Passer en revue les recommandations de sécurité

Dans Microsoft Defender pour le cloud, les ressources et les charges de travail sont évaluées par rapport aux normes de sécurité intégrées et personnalisées activées dans vos abonnements Azure, vos comptes AWS et vos projets GCP. En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour corriger les problèmes de sécurité et améliorer la posture de sécurité.

Cet article explique comment passer en revue les recommandations de sécurité dans votre déploiement de Defender pour le cloud à l’aide de la dernière version de l’expérience du portail.

Consulter une vue d'ensemble

Dans Defender pour cloud, accédez au tableau de bord Vue d’ensemble pour obtenir un aperçu holistique de vos environnements, notamment :

  • Recommandations actives : recommandations actives dans votre environnement.
  • Recommandations non attribuées : découvrez quelles sont les recommandations auxquelles aucun propriétaire n’est affecté.
  • Recommandations en retard : recommandations dont la date d’échéance a expiré.
  • Chemins attaques : consultez le nombre de chemins d’attaque.

Passer en revue les recommandations

Important

Cette page explique comment utiliser la nouvelle expérience de recommandations, qui vous permet de classer par ordre de priorité vos recommandations en fonction de leur niveau de risque effectif. Pour afficher cette expérience, vous devez sélectionner Essayer maintenant.

Screenshot that shows where the try it now button is located on the recommendation page.

Pour passer en revue les recommandations :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Pour chaque recommandation, passez en revue les aspects suivants :

    • Niveau de risque - Spécifie si le risque de recommandation est Critique, Élevé, Moyen ou Faible.
    • Ressource affectée - Ressources affectées indiquées.
    • Facteurs de risque - Facteurs environnementaux de la ressource affectée par la recommandation, qui influencent l’exploitabilité et l’effet sur l’activité métier du problème de sécurité sous-jacent. Par exemple, exposition à Internet, données sensibles, potentiel de mouvement latéral, etc.
    • Chemins d’attaque - Nombre de chemins d’attaque.
    • Propriétaire - Personne affectée à cette recommandation.
    • Date d’échéance - Indique la date d’échéance pour la correction de la recommandation.
    • L’État de la recommandation indique si la recommandation est affectée, et l’état de la date d’échéance pour la correction de la recommandation.

Passer en revue les détails de la recommandation

Il est important d'examiner tous les détails liés à une recommandation avant d'essayer de comprendre le processus nécessaire pour résoudre la recommandation. Nous recommandons de s'assurer que tous les détails de la recommandation sont corrects avant de résoudre la recommandation.

Pour passer en revue les détails d’une recommandation :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Dans la page de recommandation, passez en revue les détails suivants :

    • Description : Courte description du problème de sécurité.

    • Chemins d’attaque - Nombre de chemins d’attaque.

    • Étendue - Abonnement ou ressource affectée.

    • Actualisation - Intervalle d’actualisation de la recommandation.

    • Date du dernier changement - Date à laquelle cette recommandation a été changée pour la dernière fois

    • Propriétaire - Personne affectée à cette recommandation.

    • Date d’échéance - Date avant laquelle la recommandation doit être résolue.

    • Gravité : gravité de la recommandation (élevée, moyenne ou faible). Vous trouverez plus de détails ci-dessous.

    • Tactiques et techniques : tactiques et techniques mappées à MITRE ATT&CK.

      Screenshot of the recommendation details page with labels for each element.

Explorer une recommandation

Vous pouvez effectuer de nombreuses actions pour interagir avec les recommandations. Si une option n’est pas disponible, elle n’est pas pertinente pour la recommandation.

Explorer une recommandation :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Dans la recommandation, vous pouvez effectuer les actions suivantes :

    • Sélectionnez Ouvrir la requête pour voir des informations détaillées sur les ressources affectées à l’aide d’une requête de l’Explorateur Azure Resource Graph.

    • Sélectionnez Voir la définition de la stratégie pour voir l’entrée Azure Policy de la recommandation sous-jacente (le cas échéant).

  5. Dans Résultats, vous pouvez passer en revue les résultats affiliés par gravité.

    Screenshot of the findings tab in a recommendation that shows all of the attack paths for that recommendation.

  6. Dans Agir :

    • Corriger : description des étapes manuelles nécessaires pour corriger le problème de sécurité sur les ressources affectées. Pour obtenir des recommandations avec l’option Corriger, vous pouvez sélectionner Afficher la logique de correction avant d’appliquer la correction suggérée à vos ressources.

    • Affecter un propriétaire et une date d’échéance : si vous avez activé une règle de gouvernance pour la recommandation, vous pouvez affecter un propriétaire et une date d’échéance.

    • Exempter : vous pouvez exempter les ressources de la recommandation, ou désactiver des résultats spécifiques à l’aide de règles de désactivation.

    • Automatisation de workflow : définissez une application logique à déclencher avec cette recommandation.

    Screenshot that shows what you can see in the recommendation when you select the take action tab.

  7. Dans Graph, vous pouvez voir et investiguer tout le contexte utilisé pour le classement des risques par ordre de priorité, notamment les chemins d’attaque. Vous pouvez sélectionner un nœud dans un chemin d'attaque pour afficher les détails du nœud sélectionné.

    Screenshot of the graph tab in a recommendation that shows all of the attack paths for that recommendation.

Comment les recommandations sont-elles classées ?

