Quelles sont les nouveautés de Microsoft Defender pour le cloud ?
Defender pour le cloud fait l’objet d’un développement actif et bénéficie d’améliorations en permanence. Pour vous tenir au courant des développements les plus récents, cette page fournit des informations sur les nouvelles fonctionnalités, les correctifs de bogues et les fonctionnalités déconseillées.
Cette page est fréquemment mise à jour avec les dernières mises à jour de Defender pour le cloud.
Conseil
Recevez une notification quand cette page est mise à jour en copiant-collant l’URL suivante dans votre lecteur de flux :
https://aka.ms/mdc/rss
Pour en savoir plus sur les changements planifiés qui seront bientôt disponibles dans Defender pour le cloud, consultez Changements importants à venir dans Microsoft Defender pour le cloud.
Si vous recherchez des éléments datant de plus de six mois, vous les trouverez dans l’Archive des nouveautés de Microsoft Defender pour le cloud.
Mai 2024
| Date | Update |
|---|---|
| 1er mai | Defender pour les bases de données open source est désormais disponible sur AWS pour les instances Amazon (préversion) |
Defender pour les bases de données open source est désormais disponible sur AWS pour les instances Amazon (préversion)
1er mai 2024
Nous annonçons la préversion publique de Defender pour les bases de données open source sur AWS, qui ajoute la prise en charge de différents types d’instances Amazon Relational Database Service (RDS).
En savoir plus sur Defender pour les bases de données open source et comment activer Defender pour les bases de données open source sur AWS.
Avril 2024
Defender pour les conteneurs est désormais en disponibilité générale (GA) pour AWS et GCP
15 avril 2024
La détection des menaces du runtime et la découverte sans agent pour AWS et GCP dans Defender pour les conteneurs sont désormais en disponibilité générale (GA). Pour plus d’informations, consultez la matrice de prise en charge des conteneurs dans Defender pour le cloud.
En outre, il existe une nouvelle fonctionnalité d’authentification dans AWS qui simplifie l’approvisionnement. Pour plus d’informations, consultez Configurer les composants Microsoft Defender pour les conteneurs.
La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud
3 avril 2024
La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud. Cette fonctionnalité vous permet de vous concentrer sur les problèmes de sécurité les plus critiques dans votre environnement en hiérarchisant les recommandations en fonction des facteurs de risque de chaque ressource. Les facteurs de risque incluent l’impact potentiel du problème de sécurité en cours de violation, les catégories de risques et le chemin d’attaque dont fait partie le problème de sécurité.
En savoir plus sur la hiérarchisation des risques.
Nouvelles recommandations d’évaluation des vulnérabilités de conteneur
3 avril 2024
Pour prendre en charge la nouvelle expérience de hiérarchisation basée sur les risques pour les recommandations, nous avons créé de nouvelles recommandations pour les évaluations des vulnérabilités de conteneur dans Azure, AWS et GCP. Ces recommandations portent sur les images conteneur pour les charges de travail de registre et de conteneur pour l’exécution :
- Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre Azure doivent être résolus
- Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans Azure doivent être résolus
- Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre AWS doivent être résolus
- Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans AWS doivent être résolus
- Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre GCP doivent être résolus
- Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans GCP doivent être résolus
Les recommandations précédentes d’évaluation des vulnérabilités de conteneur seront supprimées lorsque les nouvelles recommandations seront en disponibilité générale.
- Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure
- Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender)
- Les vulnérabilités des images conteneur de registre AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender)
- Les vulnérabilités des images conteneur exécutant AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender)
- Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs du registre GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure
- Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs exécutant GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure
Remarque
Les nouvelles recommandations sont actuellement en préversion publique, et ne seront pas utilisées pour le calcul du niveau de sécurité.
Mises à jour de Defender pour les bases de données relationnelles open source
3 avril 2024
Mises à jour postérieures à la disponibilité générale des serveurs flexibles Defender pour PostgreSQL : la mise à jour permet aux clients d’appliquer une protection pour les serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui fournit une flexibilité totale pour l’activation d’une protection en fonction des ressources ou d’une protection automatique de toutes les ressources au niveau de l’abonnement.
Disponibilité générale et disponibilité des serveurs flexibles Defender pour MySQL : Defender pour le cloud a étendu sa prise en charge des bases de données relationnelles open source Azure en incorporant les serveurs flexibles MySQL.
Cette version comprend :
- Compatibilité des alertes avec celles existantes pour les serveurs uniques Defender pour MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources de serveur flexible are automatiquement activées, protégées et facturées.
Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
Découvrez plus d’informations sur Microsoft Defender pour les bases de données relationnelles open source.
Remarque
Les mises à jour des serveurs flexibles Azure Database pour MySQL seront déployées au cours des prochaines semaines. Si le message d’erreur The server <servername> is not compatible with Advanced Threat Protection s’affiche, vous pouvez attendre le déploiement de la mise à jour ou ouvrir un ticket de support afin de mettre à jour le serveur plus tôt vers une version prise en charge.
Mise à jour des recommandations pour s’aligner sur les ressources Azure AI Services
2 avril 2024
Les recommandations suivantes ont été mises à jour pour s’aligner sur la catégorie Azure AI Services (anciennement Cognitive Services et Recherche cognitive), afin de se conformer au nouveau format de nommage Azure AI Services et de s’aligner sur les ressources pertinentes.
| Ancienne recommandation | Recommandation mise à jour |
|---|---|
| Les comptes Cognitive Services doivent limiter l’accès réseau | Les ressources Azure AI Services doivent limiter l’accès réseau |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Cognitive Services | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) |
| Les journaux de diagnostic dans les services Search doivent être activés. | Les journaux de diagnostic dans les ressources Azure AI services doivent être activés |
Consultez la liste des recommandations de sécurité.
Dépréciation de la recommandation Cognitive Services
2 avril 2024
La recommandation Public network access should be disabled for Cognitive Services accounts est déconseillée. La définition Cognitive Services accounts should disable public network access de la stratégie associée a été supprimée du tableau de bord de conformité réglementaire.
Cette recommandation est déjà couverte par une autre recommandation de mise en réseau pour Azure AI Services, Cognitive Services accounts should restrict network access.
