Améliorer votre posture de sécurité réseau avec le durcissement de réseau adaptatif
Le renforcement de réseau adaptatif est une fonctionnalité sans agent de Microsoft Defender pour le cloud : rien ne doit être installé sur vos ordinateurs pour tirer parti de cet outil de renforcement de réseau.
Cette page explique comment configurer et gérer le renforcement de réseau adaptatif dans Defender pour le cloud.
Disponibilité
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale |
| Prix : | Nécessite Defender pour les serveurs Plan 2 |
| Rôles et autorisations obligatoires : | Autorisations en écriture sur les groupes de sécurité de la machine |
| Clouds : |  Clouds commerciaux Nationaux (Azure Government, Microsoft Azure géré par 21Vianet) Comptes AWS connectés |
Qu’est-ce que le renforcement du réseau adaptatif ?
L’application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis des ressources améliore votre posture de sécurité réseau. Il peut toutefois rester des cas dans lesquels le trafic réel qui transite via le groupe de sécurité réseau est un sous-ensemble des règles NSG définies. Dans ces cas, une amélioration supplémentaire de la posture de sécurité est possible en renforçant les règles NSG en fonction des modèles de trafic réel.
Le renforcement du réseau adaptatif fournit des recommandations visant à renforcer davantage les règles NSG. Il utilise un algorithme de Machine Learning factorisé dans le trafic réel, appelé une configuration approuvée, l’intelligence des menaces et d’autres indicateurs de compromis, puis fournit des suggestions pour autoriser uniquement le trafic provenant de tuples IP/port spécifiques.
Par exemple, supposons que la règle NSG existante consiste à autoriser le trafic provenant de 140.20.30.10/24 sur le port 22. En se basant sur l’analyse du trafic, le renforcement de réseau adaptatif peut recommander de limiter la plage pour autoriser le trafic provenant de 140.23.30.10/29 et de refuser tout autre trafic sur ce port. Pour obtenir la liste complète des ports pris en charge, consultez l’entrée Quels ports sont pris en charge ? dans les questions courantes.
Consulter les règles recommandées et les alertes de renforcement
Dans le menu de Defender pour le cloud, ouvrez le tableau de bord Protections des charges de travail.
Sélectionnez la vignette de renforcement de réseau adaptatif (1) ou l’élément du panneau d’insights relatif au renforcement du réseau adaptatif (2).
Conseil
Le panneau des insights affiche le pourcentage de vos machines virtuelles actuellement protégées par le renforcement du réseau adaptatif.
La page de détails de la recommandation Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet s’ouvre avec vos machines virtuelles réseau regroupées sous trois onglets :
- Ressources non saines : machines virtuelles ayant actuellement des recommandations et des alertes qui ont été déclenchées en exécutant l’algorithme de renforcement du réseau adaptatif.
- Ressources saines : Machines virtuelles sans alertes ni suggestions.
- Ressources non analysées : Machines virtuelles dont l’algorithme adaptatif de renforcement du réseau ne peut pas être exécuté pour l’une des raisons suivantes :
- Les machines virtuelles sont des machines virtuelles Classic : Seules les ressources Azure Resource Manager sont prises en charge.
- Les données disponibles sont insuffisantes : afin de générer des recommandations de renforcement du trafic précises, Defender pour le cloud requiert au moins 30 jours de données de trafic.
- La machine virtuelle n’est pas protégée par Microsoft Defender pour les serveurs : seules les machines virtuelles protégées par Microsoft Defender pour les serveurs sont éligibles pour cette fonctionnalité.
Dans l’onglet Ressources non saines, sélectionnez une machine virtuelle pour afficher ses alertes et les règles de renforcement recommandées à appliquer.
- L’onglet Règles liste les règles que le renforcement du réseau adaptatif vous recommande d’ajouter.
- L’onglet Alertes répertorie les alertes qui ont été générées en raison de trafic, qui traverse la ressource, et qui ne se trouve pas dans la plages d’adresses IP autorisée dans les règles recommandées.
