Partager via

Exemple de solution permettant d’intégrer les alertes de ransomware de Microsoft Defender afin de conserver les points de récupération Sauvegarde Azure

Cet article décrit l’exemple de solution qui montre comment intégrer les alertes de ransomware de Microsoft Defender pour conserver les points de récupération Sauvegarde Azure. Supposons qu’une violation se soit produite sur la machine virtuelle protégée à la fois par Defender et par la Sauvegarde Azure. Defender détecte le ransomware et déclenche une alerte qui comprend le détail de l’activité et des recommandations de correction. Dès qu’un signal de ransomware est détecté avec Defender, la priorité de nos clients est de savoir que leurs sauvegardes sont conservées (c’est-à-dire que leur expiration est suspendue) pour réduire la perte de données.

La Sauvegarde Azure fournit plusieurs fonctionnalités de sécurité pour vous aider à protéger vos données de sauvegarde. La suppression réversible, les coffres immuables et l’autorisation multi-utilisateur (MUA) font partie d’une stratégie de protection complète des données de sauvegarde. La suppression réversible est activée par défaut, avec la possibilité de la rendre toujours activée (irréversible). Les données de sauvegarde supprimées de manière réversible sont conservées sans frais supplémentaires pendant 14 jours, sachant qu’il est possible d’étendre la durée. L’immuabilité des coffres permet de protéger les données de sauvegarde en bloquant toutes les opérations susceptibles d’entraîner une perte de points de récupération. Vous pouvez configurer l’autorisation multi-utilisateur pour la Sauvegarde Azure afin d’ajouter une couche supplémentaire de protection aux opérations critiques de vos coffres Recovery Services. Par défaut, une alerte critique en cas d’opération destructive (par exemple arrêter la protection en supprimant les données de sauvegarde) est déclenchée. Un e-mail est envoyé aux propriétaires de l’abonnement, aux administrateurs et aux coadministrateurs.

Microsoft Defender pour le cloud (MDC) constitue une solution de gestion de la posture de sécurité cloud (CSPM) et une plateforme de protection des charges de travail cloud (PPCTC) pour toutes les ressources Azure, locales et multiclouds (Amazon AWS et Google GCP). Defender pour le cloud génère des alertes de sécurité lorsque des menaces sont identifiées dans l’environnement cloud, hybride ou local. Il est disponible lorsque les fonctionnalités de sécurité renforcée sont activées. Chaque alerte donne le détail des ressources affectées, ainsi que les informations dont vous avez besoin pour examiner rapidement le problème et la procédure à suivre pour corriger une attaque. Si un programme malveillant ou un ransomware attaque une machine virtuelle Azure, Microsoft Defender pour le cloud détecte une activité suspecte et les indicateurs associés aux ransomwares sur une machine virtuelle Azure. Une alerte de sécurité est générée. Voici deux exemples d’alertes Defender pour le cloud qui se déclenchent lors d’une détection de ransomware : Indicateurs de ransomware détectés et Comportement similaire à celui d’un ransomware détecté.

Notes

Cet exemple de solution porte sur les Machines Virtuelles Azure. Vous ne pouvez déployer l’application logique qu’au niveau de l’abonnement. De ce fait, toutes les machines virtuelles Azure qui figurent sous cet abonnement peuvent utiliser l’application logique pour suspendre l’expiration des points de récupération en cas d’alerte de sécurité.

Détails de la solution

Cet exemple de solution illustre l’intégration entre la Sauvegarde Azure et Microsoft Defender pour le cloud (MDC) pour la détection et la réponse aux alertes afin d’accélérer la réponse. L’exemple illustre les trois cas d’usage suivants :

  • Possibilité d’envoyer des alertes par e-mail à l’Administrateur de sauvegarde.
  • Administrateur de la sécurité qui trie et déclenche manuellement une application logique pour sécuriser les sauvegardes.
  • Workflow pour répondre automatiquement à l’alerte en effectuant l’opération Désactiver la stratégie de sauvegarde (arrêter la sauvegarde et conserver les données).

Diagramme montrant comment Microsoft Defender pour le cloud et la Sauvegarde Azure contribuent à protéger les données de sauvegarde à l’aide d’applications logiques.

Prérequis

Déploiement d’Azure Logic Apps

Pour déployer Azure Logic Apps, procédez comme suit :

  1. Accédez à GitHub et sélectionnez Déployer sur Azure.

    Capture d’écran montrant comment lancer Azure Logic Apps sur GitHub.

  2. Dans le volet Déploiement, entrez les informations suivantes :

    • Abonnement : sélectionnez l’abonnement dont l’application logique doit régir les machines virtuelles Azure.

    • Nom : entrez un nom approprié pour l’application logique.

    • Région : choisissez la région à laquelle l’abonnement est associé.

    • Adresse e-mail : entrez l’adresse e-mail de l’administrateur de sauvegarde pour qu’il reçoive des alertes lorsque la stratégie est suspendue.

