Qu’est-ce que Microsoft Defender pour le cloud ?

Microsoft Defender pour le cloud est une solution de gestion de la posture de sécurité cloud (CSPM) et une plateforme de protection de charge de travail (CWPP) pour toutes vos ressources Azure, locales et multiclouds (Amazon AWS et Google GCP). Defender pour le cloud répond à trois besoins essentiels lorsque vous gérez la sécurité de vos ressources et charges de travail dans le cloud et localement :

Compréhension des fonctionnalités de base de Microsoft Defender pour le cloud.

  • Degré de sécurisation Defender pour le cloudévalue en continu votre posture de sécurité afin que vous puissiez suivre de nouvelles opportunités de sécurité et signaler précisément la progression de vos efforts de sécurité.
  • Recommandations Defender pour le cloudsécurise vos charges de travail avec des actions pas à pas qui protègent vos charges de travail contre les risques de sécurité connus.
  • Alertes Defender pour le cloudprotège vos charges de travail en temps réel afin que vous puissiez réagir immédiatement et empêcher les événements de sécurité de se propager.

Pour obtenir une procédure pas à pas de Defender pour le cloud, consultez ce tutoriel interactif.

Vous pouvez en savoir plus sur Defender pour le cloud auprès d’un expert en cybersécurité en regardant Leçons apprises sur le terrain.

Protéger vos ressources et suivre la progression de votre sécurité

Les fonctionnalités de Microsoft Defender pour le cloud couvrent les deux grands piliers de la sécurité cloud : la plateforme de protection de charge de travail (CWPP) et la gestion de la posture de sécurité cloud (CSPM).

CSPM - Corriger les problèmes de sécurité et surveiller l’amélioration de votre posture de sécurité

Dans Defender pour le cloud, les fonctionnalités de gestion de la situation de sécurité offrent les avantages suivants :

  • Sécurisation renforcée : vous aide à améliorer rapidement et efficacement votre sécurité.
  • Visibilité : vous aide à comprendre votre situation de sécurité actuelle.

Defender pour le cloud évalue en continu vos ressources, abonnements et organisation à la recherche de problèmes de sécurité et affiche votre posture de sécurité sous la forme d’un degré de sécurisation, un score agrégé des résultats de sécurité qui vous présente, d’un seul coup d’œil, l’état de votre sécurité actuelle : plus le score est élevé, et plus le niveau de risque identifié est faible.

Lorsque vous ouvrez Defender pour le cloud pour la première fois, Defender pour le cloud :

  • Affiche un degré de sécurisation pour vos abonnements en fonction de l’évaluation de vos ressources connectées, par rapport aux recommandations du Benchmark de sécurité Microsoft Cloud. Utilisez ce score pour comprendre votre situation de sécurité et le tableau de bord de conformité pour examiner votre conformité par rapport au benchmark intégré. Lorsque vous avez activé les fonctionnalités de sécurité renforcée, vous pouvez personnaliser les normes utilisées pour évaluer votre conformité, ainsi qu’ajouter d’autres réglementations (telles que NIST et Azure CIS) ou des exigences de sécurité spécifiques de votre organisation. Vous pouvez également appliquer des recommandations et évaluer votre score sur la base des standards des bonnes pratiques de sécurité de base AWS.

    Vous pouvez également en savoir plus sur le degré de sécurisation.

  • Fournit des recommandations en matière de sécurisation renforcée en fonction des erreurs de configuration et des faiblesses de sécurité identifiées. Utilisez ces recommandations de sécurité pour renforcer la posture de sécurité des ressources Azure, hybrides et multiclouds de votre organisation.

  • Analysez et sécurisez vos chemins d’attaque via Cloud Security Graph, un moteur de contexte basé sur des graphiques disponibles dans Defender pour le cloud. Le Graphique de sécurité du cloud collecte des données à partir de votre environnement multicloud et d’autres sources, Par exemple, l’inventaire des ressources cloud, les connexions et les possibilités de mouvement latéral entre les ressources, l’exposition à Internet, les autorisations, les connexions réseau, les vulnérabilités et bien plus encore. Les données collectées sont ensuite utilisées pour générer un graphique représentant votre environnement multicloud.