Consultez la liste des recommandations de sécurité.
Recommandations multiclouds pour les conteneurs (GA)
2 avril 2024
Dans le cadre de la disponibilité générale multicloud de Defender pour les conteneurs, les recommandations suivantes sont également annoncées en disponibilité générale :
- Pour Azure
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Pour GCP
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs du registre GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure | Analyse vos registres GCP pour détecter les vulnérabilités connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c27441ae-775c-45be-8ffa-655de37362ce |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs exécutant GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Google Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- Pour AWS
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités des images conteneur de registre AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender) | Analyse vos registres GCP pour détecter les vulnérabilités connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. Analyse les images conteneur de vos registres AWS à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c27441ae-775c-45be-8ffa-655de37362ce |
| Les vulnérabilités des images conteneur exécutant AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables actuellement exécutées dans vos clusters Elastic Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Les recommandations affectent le calcul du niveau de sécurité.
Mars 2024
L’analyse des images conteneur Windows est désormais en disponibilité générale (GA)
31 mars 2024
Nous annonçons la disponibilité générale des images conteneur Windows pour l’analyse par Defender pour les conteneurs.
L’exportation continue inclut désormais les données relatives aux chemins d’attaque
25 mars 2024
Nous annonçons que l’exportation continue inclut désormais les données relatives aux chemins d’attaque. Cette fonctionnalité vous permet de diffuser des données de sécurité vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique.
Apprenez-en davantage sur l’exportation continue.
L'analyse sans agent prend en charge les machines virtuelles chiffrées CMK dans Azure
21 mars 2024
Jusqu'à présent, l'analyse sans agent a couvert les machines virtuelles chiffrées CMK dans AWS et GCP. Avec cette mise en production, nous achevons également la prise en charge pour Azure. La capacité utilise une approche d'analyse unique pour CMK dans Azure :
- Defender pour le cloud ne gère pas la clé ou le processus de déchiffrement. La gestion et le déchiffrement des clés sont gérés en toute transparence par Azure Compute, et sont transparents pour le service d’analyse sans agent de Defender pour le cloud.
- Les données de disque de machine virtuelle non chiffrées ne sont jamais copiées ou rechiffrées avec une autre clé.
- La clé d’origine n’est pas répliquée pendant le processus. La purge élimine les données sur votre machine virtuelle de production et sur l'instantané temporaire de Defender pour cloud.
Durant la préversion publique, cette capacité n’est pas activée automatiquement. Si vous utilisez Defender pour serveurs P2 ou Defender CSPM et que votre environnement dispose de machines virtuelles avec des disques chiffrés par des clés CMK, vous pouvez désormais les analyser à la recherche de vulnérabilités, de secrets et de programmes malveillants en suivant ces étapes d’activation.
- En savoir plus sur l'analyse sans agent pour les machines virtuelles
- En savoir plus sur les autorisations d'analyse sans agent
Nouvelles recommandations en matière de détection et de réponse de point de terminaison
18 mars 2024
Nous annonçons de nouvelles recommandations de détection et de réponse de point de terminaison qui découvrent et évaluent la configuration des solutions de détection et de réponse de point de terminaison prises en charge. Si des problèmes sont détectés, ces recommandations offrent des étapes de correction.
Les nouvelles recommandations suivantes en matière de protection des points de terminaison sans agent sont désormais disponibles si vous disposez du plan Microsoft Defender pour serveurs Plan 2 ou du plan CSPM Defender activé sur votre abonnement avec la fonctionnalité d'analyse de machine sans agent activée. Les recommandations prennent en charge les machines Azure et multicloud. Les machines locales ne sont pas prises en charge.
| Nom de la recommandation | Description | Gravité |
|---|---|---|
| La solution EDR doit être installée sur des machines virtuelles | Pour protéger les machines virtuelles, installez une solution EDR (détection et réponse sur les points de terminaison). Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « non saine », elle n'a pas de solution EDR prise en charge installée [Lien de substitution - En savoir plus]. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter. | Forte |
| La solution EDR doit être installée sur les EC2 | Pour protéger les EC2, installez une solution EDR. Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « non saine », elle n'a pas de solution EDR prise en charge installée [Lien de substitution - En savoir plus]. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter. | Forte |
| La solution EDR doit être installée sur des machines virtuelles GCP | Pour protéger les machines virtuelles, installez une solution EDR (détection et réponse sur les points de terminaison). Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « non saine », elle n'a pas de solution EDR prise en charge installée [Lien de substitution - En savoir plus]. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter. | Forte |
| Les problèmes de configuration d'EDR doivent être résolus sur les machines virtuelles | Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR installée. Remarque : actuellement, cette recommandation s'applique uniquement aux ressources avec Microsoft Defender for Endpoint (MDE) activé. |
Forte |
| Les problèmes de configuration d'EDR doivent être résolus sur les EC2 | Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR installée. Remarque : actuellement, cette recommandation s'applique uniquement aux ressources avec Microsoft Defender for Endpoint (MDE) activé. |
Forte |
| Les problèmes de configuration d'EDR doivent être résolus sur les machines virtuelles GCP | Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR installée. Remarque : actuellement, cette recommandation s'applique uniquement aux ressources avec Microsoft Defender for Endpoint (MDE) activé. |
Forte |
Découvrez comment gérer ces nouvelles recommandations de détection et de réponse de point de terminaison (sans agent)
Ces recommandations en préversion publique seront déconseillées à la fin mars.
| Recommandation | Agent |
|---|---|
| Endpoint Protection doit être installé sur vos machines (public) | MMA/AMA |
| Les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (public) | MMA/AMA |
Les recommandations en disponibilité générale actuelles sont toujours prises en charge et seront jusqu'en août 2024.
Découvrez comment préparer la nouvelle expérience de recommandation de détection de point de terminaison.
Recommandations personnalisées basées sur KQL pour Azure est désormais en préversion publique
17 mars 2024
Les recommandations personnalisées basées sur KQL pour Azure sont désormais disponibles en avant-première publique et prises en charge pour tous les clouds. Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées.