    • Groupe de ressources : sélectionnez le groupe de ressources auquel les applications logiques doivent être associées pour le déploiement.

    • Identité managée :créez et affectez une identité managée dotée des autorisations minimales suivantes pour que le service effectue automatiquement l’opération Arrêter la sauvegarde et conserver les données sur l’élément de sauvegarde en cas d’alerte de programme malveillant.

      • Contributeur de machine virtuelle sur l’abonnement
      • Opérateur de sauvegarde sur l’abonnement
      • Lecteur de sécurité

      Notes

      Pour renforcer davantage la sécurité, nous vous recommandons de créer un rôle personnalisé et de l’affecter à l’identité managée au lieu des rôles intégrés ci-dessus. Ainsi, tous les appels s’exécutent avec des privilèges minimum. Pour plus d’informations sur le rôle personnalisé, consultez l’article GitHub.

    • Abonnement à l’identité managée : entrez le nom de l’abonnement dans lequel l’identité managée doit se trouver.

    • Groupe de ressources d’identité managée : entrez le nom du groupe de ressources dans lequel l’identité managée doit se trouver.

    Capture d’écran montrant comment entrer des informations pour déployer Azure Logic Apps.

    Notes

    Vous avez besoin d’un accès Propriétaire sur l’abonnement pour déployer l’application logique.

  3. Sélectionnez Vérifier + créer.

Autorisation des alertes par e-mail d’Office 365

Pour autoriser la connexion d’API à Office 365, procédez comme suit :

  1. Accédez au groupe de ressources que vous avez utilisé pour déployer les ressources de modèle.

  2. Sélectionnez la connexion d’API Office365 (l’une des ressources que vous avez déployées) et sélectionnez l’erreur qui s’affiche au niveau de la connexion d’API.

  3. Sélectionnez Modifier la connexion d’API.

  4. Sélectionnez Autoriser.

    Remarque

    Vérifiez que vous vous authentifiez auprès de Microsoft Entra ID.

  5. Cliquez sur Enregistrer.

Déclenchement de l’application logique

Il est possible de déclencher l’application logique déployée manuellement ou automatiquement à l’aide de l’automatisation de workflow.

Déclenchement manuel

Pour déclencher l’application logique manuellement, procédez comme suit :

  1. Accédez à Microsoft Defender pour le cloud, puis sélectionnez Alertes de sécurité dans le volet gauche.
  2. Sélectionnez l’alerte requise pour développer les informations correspondantes.
  3. Sélectionnez Effectuer une action, choisissez Déclencher une réponse automatisée, puis sélectionnez Déclencher une application logique.
  4. Recherchez l’application logique déployée avec son nom, puis sélectionnez Déclencher.

Notes

Les autorisations RBAC Azure minimales nécessaires pour déclencher une action de l’alerte de sécurité sont les suivantes :

  • Opérateur d’application logique
  • Rôle d’administrateur de sécurité

Déclenchement à l’aide de l’automatisation de workflow sur le Portail Azure

L’automatisation de workflow garantit que, pendant une alerte de sécurité, les sauvegardes correspondant à la machine virtuelle confrontée à ce problème passent à l’état Arrêter la sauvegarde et conserver les données. Ainsi, la stratégie et le nettoyage des points de récupération sont suspendus. Vous pouvez également utiliser Azure Policy pour déployer l’automatisation de workflow.

Notes

Le rôle minimal requis pour déployer l’automatisation de workflow est le suivant :

  • Opérateur d’application logique
  • Administrateur de la sécurité

Pour déclencher l’application logique à l’aide d’un workflow automatique, procédez comme suit :

  1. Accédez à Defender pour le cloud, puis sélectionnez Automatisation de workflow dans le volet gauche.

  2. Sélectionnez Ajouter une automatisation de workflow pour ouvrir le volet d’options de la nouvelle automatisation.

  3. Entrez les informations suivantes :

    • Nom et description : entrez un nom approprié pour l’automatisation.
    • Abonnement : sélectionnez l’abonnement correspondant à l’étendue de l’application logique.
    • Groupe de ressources : sélectionnez le groupe de ressources dans lequel l’automatisation doit se trouver.
    • Type de données Defender pour le cloud : sélectionnez Alerte de sécurité.
    • Le nom de l’alerte contient : sélectionnez Programme malveillant ou Ransomware.
    • Gravité de l’alerte : sélectionnez Élevé.
    • Application logique : sélectionnez l’application logique que vous avez déployée.

  4. Sélectionnez Create (Créer).

Alertes par e-mail

Lorsque la stratégie de sauvegarde sur l’élément de sauvegarde est désactivée, l’application logique envoie également un e-mail à l’ID que vous avez entré pendant le déploiement. L’ID d’e-mail doit idéalement correspondre à l’Administrateur de sauvegarde. Vous pouvez ensuite examiner l’alerte et reprendre les sauvegardes lorsque le problème est résolu ou s’il s’agit d’une fausse alerte.

Étapes suivantes

À propos du plan de sauvegarde et de restauration pour la protection contre les ransomwares.