Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page vous fournit des informations sur les fonctionnalités, les correctifs et les dépréciations antérieures à six mois. Pour les dernières mises à jour, lisez Nouveautés de Defender for Cloud ?.
Juin 2025
Defender pour les détections DNS de conteneur basées sur Helm (préversion)
Éléments inclus :
Prise en charge du déploiement avec Helm
Pour obtenir des instructions de configuration et plus d’informations, consultez Installer Defender pour le capteur Conteneurs à l’aide de Helm.
Détections de menaces DNS
Améliore l’efficacité de la mémoire, et réduit la consommation du processeur pour les déploiements de clusters volumineux.
Pour plus d’informations, consultez : Sensoriel pour Defender pour le journal des modifications des conteneurs.
Balises d’index facultatives pour stocker les résultats de l’analyse antivirus (Aperçu)
25 juin 2025
Defender pour l’analyse des programmes malveillants de stockage introduit des balises d’index facultatives pour les analyses à la fois sur chargement et à la demande. Avec cette nouvelle fonctionnalité, les utilisateurs peuvent choisir de publier des résultats sur les balises d’index de l’objet blob lorsqu’un objet blob est analysé (par défaut) ou pour ne pas utiliser de balises d’index. Les balises d’index peuvent être activées ou désactivées au niveau de l’abonnement et du compte de stockage via le portail Azure ou via l’API.
Détection d’API et posture de sécurité pour les API hébergées dans Function Apps et Logic Apps (préversion)
25 juin 2025
Defender for Cloud étend désormais ses fonctionnalités de découverte d’API et de sécurité pour inclure des API hébergées dans Azure Function Apps et Logic Apps, en plus de sa prise en charge existante des API publiées dans Gestion des API Azure.
Cette amélioration permet aux équipes de sécurité d’avoir une vue complète et mise à jour continue de la surface d’attaque de l’API de leur organisation. Les fonctionnalités clés sont les suivantes :
- Centralized API Inventory : découvrir et cataloguer automatiquement les API sur les services de Azure pris en charge.
- Évaluations des risques de sécurité : identifiez et hiérarchisez les risques, notamment l’identification des API dormantes qui peuvent justifier la suppression, ainsi que les API non chiffrées susceptibles d’exposer des données sensibles.
Ces fonctionnalités sont automatiquement disponibles à tous les Defender for Cloud DCSPM (Security Posture Management) clients qui ont activé l’extension API Security Posture Management.
Chronologie de déploiement : le déploiement de ces mises à jour commencera le 25 juin 2025 et devrait atteindre toutes les régions prises en charge dans un délai d’une semaine.
Surveillance de l’intégrité des fichiers sans agent (aperçu)
25 juin 2025
La surveillance de l’intégrité des fichiers sans agent (FIM) est désormais disponible en préversion. Cette fonctionnalité complète la solution FIM en disponibilité générale basée sur l’agent Microsoft Defender for Endpoint et introduit la prise en charge de la surveillance personnalisée des fichiers et des registres.
FiM sans agent permet aux organisations de surveiller les modifications de fichier et de Registre dans leur environnement sans déployer d’autres agents. Il offre une alternative légère et évolutive tout en conservant la compatibilité avec la solution existante basée sur l’agent.
Les fonctionnalités clés sont les suivantes :
- Surveillance personnalisée : répondez aux exigences de conformité et de sécurité spécifiques en définissant et en surveillant les chemins d’accès de fichiers personnalisés et les clés de Registre.
- Expérience unifiée : les événements de FIM sans agent et MDE sont stockés dans la même table d’espace de travail, avec des indicateurs sources clairs.
En savoir plus sur la surveillance de l’intégrité des fichiers et sur la façon d’activer la surveillance de l’intégrité des fichiers.
Analyse du code sans agent – GitHub prise en charge et couverture personnalisable désormais disponible (préversion)
18 juin 2025
Nous avons mis à jour la fonctionnalité d’analyse de code sans agent pour inclure des fonctionnalités clés qui étendent la couverture et le contrôle. Ces mises à jour incluent :
- Prise en charge des référentiels GitHub, en plus de Azure DevOps
- Sélection personnalisable du scanneur : sélectionnez les outils (par exemple, Bandit, Checkov, ESLint) à exécuter
- Configuration de l’étendue granulaire : inclure ou exclure des organisations, des projets ou des référentiels spécifiques
L’analyse du code sans agent fournit une analyse de sécurité évolutive pour le code et l’infrastructure en tant que code (IaC) sans nécessiter de modifications apportées aux pipelines CI/CD. Il aide les équipes de sécurité à détecter les vulnérabilités et les configurations incorrectes sans interrompre les flux de travail des développeurs.