Inclusion des recommandations DevOps dans le point de référence de la sécurité cloud Microsoft
13 mars 2024
Aujourd’hui, nous annonçons que vous pouvez désormais surveiller votre posture de sécurité et de conformité DevOps dans le point de référence de la sécurité cloud Microsoft (MCSB, Microsoft Cloud Security Benchmark) en plus d’Azure, AWS et GCP. Les évaluations DevOps font partie du contrôle Sécurité DevOps dans MCSB.
MCSB est une nouvelle infrastructure qui définit des principes fondamentaux de sécurité du cloud, basés sur des normes sectorielles et des infrastructures de conformité courantes. MCSB fournit des détails prescriptifs sur la façon d’implémenter ses recommandations de sécurité indépendantes du cloud.
En savoir plus sur les recommandations DevOps qui seront incluses et sur le point de référence de la sécurité cloud Microsoft.
Intégration de ServiceNow désormais en disponibilité générale
12 mars 2024
Nous annonçons la disponibilité générale de l’intégration de ServiceNow.
Protection des ressources critiques dans Microsoft Defender pour le cloud (préversion)
12 mars 2024
Defender pour le cloud inclut désormais une fonctionnalité critique pour l’entreprise, qui utilise le moteur de ressources critiques de Microsoft Security Exposure Management, pour identifier et protéger les ressources importantes via la hiérarchisation des risques, l’analyse du chemin d’attaque et Cloud Security Explorer. Pour plus d’informations, consultez Protection des ressources critiques dans Microsoft Defender pour le cloud (préversion).
Recommandations sur AWS et GCP améliorées avec des scripts de correction automatisés
12 mars 2024
Nous améliorons les recommandations concernant AWS et GCP avec des scripts de correction automatisés qui vous permettent d’apporter des corrections par programmation et à grande échelle. En savoir plus sur les scripts de correction automatisés.
(Préversion) Normes de conformité ajoutées au tableau de bord de conformité
6 mars 2024
Suite aux commentaires des clients, nous avons ajouté des normes de conformité en préversion à Defender pour le cloud.
Consulter la liste complète des normes de conformité prises en charge
Nous travaillons en permanence sur l’ajout de nouvelles normes et leur mise à jour pour les environnements Azure, AWS et GCP.
Découvrez comment attribuer une norme de sécurité.
Dépréciation de deux suggestions liées au PCI
5 mars 2024
Les deux recommandations suivantes relatives au PCI (indice d’autorisations suspectes) sont sur le point d’être déconseillées :
- Les identités surprovisionnées dans les comptes doivent être examinées pour réduire l’index d’analyse des autorisations (PCI)
- Les identités surprovisionnées dans les abonnements doivent être examinées pour réduire l’index d’analyse des autorisations (PCI)
Consultez la liste des recommandations de sécurité déconseillées.
Mise hors service de l’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys
3 mars 2024
L’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys est en cours de mise à l’arrêt. La mise hors service sera terminé le 6 mars. D'ici là, des résultats partiels peuvent encore apparaître dans les recommandations de Qualys et les résultats de Qualys dans le graphique de sécurité. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers des Évaluations des vulnérabilités pour Azure avec Microsoft Defender Vulnerability Management. Pour en savoir plus sur la transition vers l’offre d’évaluation des vulnérabilités de conteneur avec Microsoft Defender Vulnerability Management, consultez Transition de Qualys à Microsoft Defender Vulnerability Management.
Février 2024
La gestion des stratégies de sécurité mise à jour étend la prise en charge d’AWS et GCP
28 février 2024
L’expérience mise à jour pour la gestion des stratégies de sécurité, initialement publiée en préversion pour Azure, étend sa prise en charge aux environnements multiclouds (AWS et GCP). Cette préversion inclut les éléments suivants :
- Gestion des normes de conformité réglementaire dans Defender pour Cloud dans les environnements Azure, AWS et GCP.
- Même expérience d’interface multicloud pour la création et la gestion des recommandations personnalisées Microsoft Cloud Security Benchmark(MCSB).
- L’expérience mise à jour est appliquée à AWS et GCP pour créer des recommandations personnalisées avec une requête KQL.
Prise en charge de Defender pour les conteneurs dans le cloud
26 février 2024
Les fonctionnalités de détection des menaces d’Azure Kubernetes Service (AKS) dans Defender pour les conteneurs sont désormais entièrement prises en charge dans les clouds commerciaux, Azure Government et Azure China 21Vianet. Examiner les fonctionnalités prises en charge.
Nouvelle version du capteur Defender pour Defender pour les conteneurs
20 février 2024
Une nouvelle version du capteur Defender pour les conteneurs est disponible. Il inclut des améliorations de performances et de sécurité, la prise en charge de l’architecture des nœuds AMD64 et ARM64 (Linux uniquement) et utilise Inspektor Gadget comme agent de collecte de processus au lieu de Sysdig. La nouvelle version étant prise en charge uniquement sur les versions de noyau Linux 5.4 et supérieures, si vous avez des versions antérieures du noyau Linux, vous devez faire une mise à niveau. La prise en charge d’ARM 64 est disponible uniquement à partir d’AKS V1.29 et versions ultérieures. Pour plus d’informations, voir Systèmes d’exploitation hôtes pris en charge.
Prise en charge de la spécification du format d’image Open Container Initiative (OCI)
18 février 2024
La spécification du format d’image Open Container Initiative (OCI) est désormais prise en charge par l’évaluation des vulnérabilités basée sur la Gestion des vulnérabilités Microsoft Defender pour les clouds AWS, Azure et GCP.
Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS basée sur Trivy
13 février 2024
L’évaluation des vulnérabilités des conteneurs basée sur Trivy a été mise hors service. Les clients qui utilisaient auparavant cette évaluation doivent procéder à une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur la Gestion des vulnérabilités Microsoft Defender. Pour savoir comment procéder à la mise à niveau, consultez Comment faire pour mettre à niveau l’évaluation des vulnérabilités Trivy mise hors service vers l’évaluation des vulnérabilités AWS basée sur la Gestion des vulnérabilités Microsoft Defender ?