Vous pouvez éventuellement modifier les règles :
Sélectionnez les règles que vous souhaitez appliquer sur le groupe de sécurité réseau, puis Appliquer.
Conseil
Si la valeur « Aucune » est indiquée pour les plages d’adresses IP sources autorisées, cela signifie que la règle recommandée est une règle de refus ; sinon, il s’agit d’une règle d’autorisation.
Remarque
Les règles appliquées sont ajoutées aux groupes de sécurité réseau qui protègent la machine virtuelle. (Une machine virtuelle peut être protégée par un groupe de sécurité réseau qui est associé à sa carte réseau, ou le sous-réseau dans lequel réside la machine virtuelle, ou les deux)
Modifier une règle
Vous pouvez vouloir modifier les paramètres d’une règle recommandée. Par exemple, vous pouvez vouloir modifier les plages d’IP recommandées.
Voici des instructions importantes relatives à la modification d’une règle de renforcement du réseau adaptatif :
Vous ne pouvez pas transformer des règles allow en règles deny.
Vous pouvez modifier les paramètres de règles allow uniquement.
La création et la modification de règles « deny » sont effectuées directement sur le groupe de sécurité réseau. Pour plus d’informations, consultez Créer, changer ou supprimer un groupe de sécurité réseau.
Une règle Deny all traffic (Refuser tout le trafic) est la seule règle de type « deny » qui serait répertoriée ici, et elle ne peut pas être modifiée. Vous pouvez toutefois la supprimer (consultez Supprimer une règle). Pour en savoir plus sur ce type de règle, consultez l’entrée Quand utiliser une règle « Refuser tout le trafic » ? dans les questions courantes.
Pour modifier une règle de renforcement du réseau adaptatif :
Pour modifier certains paramètres d’une règle, sous l’onglet Règles, sélectionnez les trois points (…) à la fin de la ligne de la règle, puis Modifier.
Dans la fenêtre Modifier une règle, mettez à jour les détails que vous souhaitez changer, puis sélectionnez Enregistrer.
Notes
Après avoir sélectionné Enregistrer, vous avez correctement modifié la règle. Toutefois, vous ne l’avez pas appliquée au groupe de sécurité réseau. Pour l’appliquer, vous devez sélectionner la règle dans la liste, puis sélectionnez Appliquer (comme expliqué dans l’étape suivante).
Pour appliquer la règle mise à jour, sélectionnez-la dans la liste, puis cliquez sur Appliquer.
Ajouter une nouvelle règle
Vous pouvez ajouter une règle « allow » qui n’a pas été recommandée par Defender pour le cloud.
Notes
Seules des règles « allow » peuvent être ajoutées ici. Si vous souhaitez ajouter des règles « deny », vous pouvez le faire directement sur le groupe de sécurité réseau. Pour plus d’informations, consultez Créer, changer ou supprimer un groupe de sécurité réseau.
Pour ajouter une règle de renforcement du réseau adaptatif :
Dans la barre d’outils supérieure, sélectionnez Ajouter une règle.
Dans la fenêtre Nouvelle règle, entrez les détails et sélectionnez Ajouter.
Notes
Après avoir sélectionné Ajouter, vous avez correctement ajouté la règle et elle est listée avec les autres règles recommandées. Toutefois, vous ne l’avez pas appliquée au groupe de sécurité réseau. Pour l’activer, vous devez sélectionner la règle dans la liste, puis Appliquer (comme expliqué dans l’étape suivante).
Pour appliquer la nouvelle règle, sélectionnez-la dans la liste, puis sélectionnez Appliquer.
Supprimer une règle
Si nécessaire, vous pouvez supprimer une règle recommandée pour la session active. Par exemple, vous pouvez déterminer que l’application d’une règle suggérée est susceptible de bloquer un trafic légitime.
Pour supprimer une règle de renforcement du réseau adaptatif pour votre session actiuelle :
Sous l’onglet Règles, sélectionnez les trois points (…) à la fin de la ligne de la règle, puis Supprimer.
Étape suivante
- Voir les questions courantes sur la sécurisation adaptative du réseau