En savoir plus sur l’analyse du code sans agent dans Azure DevOps ou GitHub.
mai 2025
| Date | Category | Update |
|---|---|---|
| 28 mai | GA | Availability for Customable on upload malware scan filters in Defender for Storage |
| Mai 5 | Preview | Utilisateur actif (préversion publique) |
| 1er mai | GA | disponibilité General pour Defender pour les services d’IA |
| 1er mai | GA | Microsoft Security Copilot est désormais disponible en disponibilité générale dans Defender for Cloud |
| 1er mai | GA | Tableau de bord de sécurité de la disponibilité générale et de l’IA |
| 1er mai | Modification à venir | CSPM Defender démarre la facturation des ressources serveur flexible Azure Database pour MySQL et Azure Database pour PostgreSQL serveur flexible |
Disponibilité générale pour les filtres d’analyse des programmes malveillants personnalisables dans Defender pour le stockage
28 mai 2025
L'analyse des programmes malveillants lors du téléversement prend maintenant en charge les filtres personnalisables. Les utilisateurs peuvent définir des règles d’exclusion pour les analyses de programmes malveillants lors du téléchargement en fonction des préfixes et des suffixes de chemin d’objet blob, ainsi que de la taille de l’objet blob. En excluant des chemins d’accès et des types d’objets blob spécifiques, tels que les journaux ou les fichiers temporaires, vous pouvez éviter les analyses inutiles et réduire les coûts.
Découvrez comment configurer des filtres d’analyse de programmes malveillants personnalisables lors du chargement.
Utilisateur actif (préversion publique)
La fonctionnalité Utilisateur actif permet aux administrateurs de sécurité d’identifier et d’affecter rapidement des recommandations aux utilisateurs les plus pertinents en fonction de l’activité récente du plan de contrôle. Pour chaque recommandation, jusqu’à trois utilisateurs actifs potentiels sont suggérés au niveau de la ressource, du groupe de ressources ou de l’abonnement. Les administrateurs peuvent sélectionner un utilisateur dans la liste, affecter la recommandation et définir une date d’échéance, ce qui déclenche une notification à l’utilisateur affecté. Cela simplifie les workflows de correction, réduit le temps d’investigation et renforce la posture globale de sécurité.
Disponibilité générale pour Defender pour les services d’IA
1er mai 2025
Defender for Cloud prend désormais en charge la protection du runtime pour Azure AI services (précédemment appelée protection contre les menaces pour les charges de travail IA).
La protection de Azure AI services couvre les menaces spécifiques aux services et applications IA, comme le jailbreak, les abus de portefeuille, l’exposition aux données, les modèles d’accès suspects, etc. Les détections utilisent des signaux provenant de Microsoft Threat Intelligence et de Azure boucliers d’invite d’IA, et appliquent le Machine Learning et l’IA pour sécuriser vos services IA.
En savoir plus sur Defender pour les services d’IA.
Microsoft Security Copilot est désormais disponible en disponibilité générale dans Defender for Cloud
1er mai 2025
Microsoft Security Copilot est désormais en disponibilité générale dans Defender for Cloud.
Security Copilot accélère la correction des risques pour les équipes de sécurité, ce qui permet aux administrateurs de résoudre plus rapidement et plus facilement les risques du cloud. Il fournit des résumés générés par l’IA, des actions de correction et des e-mails de délégation, guidant les utilisateurs à chaque étape du processus de réduction des risques.
Les administrateurs de sécurité peuvent rapidement résumer les recommandations, générer des scripts de correction et déléguer des tâches par e-mail aux propriétaires de ressources. Ces fonctionnalités réduisent le temps d’investigation, aident les équipes de sécurité à comprendre les risques dans le contexte et à identifier les ressources pour une correction rapide.
En savoir plus sur Microsoft Security Copilot dans Defender for Cloud.
Tableau de bord de sécurité de la disponibilité générale et de l’IA
1er mai 2025
Defender for Cloud améliore le tableau de bord de sécurité des données pour inclure AI Security avec le nouveau tableau de bord de sécurité des données et de l’IA en disponibilité générale. Le tableau de bord fournit une plateforme centralisée pour superviser et gérer les données et les ressources IA, ainsi que leurs risques et leur état de protection associés.