Recommandations publiées en version préliminaire : quatre recommandations pour le type de ressource Azure Stack HCI
8 février 2024
Nous avons ajouté quatre nouvelles recommandations pour Azure Stack HCI en tant que nouveau type de ressource qui peut être managé via Microsoft Defender pour le cloud. Ces nouvelles recommandations sont actuellement disponibles en préversion publique.
Consultez la liste des recommandations de sécurité.
Janvier 2024
Nouvel insight pour les référentiels actifs dans Cloud Security Explorer
31 janvier 2024
Un nouvel insight pour les référentiels Azure DevOps a été ajouté à Cloud Security Explorer pour indiquer si les référentiels sont actifs. Cet insight indique que le référentiel de code n’est pas archivé ou désactivé, ce qui signifie que l’accès en écriture au code, aux builds et aux demandes de tirage est toujours disponible pour les utilisateurs. Les référentiels archivés et désactivés peuvent être considérés comme de priorité inférieure, car le code n’est généralement pas utilisé dans les déploiements actifs.
Pour tester la requête via Cloud Security Explorer, utilisez ce lien de requête.
Dépréciation des alertes de sécurité et mise à jour des alertes de sécurité vers le niveau de gravité informationnel
25 janvier 2024
Cette annonce comprend les alertes de sécurité de conteneur dépréciées et les alertes de sécurité dont le niveau de gravité est mis à jour vers Informationnel.
Les alertes de sécurité de conteneur suivantes ont été dépréciées :
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
Les alertes de sécurité suivantes sont mises à jour vers le niveau de gravité informationnel :
Alertes pour les machines Windows :
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
Alertes pour les conteneurs :
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
Alertes pour DNS :
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Alertes pour Azure App Service :
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Alertes pour la couche réseau Azure :
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Alertes pour Azure Resource Manager :
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
Consultez la liste complète des alertes de sécurité.
Posture de conteneur sans agent pour GCP dans Defender pour les conteneurs et Defender CSPM (préversion)
24 janvier 2024
Les nouvelles capacités de posture de conteneur sans agent (préversion) sont disponibles pour GCP, notamment les évaluations des vulnérabilités pour GCP avec la Gestion des vulnérabilités Microsoft Defender. Pour plus d’informations sur toutes les capacités, consultez Posture de conteneur sans agent dans Defender CSPM et Capacités sans agent dans Defender pour les conteneurs.
Vous pouvez également en savoir plus sur la gestion de la posture de conteneur sans agent pour multicloud dans ce billet de blog.
Préversion publique de l’analyse des programmes malveillants sans agent pour les serveurs
16 janvier 2024
Nous annonçons la publication de la détection de programmes malveillants sans agent de Defender pour le cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP, comme nouvelle fonctionnalité incluse dans Defender pour serveurs Plan 2.
La détection des programmes malveillants sans agent pour les machines virtuelles est désormais incluse dans notre plateforme d’analyse sans agent. L’analyse des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter des fichiers malveillants. Toutes les menaces détectées déclenchent des alertes de sécurité directement dans Defender pour le cloud et Defender XDR, où elles peuvent être examinées et corrigées. Le scanneur de programmes malveillants sans agent complète la couverture basée sur l’agent avec une deuxième couche de détection des menaces avec intégration sans friction et n’a aucun effet sur les performances de votre ordinateur.
En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Disponibilité générale de l’intégration de Defender pour le cloud à Microsoft Defender XDR
15 janvier 2024
Nous annonçons la disponibilité générale (GA) de l’intégration entre Defender pour le cloud et Microsoft Defender XDR (anciennement Microsoft 365 Defender).
Cette intégration apporte des capacités de protection de cloud compétitives dans le centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender pour le cloud et l’intégration Defender XDR, les équipes du SOC peuvent découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
En savoir plus sur les alertes et incidents dans Microsoft Defender XDR.
Les annotations de demande de tirage (pull request) de sécurité DevOps sont désormais activées par défaut pour les connecteurs Azure DevOps
12 janvier 2024
La sécurité DevOps expose les résultats de sécurité sous forme d’annotations dans les demandes de tirage (pull request) pour aider les développeurs à prévenir et à corriger les vulnérabilités de sécurité potentielles et les erreurs de configuration avant d’entrer en production. Depuis le 12 janvier 2024, les annotations de demande de tirage sont désormais activées par défaut pour tous les référentiels Azure DevOps nouveaux et existants connectés à Defender pour le cloud.
Par défaut, les annotations de demande de tirage sont activées uniquement pour les résultats IaC (Infrastructure as Code) de gravité élevée. Les clients devront toujours configurer Microsoft Security for DevOps (MSDO) afin qu’ils s’exécutent dans les builds de demande de tirage et activent la stratégie de validation de build pour les builds CI dans les paramètres du référentiel Azure DevOps. Les clients peuvent désactiver la fonctionnalité d’annotation de demande de tirage pour des référentiels spécifiques à partir des options de configuration du référentiel du panneau de sécurité DevOps.
En savoir plus sur l’activation des annotations de demande de tirage pour Azure DevOps.
Recommandations publiées pour la préversion : neuf nouvelles recommandations de sécurité Azure
4 janvier 2024
Nous avons ajouté neuf nouvelles recommandations de sécurité Azure alignées sur Point de référence de sécurité Microsoft Cloud. Ces nouvelles recommandations sont actuellement disponibles en préversion publique.
| Recommandation | Description | Gravité |
|---|---|---|
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Cognitive Services | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Plus d’informations sur : https://aka.ms/cs/auth. (Stratégie associée : les méthodes d’authentification locales doivent être désactivées pour les comptes Cognitive Services). | Faible |
| Les services Cognitive Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées. (Stratégie associée : Cognitive Services doit utiliser une liaison privée). | Moyenne |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. (Stratégie associée : le chiffrement doit être activé sur l’hôte pour les machines virtuelles et les groupes de machines virtuelles identiques). | Moyenne |
| Azure Cosmos DB doit désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte Cosmos DB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte Cosmos DB. Plus d’informations (Stratégie associée : Azure Cosmos DB doit désactiver l’accès au réseau public). | Moyenne |
| Les comptes Cosmos DB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte Cosmos DB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées. (Stratégie associée : les comptes Cosmos DB doivent utiliser une liaison privée). | Moyenne |
| Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD. (Stratégie associée : les passerelles VPN doivent utiliser uniquement l’authentification Azure Active Directory (Azure AD) pour les utilisateurs point à site). | Moyenne |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. (Stratégie associée : Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure). | Moyenne |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. En savoir plus sur l’accès au réseau public. (Stratégie associée : Azure SQL Managed Instances doit désactiver l’accès au réseau public). | Moyenne |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Exigence d’audit d’Azure AD (Azure Active Directory) pour autoriser les requêtes pour votre compte de stockage. Par défaut, les requêtes peuvent être autorisées soit avec des informations d’identification Azure Active Directory, soit à l’aide de la clé d’accès au compte pour l’autorisation avec clé partagée. Entre ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé partagée, et est recommandé par Microsoft. (Stratégie associée : les comptes de stockage doivent empêcher l’accès à la clé partagée). | Moyenne |
Consultez la liste des recommandations de sécurité.
