Activer la gestion de la posture de sécurité des données
Cet article explique comment activer la gestion de la posture de sécurité des données dans Microsoft Defender pour le cloud.
Avant de commencer
- Avant d’activer la gestion de la posture de sécurité des données, passez en revue les prérequis et le support.
- Lorsque vous activez des plans de gestion de la posture de sécurité cloud (CSPM) Defender ou Defender pour le stockage, l’extension de découverte des données sensibles est automatiquement activée. Vous pouvez désactiver ce paramètre si vous ne souhaitez pas utiliser la gestion de la posture de sécurité des données, mais nous vous conseillons d’utiliser la fonctionnalité pour tirer le meilleur parti de Defender pour le cloud.
- Les données sensibles sont identifiées en fonction des paramètres de confidentialité des données dans Defender pour le cloud. Vous pouvez personnaliser les paramètres de confidentialité des données pour identifier les données considérées comme sensibles par votre organisation.
- L’affichage des résultats d’une première analyse après activation de la fonctionnalité peut prendre jusqu’à 24 heures.
Activation dans la gestion de la posture de sécurité cloud (CSPM) Defender (Azure)
Suivez ces étapes pour activer la gestion de la posture de sécurité des données. N’oubliez pas de passer en revue les autorisations requises avant de commencer.
Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.
Sélectionnez l’abonnement Azure approprié.
Pour le plan Defender pour CSPM, sélectionnez l’état Activé.
Si Defender pour CSPM est déjà activé, sélectionnez Paramètres dans la colonne Couverture de surveillance du plan CSPM Defender et vérifiez que le composant Découverte de données sensibles est défini sur l’état Activé.
Une fois que la découverte des données sensibles est activée dans CSPM Defender, elle intègre automatiquement la prise en charge des types de ressources supplémentaires à mesure que la plage de types de ressources pris en charge s’étend.
Activation dans la gestion de la posture de sécurité cloud (CSPM) Defender (AWS)
Avant de commencer
- N’oubliez pas de : passer en revue les conditions requises pour l’analyse AWS et les autorisations requises.
- Vérifiez qu’aucune stratégie ne bloque la connexion à vos compartiments Amazon S3.
- Pour les instances RDS : le chiffrement KMS entre comptes est pris en charge, mais des stratégies supplémentaires sur l’accès KMS peuvent en empêcher l’accès.
Activation pour des ressources AWS
Compartiments S3 et instances RDS
- Activer une posture de sécurité des données comme décrit ci-dessus
- Passez aux instructions pour télécharger le modèle CloudFormation et l’exécuter dans AWS.
La découverte automatique des compartiments S3 dans le compte AWS démarre automatiquement.
Pour les compartiments S3, le scanneur Defender pour le cloud s’exécute dans votre compte AWS et se connecte à vos compartiments S3.
Pour les instances RDS, la découverte est déclenchée une fois que la découverte des données sensibles est activée. Le scanneur prend les dernières instantané automatisées pour un instance, crée un instantané manuel dans le compte source et le copie dans un environnement isolé appartenant à Microsoft dans la même région.
Le instantané est utilisé pour créer une instance dynamique qui est lancée, analysée, puis immédiatement détruite (avec le instantané copié).
Seuls les résultats d’analyse sont signalés par la plateforme d’analyse.
Vérifier les stratégies de blocage S3
Si le processus d’activation n’a pas fonctionné en raison d’une stratégie bloquée, vérifiez les éléments suivants :
- Veillez à ce que la stratégie de compartiment S3 ne bloque pas la connexion. Dans le compartiment S3 d’AWS, sélectionnez l’onglet Autorisations de la stratégie de compartiment >. Vérifiez les détails de la stratégie pour vous assurer que le service du scanneur Microsoft Defender pour Cloud s’exécutant dans le compte Microsoft d’AWS n’est pas bloqué.
- Assurez-vous qu’aucune stratégie SCP ne bloque la connexion au compartiment S3. Par exemple, votre stratégie SCP pourrait bloquer les appels d’API de lecture destinés à la région AWS dans laquelle est hébergé votre compartiment S3.
- Vérifiez que les appels d’API requis sont autorisés par votre stratégie SCP : AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
- Vérifiez que votre stratégie SCP autorise les appels vers la région us-east-1 d’AWS, qui est la région par défaut pour les appels d’API.
Activer la surveillance prenant en charge les données dans Defender pour le stockage
La détection des menaces sur les données sensibles est activée par défaut lorsque le composant de découverte de données sensibles est activé dans le plan Defender pour le stockage. Plus d’informations
Seules les ressources de stockage Azure sont analysées si le plan CSPM Defender est désactivé.