Gestion de la posture de sécurité cloud (CSPM)
L’un des piliers principaux de Microsoft Defender pour le cloud est la Gestion de la posture de sécurité cloud (CSPM). La CSPM offre une visibilité détaillée de l’état de sécurité de vos ressources et de vos charges de travail, et fournit des conseils de renforcement pour vous aider à améliorer efficacement votre posture de sécurité.
Defender pour le cloud évalue continuellement vos ressources par rapport aux normes de sécurité définies pour vos abonnements Azure, comptes AWS et projets GCP. Defender pour le cloud émet des recommandations de sécurité basées sur ces évaluations.
Par défaut, lorsque vous activez Defender pour le cloud sur un abonnement Azure, la norme de conformité Point de référence de sécurité Microsoft Cloud (Microsoft Cloud Security Benchmark, ou MCSB) est activée. Elle fournit des recommandations. Defender pour le cloud fournit un degré de sécurisation agrégé basé sur certaines des recommandations du MCSB. Plus le score est élevé, plus le niveau de risque identifié est faible.
Fonctionnalités de la CSPM
Defender pour le cloud fournit les offres CSPM suivantes :
CPSM de base : Defender pour le Cloud offre gratuitement des fonctionnalités CSPM multicloud de base. Ces fonctionnalités sont automatiquement activées par défaut pour les abonnements et les comptes intégrés à Defender pour le cloud.
Plan de gestion de la posture de sécurité cloud (CSPM) Defender : le plan optionnel et payant de gestion de la posture de sécurité Defender pour le cloud offre d’autres fonctionnalités avancées en matière de posture de sécurité.
Disponibilité du plan
Découvrez-en plus sur les tarifs Defender CSPM.
Le tableau suivant récapitule chaque plan et leur disponibilité dans le cloud.
| Fonctionnalité | CSPM de base | Defender CSPM | Disponibilité dans le cloud |
|---|---|---|---|
| Recommandations de sécurité | 
|
|
Azure, AWS, GCP, environnement local |
| Inventaire des ressources |
|
|
Azure, AWS, GCP, environnement local |
| Degré de sécurisation |
|
|
Azure, AWS, GCP, environnement local |
| Visualisation des données et création de rapports avec les classeurs Azure |
|
|
Azure, AWS, GCP, environnement local |
| Exportation de données |
|
|
Azure, AWS, GCP, environnement local |
| Automatisation de workflow |
|
|
Azure, AWS, GCP, environnement local |
| Outils de correction |
|
|
Azure, AWS, GCP, environnement local |
| Point de référence de sécurité Microsoft Cloud |
|
|
Azure, AWS, GCP |
| Gouvernance de la sécurité | - |
|
Azure, AWS, GCP, environnement local |
| Normes de conformité réglementaire | - |
|
Azure, AWS, GCP, environnement local |
| Explorateur de sécurité du cloud | - |
|
Azure, AWS, GCP |
| Analyse du chemin d’attaque | - |
|
Azure, AWS, GCP |
| Analyse sans agent des machines | - |
|
Azure, AWS, GCP |
| Posture de sécurité des conteneurs sans agent | - |
|
Azure, AWS, GCP |
| Évaluation des vulnérabilités des registres de conteneurs, y compris l’analyse du registre | - |
|
Azure, AWS, GCP |
| Posture de sécurité sensible aux données | - |
|
Azure, AWS, GCP |
| Insights EASM dans l’exposition réseau | - |
|
Azure, AWS, GCP |
| Gestion des autorisations (préversion) | - |
|
Azure, AWS, GCP |
Remarque
À compter du 7 mars 2024, vous devrez activer CSPM Defender pour disposer des fonctionnalités de sécurité Premium de DevOps, notamment la contextualisation du code vers le cloud qui alimente l’explorateur de sécurité et les chemins d’attaque ainsi que les annotations des demandes de tirage (pull requests) pour exposer les résultats de la sécurité dans l’infrastructure en tant que code. Pour en savoir plus, consultez la rubrique support et prérequis de la sécurité DevOps.
Intégrations (préversion)
Microsoft Defender pour le cloud dispose désormais d’intégrations intégrées pour vous aider à utiliser des systèmes tiers pour gérer et suivre en toute transparence les tickets, les événements et les interactions avec les clients. Vous pouvez envoyer (push) des recommandations à un outil de gestion de tickets tiers et attribuer la responsabilité à une équipe pour la correction.
L’intégration simplifie votre processus de réponse aux incidents et améliore votre capacité à gérer les incidents de sécurité. Vous pouvez suivre, classer par ordre de priorité et résoudre plus efficacement les incidents de sécurité.
Vous pouvez choisir le système de gestion des tickets à intégrer. Pour la préversion, seule l’intégration de ServiceNow est prise en charge. Pour plus d’informations sur la configuration de l’intégration de ServiceNow, consultez Intégrer ServiceNow à Microsoft Defender pour le cloud (préversion).
Tarification du plan
Consultez la page de tarification de Defender pour le cloud pour en savoir plus sur la tarification de Defender CSPM.
À compter du 7 mars 2024, les fonctionnalités DevOps avancées en matière de posture de sécurité ne seront disponibles que par le biais du plan CSPM Defender payant. La gestion gratuite de base de la posture de sécurité dans Defender pour le cloud continuera à fournir un certain nombre de recommandations d’Azure DevOps. Apprenez-en davantage sur les fonctionnalités de sécurité DevOps.
Pour les abonnements qui utilisent à la fois les plans Defender CSPM et Defender pour les conteneurs, l’évaluation gratuite des vulnérabilités est calculée en fonction des analyses d’images gratuites fournies via le plan Defender pour les conteneurs, comme résumé dans la page de tarification Microsoft Defender pour le cloud.
CSPM Defender protège toutes les charges de travail multiclouds, mais la facturation est appliquée uniquement à des ressources spécifiques. Les tableaux suivants répertorient les ressources facturables lorsque CSPM Defender est activé sur des abonnements Azure, des comptes AWS ou des projets GCP.
Service Azure Types de ressource Exclusions Compute Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Machines virtuelles désallouées
- Machines virtuelles DatabricksStockage Microsoft.Storage/storageAccounts Comptes de stockage sans conteneur de blobs ni partage de fichiers BD Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Service AWS Types de ressource Exclusions Compute Instances EC2 Machines virtuelles désallouées Stockage Compartiments S3 --- BD Instances RDS --- Service GCP Types de ressource Exclusions Compute 1. Instances de calcul Google
2. Groupe d’instances GoogleInstances qui ne sont pas dans un état en cours d’exécution Stockage Compartiments de stockage - Compartiments de classes : « nearline », « coldline », « archive »
- Compartiments de régions autres que : europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1BD Instances SQL cloud ---
Prise en charge du cloud Azure
Pour une couverture cloud commerciale et nationale, passez en revue les fonctionnalités prises en charge dans les environnements cloud Azure.
Prise en charge du type de ressource dans AWS et GCP
Pour la prise en charge multicloud des types de ressources (ou services) dans notre niveau CSPM multicloud fondamental, consultez la table des types de ressources et de services multiclouds pour AWS et GCP.
Étapes suivantes
- Regardez Prédire les futurs incidents de sécurité ! Gestion de la posture de sécurité cloud avec Microsoft Defender.
- Découvrez les normes et recommandations de sécurité.
- En savoir plus sur le degré de sécurisation.