Décembre 2023
Defender pour serveurs au niveau de la ressource en disponibilité générale
24 décembre 2023
Il est désormais possible de gérer Defender pour serveurs sur des ressources spécifiques au sein de votre abonnement, ce qui vous offre un contrôle complet sur votre stratégie de protection. Grâce à cette fonctionnalité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l’abonnement.
Découvrez plus d’informations sur l’activation de Defender pour serveurs au niveau de la ressource.
Mise hors service des connecteurs classiques pour le multicloud
21 décembre 2023
L’expérience du connecteur multicloud classique est mise hors service et les données ne sont plus diffusées en continu vers des connecteurs créés via ce mécanisme. Ces connecteurs classiques ont été utilisés pour connecter les recommandations AWS Security Hub et GCP Security Command Center à Defender pour le cloud et intégrer AWS EC2s à Defender pour serveurs.
La valeur totale de ces connecteurs a été remplacée par l’expérience des connecteurs de sécurité multi-cloud natifs, qui est en disponibilité générale pour AWS et GCP depuis mars 2022 sans coût supplémentaire.
Les nouveaux connecteurs natifs sont inclus dans votre plan et offrent une expérience d’intégration automatisée avec des options d’intégration de comptes uniques, de comptes multiples (avec Terraform) et d’intégration organisationnelle avec provisionnement automatique pour les plans Defender suivants : fonctionnalités CSPM de base gratuites, Gestion de la posture de sécurité cloud (CSPM) Defender, Defender pour serveurs, Defender pour SQL et Defender pour les conteneurs.
Publication du workbook Couverture
21 décembre 2023
Le workbook Couverture vous permet de suivre quels plans Defender pour le cloud sont actifs sur quelles parties de vos environnements. Ce workbook peut vous aider à protéger entièrement vos environnements et vos abonnements. En ayant accès à des informations détaillées sur la couverture, vous pouvez aussi identifier les domaines qui peuvent nécessiter d’autres protections et prendre des mesures pour traiter ces domaines.
En savoir plus sur le workbook Couverture.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender dans Azure Government et Azure exploité par 21Vianet
14 décembre 2023
L’évaluation des vulnérabilités pour des images conteneur Linux dans des registres de conteneurs Azure basés sur Gestion des vulnérabilités de Microsoft Defender est publiée en disponibilité générale dans Azure Government et Azure exploité par 21Vianet. Cette nouvelle publication est disponible sous les plans Defender pour les conteneurs et Defender pour les registres de conteneurs.
Dans le cadre de cette modification, les recommandations suivantes sont publiées en disponibilité générale et sont désormais incluses dans le calcul du niveau de sécurité :
| Nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | Les évaluations des vulnérabilités des images conteneur analysent votre registre à la recherche de vulnérabilités connues et produisent un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution. | Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités de Microsoft Defender). L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L’analyse des images conteneur basée sur Gestion des vulnérabilités de Microsoft Defender entraîne désormais des frais en fonction de la tarification du plan.
Remarque
Les images analysées à la fois par notre offre Évaluation des vulnérabilités des conteneurs basée sur Qualys et par notre offre Évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender ne seront facturées qu’une seule fois.
Les recommandations Qualys suivantes pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continueront d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur un de leurs abonnements avant cette publication. Les nouveaux clients qui intègrent Defender pour les conteneurs après cette publication voient seulement les nouvelles recommandations de l’évaluation des vulnérabilités des conteneurs basées sur Gestion des vulnérabilités de Microsoft Defender.
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Préversion publique de la prise en charge par Windows de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender
14 décembre 2023
La prise en charge des images Windows a été publiée en préversion publique dans le cadre de l’évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender pour les registres de conteneurs Azure et Azure Kubernetes Services.
Mise hors service de l’évaluation de la vulnérabilité des conteneurs AWS basée sur Trivy
13 décembre 2023
L’évaluation des vulnérabilités des conteneurs basée sur Trivy est maintenant en cours de mise hors service, qui sera complètement effective le 13 février. Cette fonctionnalité est désormais déconseillée et continuera d’être disponible pour les clients existants qui l’utilisent jusqu’au 13 février. Nous encourageons les clients utilisant cette fonctionnalité à effectuer une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur Gestion des vulnérabilités de Microsoft Defender d’ici au 13 février.
Posture de conteneur sans agent pour AWS dans Defender pour les conteneurs et Defender CSPM (préversion)
13 décembre 2023
Les nouvelles fonctionnalités de la posture de conteneur sans agent (préversion) sont disponibles pour AWS. Pour plus d’informations, consultez Posture de conteneur sans agent dans Defender CSPM et Fonctionnalités sans agent dans Defender pour les conteneurs.
Disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans Defender pour le plan de bases de données relationnelles open source
13 décembre 2023
Nous annonçons la publication en disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans le plan Microsoft Defender pour les bases de données relationnelles open source. Microsoft Defender pour les bases de données relationnelles open source offre une protection avancée contre les menaces pour les serveurs flexibles PostgreSQL, en détectant les activités anormales et en générant des alertes de sécurité.
Découvrez comment Activer Microsoft Defender pour les bases de données relationnelles open source.