    Attack Path Analysis est un algorithme graphique qui analyse le Cloud Security Graph. Les analyses exposent des chemins exploitables que des attaquants peuvent utiliser pour violer votre environnement afin d’atteindre vos ressources à fort impact. L’analyse du chemin d’attaque révèle ces chemins et fournit des recommandations pour remédier aux problèmes en bloquant le chemin d’attaque et en empêchant toute violation.

    En prenant en compte les informations contextuelles de votre environnement, telles que l’exposition à Internet, les autorisations, le mouvement latéral, et bien plus. L’analyse du chemin d’attaque identifie les problèmes susceptibles d’entraîner une violation de votre environnement et vous aide à remédier en priorité à ceux qui vous exposent aux risques les plus élevés.

    Apprenez-en davantage sur Attack Path Analysis.

Defender CSPM propose deux options pour protéger vos environnements et vos ressources, une option gratuite et une option premium. Nous vous recommandons d’activer l’option premium pour bénéficier de la couverture complète et des avantages de CSPM. Apprenez-en davantage sur les avantages offerts par Defender Cloud Security Posture Management (CSPM) et sur les différences entre les deux plans.

CWP - Identifier les exigences de sécurité de charge de travail uniques

Defender pour le cloud offre des alertes de sécurité optimisées par les renseignements sur les menaces Microsoft. Il inclut également une série de protections avancées et intelligentes pour vos charges de travail. Les protections des charges de travail sont fournies au travers de plans Microsoft Defender spécifiques des types de ressources incluses dans vos abonnements. Par exemple, vous pouvez activer Microsoft Defender pour le stockage afin de recevoir des alertes sur les activités suspectes liées à vos ressources de stockage.

Sécuriser toutes vos ressources grâce à une même protection

Defender pour le cloud étant un service natif Azure, de nombreux services Azure sont surveillés et protégés sans devoir être déployés, mais vous pouvez également ajouter des ressources locales ou dans d’autres clouds publics.

Le cas échéant, Defender pour cloud peut déployer automatiquement un agent Log Analytics pour collecter des données liées à la sécurité. Pour les machines Azure, le déploiement est géré directement. Pour les environnements hybrides et multiclouds, les plans Microsoft Defender sont étendus aux machines non-Azure avec l’aide d’Azure Arc. Les fonctionnalités CSPM sont étendues aux machines multiclouds sans agent (consultez Protéger des ressources s’exécutant sur d’autres clouds).

Protéger vos ressources natives Azure

Defender pour le cloud vous aide à détecter les menaces pesant sur les ressources suivantes :

  • Services PaaS Azure : détecte les menaces ciblant des services Azure, dont Azure App Service, Azure SQL, Stockage Microsoft Azure et d’autres services de données. Vous pouvez également détecter les anomalies dans vos journaux d’activité Azure en tirant parti de l’intégration native avec Microsoft Defender pour les applications cloud (anciennement Microsoft Cloud App Security).

  • Services de données Azure : Defender pour le cloud inclut des fonctionnalités qui vous permettent de classer automatiquement vos données dans Azure SQL. Vous pouvez également obtenir des évaluations pour les vulnérabilités potentielles sur les services Stockage et Azure SQL, ainsi que des recommandations pour les atténuer.

  • Réseaux : Defender pour le cloud vous aide à limiter votre exposition aux attaques par force brute. En réduisant l’accès aux ports de la machine virtuelle, à l’aide de l’accès à la machine virtuelle juste-à-temps, vous pouvez renforcer votre réseau en empêchant les accès inutiles. Vous pouvez définir des stratégies d’accès sécurisées sur les ports sélectionnés, juste pour les utilisateurs autorisés, les adresses IP ou les plages d’adresses IP sources autorisées et pour une durée limitée.

Protéger vos ressources locales

Outre la protection de votre environnement Azure, vous pouvez ajouter les fonctionnalités de Defender pour le cloud à votre environnement cloud hybride pour protéger vos serveurs non-Azure. Pour vous aider à vous concentrer sur l’essentiel, vous bénéficiez de renseignements personnalisés sur les menaces et d’alertes hiérarchisées en fonction de votre environnement.

