le cloud analyse régulièrement l’état de conformité de vos ressources pour identifier les problèmes de configuration de sécurité potentiels et les faiblesses. Il fournit ensuite des recommandations sur la façon de résoudre ces problèmes. Les recommandations sont le résultat de l’évaluation de vos ressources par rapport aux stratégies pertinentes et de l’identification des ressources qui ne répondent pas à vos exigences définies.

Defender pour le cloud émet ses recommandations de sécurité en fonction des initiatives que vous avez choisies. Lorsqu’une stratégie de votre initiative est comparée à vos ressources et en trouve une ou plusieurs non conformes, elle est présentée comme recommandation dans Defender pour le cloud.

Les recommandations sont des actions à effectuer pour sécuriser et renforcer vos ressources. Chaque recommandation vous fournit les informations suivantes :

  • Courte description du problème
  • Étapes de correction à effectuer pour implémenter la recommandation
  • Ressources concernées

Dans la pratique, cela fonctionne comme suit :

  1. Le Benchmark de sécurité Azure est une initiative qui présente des conditions.

    Par exemple, les comptes Stockage Azure doivent limiter l’accès au réseau pour réduire leur surface d’attaque.

  2. L’initiative comprend plusieurs stratégies, chacune avec un type de ressource spécifique requis. Ces stratégies appliquent les exigences de l’initiative.

    Pour continuer l’exemple, l’exigence de stockage est appliquée avec la stratégie « Les comptes de stockage doivent restreindre l’accès au réseau à l’aide de règles de réseau virtuel ».

  3. Microsoft Defender pour le cloud évalue continuellement vos abonnements connectés. S’il trouve une ressource qui ne respecte pas une stratégie, il affiche une recommandation pour corriger cette situation et renforcer la sécurité des ressources qui ne répondent pas à vos besoins en matière de sécurité.

    Par exemple, si un compte Stockage Azure sur l’un de vos abonnements protégés n’est pas protégé par des règles de réseau virtuel, vous verrez la recommandation portant sur le durcissement de ces ressources.

Par conséquent, (1) une initiative comprend (2) des stratégies qui génèrent (3) des recommandations propres à l’environnement.

Détails des recommandations de sécurité

Les recommandations de sécurité contiennent des détails qui vous aident à comprendre leur importance et à les gérer.

Capture d’écran de la page des détails des recommandations avec des étiquettes pour chaque élément.

Les détails de recommandation indiqués sont les suivants :

  1. Pour les recommandations prises en charge, la barre d’outils supérieure affiche tout ou partie des boutons suivants :

  2. Indicateur de gravité

  3. Intervalle d’actualisation

  4. Nombre de ressources exemptées : si des exemptions existent pour cette recommandation, ceci indique le nombre de ressources qui ont été exemptées, avec un lien pour afficher les ressources spécifiques.

  5. Mappage aux tactiques et techniques MITRE ATT&CK ® : si une recommandation a défini des tactiques et des techniques, sélectionnez l’icône des liens vers les pages pertinentes sur le site de MITRE. Cela s’applique uniquement aux recommandations évaluées par Azure.

    Capture d’écran du mappage de tactiques MITRE pour une recommandation.

  6. Description : Courte description du problème de sécurité.

  7. Le cas échéant, la page de détails comprend également un tableau des recommandations connexes :

    Les types de relations sont les suivants :

    • Condition préalable : Recommandation qui doit être complétée avant la recommandation sélectionnée
    • Alternative : Recommandation différente qui offre une autre façon d’atteindre les objectifs de la recommandation sélectionnée
    • Dépendante : recommandation pour laquelle la recommandation sélectionnée est une condition préalable

    Pour chaque recommandation associée, le nombre de ressources défectueuses s’affiche dans la colonne « Ressources affectées ».

    Conseil

    Si une recommandation connexe est grisée, sa dépendance n’est pas encore terminée et n’est donc pas disponible.

  8. Étapes de correction : description des étapes manuelles nécessaires pour corriger le problème de sécurité sur les ressources concernées. Pour obtenir des recommandations avec l’option Correctif, vous pouvez sélectionner Afficher la logique de correction avant d’appliquer la correction suggérée à vos ressources.

  9. Ressources concernées : vos ressources sont regroupées dans des onglets :

    • Ressources saines : ressources pertinentes qui ne sont pas touchées ou sur lesquelles vous avez déjà corrigé le problème.
    • Ressources non saines : ressources qui sont encore concernées par le problème identifié.
    • Ressources non applicables : ressources pour lesquelles la recommandation ne peut pas donner de réponse définitive. L’onglet Non applicables comprend également les raisons pour chaque ressource.

    Capture d’écran de ressources pour lesquelles la recommandation ne peut pas donner de réponse définitive.

  10. Boutons d’action pour corriger la recommandation ou déclencher une application logique.

Affichage de la relation entre une recommandation et une stratégie

Comme indiqué ci-dessus, les recommandations intégrées de Defender pour le cloud sont basées sur le Benchmark de sécurité Azure. Presque toutes les recommandations ont une stratégie sous-jacente qui est dérivée d’une exigence dans le point de référence.

Lorsque vous examinez les détails d’une recommandation, il est souvent utile de pouvoir consulter la stratégie sous-jacente. Pour chaque recommandation soutenue par une stratégie, utilisez le lien Afficher la définition de stratégie à partir de la page des détails de la recommandation pour accéder directement à l’entrée d’Azure Policy pour la stratégie correspondante :

Lien vers la page Azure Policy de la stratégie spécifique prenant en charge une recommandation.

Utilisez ce lien pour afficher la définition de stratégie et passer en revue la logique d’évaluation.

Si vous examinez la liste des recommandations de notre Guide de référence des recommandations de sécurité, vous remarquerez également des liens vers les pages de définition de stratégie :

Accès à la page Azure Policy d’une stratégie particulière, directement à partir de la page de référence des recommandations de Microsoft Defender pour le cloud.

Étapes suivantes

Cette page a expliqué, à un niveau élevé, les concepts de base et les relations entre les stratégies, les initiatives et les recommandations. Pour plus d’informations, consultez :