L’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender prend désormais en charge les images minimales (Distroless) Google
12 décembre 2023
Les évaluations des vulnérabilités des conteneurs basée sur la Gestion des vulnérabilités de Microsoft Defender a été étendue avec une couverture supplémentaire pour les packages de système d’exploitation Linux, prenant désormais en charge les images minimales (Distroless) Google.
Pour obtenir la liste de tous les systèmes d’exploitation pris en charge, consultez Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender.
Alerte Defender pour le stockage publiée en préversion : un objet blob malveillant a été téléchargé depuis un compte de stockage
4 décembre 2023
L’alerte suivante est publiée en préversion :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Niveau de gravité |
|---|---|---|---|
| Un objet blob malveillant a été téléchargé depuis un compte de stockage (préversion) Storage.Blob_MalwareDownload |
L’alerte indique qu’un objet blob malveillant a été téléchargé depuis un compte de stockage. Les causes potentielles peuvent inclure des programmes malveillants chargés sur le compte de stockage et non supprimés ou mis en quarantaine, ce qui permet à un acteur menaçant de le télécharger, ou un téléchargement involontaire du programme malveillant par des utilisateurs ou des applications légitimes. S’applique aux comptes de stockage Blob Azure (Standard v2 à usage général, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité Analyse des programmes malveillants activée. |
Déplacement latéral | Élevé, si Eicar – faible |
Consultez les alertes basées sur les extensions dans Defender pour le stockage.
Pour obtenir la liste complète des alertes, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.
Novembre 2023
Quatre alertes seront déconseillées
30 novembre 2023
Dans le cadre de notre processus d'amélioration de la qualité, les alertes de sécurité suivantes seront déconseillées :
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilité générale de l’analyse des secrets sans agent dans Defender pour serveurs et Defender CSPM
27 novembre 2023
L’analyse des secrets sans agent améliore la sécurité des machines virtuelles basées sur le cloud en identifiant les secrets en texte clair sur les disques de machine virtuelle. L’analyse des secrets sans agent fournit des informations complètes pour aider à classer par ordre de priorité les résultats détectés et à atténuer les risques des mouvements latéraux avant qu’ils ne se produisent. Cette approche proactive empêche l’accès non autorisé, ce qui garantit que votre environnement cloud reste sécurisé.
Nous annonçons la disponibilité générale de l’analyse des secrets sans agent, qui est incluse dans les plans Defender pour serveurs P2 et Defender CSPM.
L’analyse des secrets sans agent utilise des API cloud pour effectuer des captures instantanées de vos disques, en conduisant une analyse hors bande qui garantit qu’il n’y a aucun effet sur les performances de votre machine virtuelle. L’analyse des secrets sans agent étend la couverture offerte par Defender pour le cloud aux ressources cloud dans les environnements Azure, AWS et GCP afin d’améliorer votre sécurité cloud.
Avec cette publication, les fonctionnalités de détection de Defender pour le cloud prennent désormais en charge d’autres types de base de données, les URL signées du magasin de données, les jetons d’accès, etc.
Découvrez comment gérer les secrets avec l’analyse des secrets sans agent.
Activer la gestion des autorisations avec Microsoft Defender pour le cloud (préversion)
22 novembre 2023
Microsoft propose désormais des solutions CNAPP (Protection des applications natives Cloud) et CIEM (Cloud Infrastructure Entitlement Management) avec Microsoft Defender pout le cloud (CNAPP) et Gestion des autorisations Microsoft Entra (CIEM).
Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d’accès inutilisées ou excessives dans Microsoft Defender pour le cloud.
Les équipes de sécurité peuvent conduire les contrôles d’accès les moins privilégiés pour les ressources cloud et recevoir des recommandations actionnables pour résoudre les risques d’autorisations dans les environnements cloud Azure, AWS et GCP dans le cadre de leur CSPM (Defender Cloud Security Posture Management), sans aucune exigence de licence supplémentaire.
Découvrez comment activer la gestion des autorisations dans Microsoft Defender pour le cloud (préversion).
Intégration de Microsoft Defender pour le cloud avec ServiceNow
22 novembre 2023
ServiceNow est désormais intégré à Microsoft Defender pour le cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender pour le cloud afin de hiérarchiser la correction des recommandations qui affectent votre entreprise. Microsoft Defender pour le cloud s’intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer/afficher des tickets ServiceNow (liés aux recommandations) de Microsoft Defender pour le cloud.
Vous pouvez en savoir plus sur l’intégration de Defender pour le cloud avec ServiceNow.
Disponibilité générale du processus d’autoapprovisionnement pour les serveurs SQL sur le plan des machines
20 novembre 2023
En préparation à la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender pour le cloud a publié un processus d’approvisionnement automatique Azure Monitoring Agent (AMA) ciblé sur SQL Server. Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients. Il permet également d’activer des machines virtuelles Azure SQL et des serveurs SQL avec Arc au niveau des ressources.
Les clients qui utilisent le processus d’approvisionnement automatique MMA doivent migrer vers le nouveau processus d’approvisionnement automatique de l’agent Azure Monitor pour SQL Server sur des machines. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Disponibilité générale de Defender pour les API
15 novembre 2023
Nous annonçons la disponibilité générale de Microsoft Defender pour les API. Defender pour les API est conçu pour protéger les organisations contre les menaces de sécurité des API.
Defender pour les API permet aux organisations de protéger leurs API et leurs données contre les acteurs malveillants. Les organisations peuvent investiguer et améliorer leur position de sécurité des API, classer par ordre de priorité les correctifs de vulnérabilités, et détecter et répondre rapidement aux menaces actives en temps réel. Les organisations peuvent également intégrer des alertes de sécurité directement dans leur plateforme de gestion des informations et des événements de sécurité (SIEM), par exemple Microsoft Sentinel, pour investiguer et trier les problèmes.
Vous pouvez découvrir comment protéger vos API avec Defender pour les API. Vous pouvez aussi en savoir plus en consultant À propos de Microsoft Defender pour les API.
Vous pouvez également lire ce blog pour en savoir plus sur l’annonce de la disponibilité générale.