Chaque recommandation de sécurité de Defender pour le cloud est attribuée à l’une des trois évaluations de gravité suivantes :

  • Gravité élevée : ces recommandations doivent être traitées immédiatement, car elles indiquent une vulnérabilité de sécurité critique qui pourrait être exploitée par un attaquant pour obtenir un accès non autorisé à vos systèmes ou données. Voici des exemples de recommandations en cas de gravité élevée lorsque nous avons découvert des secrets non protégés sur une machine, des règles de groupe de sécurité réseau entrantes trop permissives, des clusters permettant le déploiement d’images à partir de registres non approuvés et un accès public illimité aux comptes de stockage ou aux bases de données.

  • Gravité moyenne : ces recommandations indiquent un risque de sécurité potentiel qui doit être résolu en temps voulu, mais ne nécessite peut-être pas une attention immédiate. Des exemples de recommandations en cas de gravité moyenne peuvent inclure des conteneurs partageant des espaces de noms d’hôtes sensibles, des applications web qui n’utilisent pas d’identités managées, des machines Linux ne nécessitant pas de clés SSH pendant l’authentification et des informations d’identification inutilisées qui restent dans le système après 90 jours d’inactivité.

  • Gravité faible : ces recommandations indiquent un problème de sécurité relativement mineur qui peut être résolu à votre convenance. Des exemples de recommandations en cas de gravité faible peuvent inclure la nécessité de désactiver l’authentification locale en faveur de Microsoft Entra ID, des problèmes d’intégrité avec votre solution de protection de point de terminaison, des meilleures pratiques qui ne sont pas suivies avec des groupes de sécurité réseau ou des paramètres de journalisation mal configurés qui pourraient compliquer la détection et la réponse aux incidents de sécurité.

Bien sûr, les vues internes d’une organisation peuvent différer de la classification de Microsoft d’une recommandation spécifique. Par conséquent, il est toujours judicieux de passer en revue attentivement chaque recommandation et de prendre en compte son impact potentiel sur votre posture de sécurité avant de décider comment y remédier.

Gérer les recommandations qui vous sont affectées

Defender pour le cloud prend en charge les règles de gouvernance des recommandations, afin de spécifier un propriétaire de recommandation ou une date d’échéance pour une action. Les règles de gouvernance permettent de garantir une responsabilité et un contrat SLA pour les recommandations.

  • Les recommandations sont répertoriées comme Dans les temps jusqu’à ce que leur date d’échéance soit dépassée. À ce moment, elles deviennent En retard.
  • Avant que la recommandation ne soit en retard, elle n’affecte pas le niveau de sécurité.
  • Vous pouvez également appliquer une période de grâce durant laquelle les recommandations en retard continuent de ne pas affecter le score de sécurité.

Découvrez plus en détail la configuration des règles de gouvernance.

Pour gérer les recommandations qui vous sont affectées :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez Ajouter un filtre>Propriétaire.

  4. Sélectionnez votre entrée utilisateur.

  5. Sélectionnez Appliquer.

  6. Dans les résultats des recommandations, passez en revue les recommandations, notamment les ressources affectées, les facteurs de risque, les chemins d’attaque, les dates d’échéance et l’état.

  7. Sélectionnez une recommandation pour l’examiner de façon plus détaillée.

  8. Dans Agir>Modifier le propriétaire et la date d’échéance, sélectionnez Modifier l’affectation pour changer le propriétaire et la date d’échéance de la recommandation, si nécessaire.

    • Par défaut, le propriétaire de la ressource reçoit un e-mail hebdomadaire listant les recommandations qui lui sont affectées.
    • Si vous sélectionnez une nouvelle date de correction, dans Justification, spécifiez les motifs de la correction à cette date au plus tard.
    • Dans Définir les notifications par e-mail, vous pouvez :
      • Remplacer l’e-mail hebdomadaire par défaut envoyé au propriétaire.
      • Notifier les propriétaires chaque semaine en leur fournissant la liste des tâches ouvertes/en retard.
      • Notifier le responsable direct du propriétaire en lui indiquant qu’une liste des tâches est ouverte.
  9. Sélectionnez Enregistrer.

Remarque

Le changement de la date de fin prévue ne change pas la date d’échéance de la recommandation. Toutefois, les partenaires de sécurité peuvent voir que vous comptez mettre à jour les ressources avant la date spécifiée.

Passer en revue les recommandations dans Azure Resource Graph

Vous pouvez utiliser Azure Resource Graph pour écrire un Langage de requête Kusto (KQL) pour interroger les données de posture de sécurité de Defender pour le cloud sur plusieurs abonnements. Azure Resource Graph offre un moyen efficace d’interroger à grande échelle les environnements cloud en permettant de visualiser, de filtrer, de regrouper et de trier les données.

Pour passer en revue les recommandations dans Azure Resource Graph :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Sélectionnez Ouvrir une requête.

  5. Vous pouvez ouvrir la requête de deux façons :

    • Requête renvoyant les ressources affectées - Retourne une liste de toutes les ressources affectées par cette recommandation.
    • Requête renvoyant les résultats de la sécurité - Retourne une liste de tous les problèmes de sécurité détectés par la recommandation.
  6. Sélectionnez exécuter la requête.

    Screenshot of Azure Resource Graph Explorer showing the results for the recommendation shown in the previous screenshot.

  7. Passez en revue les résultats.

Exemple

Dans cet exemple, la page des détails de la recommandation présente 15 ressources affectées :

Screenshot of the Open Query button on the recommendation details page.

Lorsque vous ouvrez la requête sous-jacente et que vous l’exécutez, l’Explorateur Azure Resource Graph retourne les mêmes ressources affectées pour cette recommandation.

Étapes suivantes

Corriger les recommandations de sécurité