Pour étendre la protection à des machines locales, déployez Azure Arc et activez les fonctionnalités de sécurité renforcée de Defender pour le cloud. En savoir plus dans Ajouter des machines non-Azure avec Azure Arc.

Protéger des ressources s’exécutant sur d’autres clouds

Defender pour le cloud peut protéger des ressources dans d’autres clouds (tels que AWS et GCP).

Par exemple, si vous avez connecté un compte Amazon Web Services (AWS) à un abonnement Azure, vous pouvez activer l’une de ces protections :

  • Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS. Ce plan sans agent évalue vos ressources AWS conformément aux recommandations de sécurité spécifiques à AWS. Celles-ci sont incluses dans votre niveau de sécurité. Les ressources sont également évaluées par rapport à leur conformité aux standards intégrés spécifiques à AWS (AWS CIS, AWS PCI DSS et AWS Foundational Security Best Practices). La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS avec vos ressources Azure.
  • Microsoft Defender pour Kubernetes étend sa détection des menaces contre les conteneurs et ses défenses avancées à vos clusters Amazon EKS Linux.
  • Microsoft Defender pour les serveurs ajoute la détection des menaces et les défenses avancées à vos instances EC2 Linux et Windows. Ce plan comprend la licence intégrée de Microsoft Defender pour point de terminaison, des bases de référence de sécurité et des évaluations au niveau de l’OS, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), le monitoring de l’intégrité des fichiers (FIM), etc.

En savoir plus sur la connexion de vos comptes AWS et GCP à Microsoft Defender pour le cloud.

Refermer les vulnérabilités avant qu’elles ne soient exploitées

Concentrez-vous sur les fonctionnalités d’évaluation de Microsoft Defender pour le cloud.

Defender pour le cloud comprend des solutions d’évaluation des vulnérabilités pour vos machines virtuelles, vos registres de conteneurs et vos serveurs SQL dans le cadre des fonctionnalités de sécurité renforcée. Certains des scanneurs sont optimisés par Qualys. Vous n’avez cependant pas besoin d’une licence Qualys, ou même d’un compte Qualys : tout est géré sans heurt dans Defender pour le cloud.

Microsoft Defender pour les serveurs inclut une intégration automatique native avec Microsoft Defender pour point de terminaison. Pour en savoir plus, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison. Avec cette intégration activée, vous avez accès aux résultats des recherches de vulnérabilités de la fonctionnalité de gestion des menaces et des vulnérabilités Microsoft. Pour plus d’informations, consultez Examen des faiblesses de la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.

Examinez les résultats de ces scanners de vulnérabilité et répondez-y au sein de Defender pour le cloud. En vertu de cette approche globale, Defender pour le cloud est en passe de devenir le cœur tous vos efforts en matière de sécurité du cloud.

Pour plus d’informations, consultez les pages suivantes :

Appliquer votre stratégie de sécurité du haut vers le bas

Concentrez-vous sur les fonctionnalités de sécurisation de Microsoft Defender pour le cloud.

Garantir la sécurité de vos charges de travail est une règle de base en matière de sécurité, et cela commence par la mise en place de stratégies de sécurité personnalisées. Étant donné que les stratégies dans Defender pour le cloud reposent sur des contrôles Azure Policy, vous obtenez l’éventail complet et la flexibilité totale offerts par une solution de stratégie de niveau international. Dans Defender pour le cloud, vous pouvez définir vos stratégies de façon à ce qu’elles s’exécutent sur des groupes d’administration, dans l’ensemble des abonnements et même pour un locataire entier.

Defender pour le cloud découvre continuellement de nouvelles ressources déployées au sein de vos charges de travail, et évalue si celles-ci sont configurées conformément aux bonnes pratiques de sécurité. Si ce n’est pas le cas, elles sont marquées et vous recevez une liste hiérarchisée de recommandations concernant ce que vous devez corriger. Les recommandations vous aident à réduire la surface d’attaque de chacune de vos ressources.