Microsoft Defender pour le Cloud est maintenant intégré à Microsoft 365 Defender (préversion)
15 novembre 2023
Les entreprises peuvent protéger leurs ressources et appareils cloud avec la nouvelle intégration entre Microsoft Defender pour le cloud et Microsoft Defender XDR. Cette intégration relie les ressources cloud, les appareils et les identités, qui nécessitaient auparavant plusieurs expériences.
Cette intégration apporte également des fonctionnalités de protection de cloud compétitives dans le Centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender XDR, les équipes du Centre des opérations de sécurité (SOC) peuvent facilement découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
Voici les principaux avantages :
Une interface simple à utiliser pour les équipes SOC : avec les alertes et les corrélations cloud de Defender pour le cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d’une seule interface, ce qui améliore considérablement l’efficacité opérationnelle.
Un scénario histoire d’attaque : les clients sont en mesure de comprendre entièrement le scénario d’attaque, y compris leur environnement cloud, à l’aide de corrélations prédéfinies qui combinent des alertes de sécurité provenant de plusieurs sources.
Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge les nouvelles entités cloud propres à Microsoft Defender pour le cloud, comme des ressources cloud. Les clients peuvent faire correspondre des entités de machine virtuelle à des entités d’appareil, fournissant une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui y ont été déclenchés.
API unifiée pour les produits de sécurité Microsoft : les clients peuvent désormais exporter les données de leurs alertes de sécurité dans les systèmes de leur choix en utilisant une même API, car les alertes et incidents Microsoft Defender pour le cloud font désormais partie de l’API publique de Microsoft Defender XDR.
L’intégration entre Defender pour le cloud et Microsoft Defender XDR est disponible pour tous les clients Defender pour le cloud nouveaux et existants.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs alimentée par la Gestion des vulnérabilités de Microsoft Defender (MDVM) dans Defender pour les conteneurs et Defender pour les registres de conteneurs
15 novembre 2023
L’évaluation des vulnérabilités (VA) pour des images de conteneurs Linux dans des registres de conteneurs Azure alimentées par la Gestion des vulnérabilités de Microsoft Defender (MDVM) est publiée pour la disponibilité générale (GA) dans Defender pour les conteneurs et Defender pour les registres de conteneurs.
Dans le cadre de cette modification, les recommandations suivantes ont été publiées pour la disponibilité générale et renommées, et sont désormais incluses dans le calcul du score sécurisé :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (optimisé par l’agent Gestion des vulnérabilités Microsoft Defender) | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | Les évaluations des vulnérabilités des images conteneur analysent votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution. | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L’analyse de l’image conteneur alimentée par MDVM entraîne désormais des frais en fonction de la tarification du plan.
Remarque
Les images analysées à la fois par notre offre de conteneur VA alimentée par Qualys et l’offre de conteneur VA alimentée par MDVM, ne seront facturées qu’une seule fois.
Les recommandations Qualys ci-dessous pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continueront d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur l’un de leurs abonnements avant le 15 novembre. Les nouveaux clients qui intègrent Defender pour les conteneurs après le 15 novembre voient uniquement les nouvelles recommandations d’évaluation des vulnérabilités de conteneur optimisées par Gestion des vulnérabilités de Microsoft Defender.
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Modification des noms de recommandations d’évaluations des vulnérabilités de conteneur
Les recommandations relatives aux évaluations des vulnérabilités d’un conteneur suivantes ont été renommées :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
| Les résultats de vulnérabilité des images de registre de conteneurs élastiques doivent être résolus | Les vulnérabilités (optimisées par Trivy) doivent être résolues sur les images de conteneur de registre AWS | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Hiérarchisation des risques désormais disponible pour les recommandations
15 novembre 2023
Vous pouvez maintenant hiérarchiser vos recommandations de sécurité en fonction du niveau de risque qu’elles présentent, en tenant compte à la fois de l’exploitabilité et de l’effet commercial potentiel de chaque problème de sécurité sous-jacent.
En organisant vos recommandations en fonction de leur niveau de risque (critique, élevé, moyen, faible), vous pouvez résoudre les risques les plus critiques au sein de votre environnement et hiérarchiser efficacement la correction des problèmes de sécurité en fonction du risque réel tel que l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et les chemins d’attaque potentiels qui pourraient être atténués en résolvant les recommandations.
En savoir plus sur la hiérarchisation des risques.
Analyse du chemin d'attaque : nouveau moteur et améliorations importantes
15 novembre 2023
Nous publions des améliorations apportées aux fonctionnalités d’analyse des chemins d’attaque dans Microsoft Defender pour le cloud.
Nouveau moteur – l’analyse du chemin d’attaque a un nouveau moteur, qui utilise l’algorithme de recherche de chemin pour détecter tous les chemins d’attaque possibles qui existent dans votre environnement cloud (en fonction des données que nous avons dans notre graphique). Nous pouvons trouver de nombreux chemins d’attaque supplémentaires dans votre environnement et détecter des modèles d’attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
Améliorations – les améliorations suivantes sont publiées :
- Hiérarchisation des risques : liste classée par ordre de priorité des chemins d’attaque en fonction du risque (exploitabilité et impact sur l’entreprise).
- Correction améliorée – identification des recommandations spécifiques qui doivent être résolues pour briser réellement la chaîne.
- Chemins d’attaque interclouds – détection des chemins d’attaque qui sont des chemins d’accès interclouds (chemins qui commencent dans un cloud et se terminent dans un autre).
- MITRE – mappage de tous les chemins d’attaque au framework MITRE.
- Expérience utilisateur actualisée – expérience actualisée avec des fonctionnalités plus fortes : filtres avancés, recherche et regroupement de chemins d’attaque pour faciliter le triage.
Découvrez comment identifier et corriger les chemins d’accès d’attaques
Modifications apportées au schéma de table Azure Resource Graph d'Attack Path
15 novembre 2023
Le schéma de table Azure Resource Graph (ARG) du chemin d’attaque est mis à jour. La propriété attackPathType est supprimée et d’autres propriétés sont ajoutées.
Version en disponibilité générale de la prise en charge de GCP dans defender CSPM
15 novembre 2023
Nous annonçons la version en disponibilité générale du graphique contextuel de sécurité cloud et de l’analyse du chemin d’attaque de Defender CSPM avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de Defender CSPM pour une visibilité complète et une sécurité cloud intelligente sur les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan Defender CSPM.
Remarque
La facturation de la version en disponibilité générale du support GCP dans Defender CSPM commencera le 1er février 2024.
Version en disponibilité générale du tableau de bord de sécurité des données
15 novembre 2023
Le tableau de bord de la sécurité des données est désormais disponible en version en disponibilité générale dans le cadre du plan CSPM Defender.
Le tableau de bord de sécurité des données vous permet d’afficher le patrimoine de données de votre organisation, les risques liés aux données sensibles et les insights sur vos ressources de données.
Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version en disponibilité générale de la découverte de données sensibles pour les bases de données
15 novembre 2023
La découverte de données sensibles pour les bases de données managées, notamment les bases de données Azure SQL et les instances AWS RDS (toutes les saveurs SGBDR) est désormais en disponibilité générale et permet la découverte automatique de bases de données critiques qui contiennent des données sensibles.
Pour activer cette fonctionnalité dans tous les magasins de données pris en charge sur vos environnements, vous devez activer Sensitive data discovery dans Defender CSPM. Découvrez comment activer la découverte de données sensibles dans Defender CSPM.
Vous pouvez également découvrir comment la découverte de données sensibles est utilisée dans la posture de sécurité prenant en charge les données.
Annonce de la préversion publique : Nouvelle visibilité étendue de la sécurité des données multicloud dans Microsoft Defender pour le cloud.
La nouvelle version de la recommandation pour rechercher les mises à jour système manquantes est maintenant en disponibilité générale
6 novembre 2023
Vous n’avez plus besoin d’un agent supplémentaire sur vos machines virtuelles Azure et vos machines Azure Arc pour que les machines aient toutes les dernières mises à jour système critiques ou de sécurité.
La nouvelle recommandation des mises à jour système, System updates should be installed on your machines (powered by Azure Update Manager) dans le contrôle Apply system updates, est basée sur le Gestionnaire de mise à jour et est désormais en disponibilité générale. La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et machines Azure Arc au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous guide pour faire une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire de mise à jour.
Les anciennes et nouvelles versions des recommandations pour rechercher les mises à jour système manquantes seront disponibles jusqu’en août 2024, c’est-à-dire quand l’ancienne version est dépréciée. Les deux recommandations : System updates should be installed on your machines (powered by Azure Update Manager) et System updates should be installed on your machines sont disponibles sous le même contrôle : Apply system updates et ont les mêmes résultats. Par conséquent, il n’y a pas de duplication de l’effet sur le degré de sécurisation.
Nous vous recommandons de migrer vers la nouvelle recommandation et de supprimer l’ancienne, en la désactivant dans l’initiative intégrée de Defender pour le cloud dans la stratégie Azure.
La recommandation [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) est également en disponibilité générale et constitue un prérequis, ce qui a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le correctif disponible.
Pour appliquer la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)pour corriger la recommandation.
Remarque
Activer des évaluations périodiques pour les machines avec Arc dont Defender pour serveurs Plan 2 n’est pas activé sur leur abonnement ou connecteur associé, (soumis au tarif d’Azure Update Manager). Les machines avec Arc qui ont Defender pour serveurs Plan 2 activé sur leur abonnement ou connecteurs associés, ou toute machine virtuelle Azure, sont éligibles à cette fonctionnalité sans coût supplémentaire.
Octobre 2023
Modification de la gravité de l’alerte de sécurité du contrôle d’application adaptatif
Date d’annonce : 30 octobre 2023
Dans le cadre du processus d’amélioration de la qualité des alertes de sécurité de Defender pour serveurs, et dans le cadre de la fonctionnalité des contrôles d’application adaptatifs, la gravité de l’alerte de sécurité suivante passe à « Informationelle » :
| Alerte [Type d’alerte] | Description d'alerte |
|---|---|
| La violation de la stratégie de contrôle d’application adaptative a été auditée.[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application. |
Pour continuer à afficher cette alerte sur la page « Alertes de sécurité » du portail Microsoft Defender pour le cloud, modifiez le filtre d’affichage par défaut Gravité pour inclure les alertes d’informations dans la grille.
Révisions de Gestion des API Azure hors connexion supprimées de Defender pour les API
25 octobre 2023
Defender pour les API a mis à jour sa prise en charge des révisions d’API de Gestion des API Azure. Les révisions hors connexion n’apparaissent plus dans l’inventaire d’API Defender intégré et ne semblent plus être intégrées à Defender pour les API. Les révisions hors connexion n’autorisent pas l’envoi d’un trafic vers elles et ne présentent aucun risque du point de vue de la sécurité.
Recommandations de gestion de la posture de sécurité DevOps disponibles en préversion publique
19 octobre 2023
Les nouvelles recommandations de gestion de posture DevOps sont désormais disponibles en préversion publique pour tous les clients disposant d’un connecteur pour Azure DevOps ou GitHub. La gestion de la posture DevOps permet de réduire la surface d’attaque des environnements DevOps en découvrant les faiblesses des configurations de sécurité et des contrôles d’accès. En savoir plus sur la gestion de la posture DevOps.
Publication de CIS Azure Foundations Benchmark v2.0.0 dans le tableau de bord conformité réglementaire
18 octobre 2023
Microsoft Defender pour le cloud prend désormais en charge le dernier Benchmark CIS Azure Security Foundations - version 2.0.0 dans le tableau de bord de la conformité réglementaire, ainsi qu’une initiative de stratégie intégrée dans Azure Policy. La publication de la version 2.0.0 dans Microsoft Defender pour le cloud est le résultat d’une collaboration entre Microsoft, le Center for Internet Security (CIS) et les communautés d’utilisateurs. La version 2.0.0 élargit considérablement l’étendue de l’évaluation, qui inclut désormais plus de 90 stratégies Azure intégrées et succède aux versions antérieures 1.4.0 et 1.3.0 et 1.0 de Microsoft Defender pour le cloud et Azure Policy. Pour plus d’informations, vous pouvez consulter ce billet de blog.
Étapes suivantes
Pour connaître les modifications apportées à Defender pour le cloud, consultez Archiver les nouveautés de Defender pour le cloud.