La liste des recommandations est activée et prise en charge par le Point de référence de sécurité Microsoft Cloud. Ce benchmark créé par Microsoft et basé sur des cadres de conformité communs, a vu le jour avec Azure et fournit désormais un ensemble de recommandations sur les meilleures pratiques à suivre en matière de sécurité et de conformité dans différents environnements cloud. Apprenez-en davantage dans Introduction aux points de référence de sécurité Microsoft Cloud.

Ainsi, Defender pour le cloud vous permet non seulement de définir des stratégies de sécurité, mais aussi d’appliquer des normes de configuration sécurisées à vos ressources.

Exemple de recommandation de Defender pour le cloud.

Pour vous aider à comprendre l’importance de chaque recommandation pour votre situation de sécurité globale, Defender pour le cloud regroupe les recommandations dans des contrôles de sécurité, et ajoute une valeur de niveau de sécurité à chaque contrôle. Cela est essentiel pour vous permettre de prioriser votre travail de sécurité.

Niveau de sécurité de Defender pour le cloud.

Étendre Defender pour le cloud avec des plans Defender et une supervision externe

Concentrez-vous sur les fonctionnalités de protection de Microsoft Defender pour le cloud.

Vous pouvez étendre la protection Defender pour le cloud avec :

  • Les fonctionnalités avancées de protection contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, votre réseau et autres protections incluent la sécurisation des ports de gestion de vos machines virtuelles avec un accès juste-à-temps et des contrôles d’application adaptatifs pour créer des listes vertes d’applications devant fonctionner sur vos machines.

Les plans Defender de Microsoft Defender pour le cloud proposent des défenses complètes des couches de calcul, de données et de service de votre environnement :

Utilisez les vignettes de protection avancée du tableau de bord des protections des charges de travail pour superviser et configurer chacune de ces protections.

Conseil

Microsoft Defender pour IoT est un produit distinct. Tous les détails figurent dans Présentation d’Azure Defender pour IoT.

  • Alertes de sécurité : quand Defender pour le cloud détecte une menace une zone quelconque de votre environnement, il génère une alerte de sécurité. Ces alertes décrivent les détails des ressources affectées, les étapes de correction suggérées et, dans certains cas, l’option permettant de déclencher une application logique en réponse. Si Defender pour le cloud génère une alerte ou en reçoit une d’un produit de sécurité intégré, vous pouvez l’exporter. Pour exporter vos alertes vers Microsoft Sentinel, un système SIEM tiers ou tout autre outil externe, suivez les instructions fournies dans Diffuser des alertes vers un système SIEM, SOAR ou une solution de gestion des services informatiques. La protection contre les menaces de Defender pour le cloud inclut l’analyse de la chaîne de destruction de fusion, qui corrèle automatiquement les alertes dans votre environnement en fonction de l’analyse de la chaîne de destruction cyber, pour vous aider à mieux comprendre l’historique d’une campagne d’attaque, de son point de départ jusqu’au type d’impact sur vos ressources. Les intentions de la chaîne de destruction prises en charge de Defender pour le cloud sont basées sur la version 9 de la matrice MITRE ATT&CK.

En savoir plus

Vous pouvez également consulter les blogs suivants :

Étapes suivantes

  • Pour commencer à utiliser Defender pour le cloud, vous devez disposer d’un abonnement à Microsoft Azure. Si vous n’avez pas d’abonnement, inscrivez-vous à un essai gratuit.

  • Le plan gratuit de Defender pour le cloud est activé sur tous vos abonnements Azure actuels quand vous consultez les pages de Defender pour le cloud dans le portail Azure pour la première fois, ou s’il est activé programmatiquement avec l’API REST. Pour tirer parti des fonctionnalités avancées de gestion de la sécurité et de détection des menaces, vous devez activer les fonctionnalités de sécurité avancées. Ces fonctionnalités sont gratuites pendant les 30 premiers jours. Apprenez-en davantage sur la tarification.

  • Si vous êtes prêt à activer les fonctionnalités de sécurité avancée, suivez la procédure décrite dans Activer les fonctionnalités de sécurité avancées.