Les principaux avantages du tableau de bord de sécurité des données et de l’IA sont les suivants :
- Vue unifiée : obtenez une vue complète de toutes les ressources d’IA et de données organisationnelles.
- Insights sur les données : identifiez l’emplacement de stockage de vos données et les types de ressources qui les conservent.
- Couverture de protection : évaluez la couverture de protection de vos données et ressources IA.
- Problèmes critiques : déterminez les ressources qui nécessitent une attention immédiate en fonction des recommandations, des alertes et des chemins d’attaque à gravité élevée.
- Découverte de données sensibles : recherchez et résumez les ressources de données sensibles dans vos ressources cloud et IA.
- Charges de travail IA : découvrez les empreintes des applications IA, notamment les services, les conteneurs, les jeux de données et les modèles.
Découvrez plus d’informations sur le tableau de bord de sécurité Données et IA.
CSPM Defender démarre la facturation des ressources serveur flexible Azure Database pour MySQL et serveur flexible Azure Database pour PostgreSQL
1er mai 2025
Date estimée pour la modification : Juin 2025
À compter du 1er juin 2025, Microsoft CSPM Defender démarrera la facturation pour Azure Database pour MySQL serveur flexible et Azure Database pour PostgreSQL Serveur flexible dans votre abonnement où se trouvent vos ressources CSPM Defender est activé. Ces ressources sont déjà protégées par CSPM Defender et aucune action utilisateur n’est requise. Une fois la facturation démarrée, votre facture peut augmenter.
Pour plus d’informations, consultez la tarification du plan CSPM
Avril 2025
| Date | Category | Update |
|---|---|---|
| 29 avril | Preview | Gestion du positionnement de l'IA dans GCP Vertex AI (version préliminaire) |
| 29 avril | Preview | intégration Defender for Cloud à Mend.io (préversion) |
| 29 avril | Change | Updated GitHub Autorisations d’application |
| Avril 28 | Change | Update to Defender for SQL Servers on Machines plan |
| 27 avril | GA | Nouvelle limite par défaut pour l’analyse des programmes malveillants en charge dans Microsoft Defender pour le stockage |
| 24 avril | GA | Disponibilité générale de l’intégration native de gestion des postures de sécurité des API dans CSPM Defender Plan |
| 7 avril | Modification à venir | Enhancements pour Defender pour les alertes App Service |
Gestion de la configuration IA dans GCP Vertex AI (version préliminaire)
29 avril 2025
les fonctionnalités de gestion de la posture de sécurité de l'IA de Defender for Cloud prennent désormais en charge les charges de travail IA dans Google Cloud Platform (GCP) IA (préversion).
Les principales fonctionnalités de cette version sont notamment :
- Découverte d’applications IA moderne : découvrez et cataloguez automatiquement les composants d’application IA, les données et les artefacts IA déployés dans GCP Vertex AI.
- Renforcement de la posture de sécurité : détectez les configurations incorrectes et recevez des recommandations intégrées et des actions de correction pour améliorer la posture de sécurité de vos applications IA.
- Analyse du chemin d’attaque : identifiez et corrigez les risques à l’aide de l’analyse avancée du chemin d’attaque pour protéger vos charges de travail IA contre les menaces potentielles.
Ces fonctionnalités sont conçues pour fournir une visibilité complète, une détection incorrecte de la configuration et un renforcement des ressources d’IA, ce qui garantit une réduction des risques pour les charges de travail IA développées sur la plateforme GCP Vertex AI.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
intégration de Defender for Cloud à Mend.io (préversion)
29 avril 2025
Defender for Cloud est désormais intégré à Mend.io en préversion. Cette intégration améliore la sécurité des applications logicielles en identifiant et en atténuant les vulnérabilités dans les dépendances des partenaires. Cette intégration simplifie les processus de découverte et de correction, ce qui améliore la sécurité globale.
En savoir plus sur l’intégration Mend.io.
mise à jour des autorisations d’application GitHub
29 avril 2025
GitHub connecteurs dans Defender for Cloud sera mis à jour pour inclure des autorisations d’administrateur pour [Propriétés personnalisées]. Cette autorisation est utilisée pour fournir de nouvelles fonctionnalités de contextualisation et est étendue à la gestion du schéma de propriétés personnalisées. Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation GitHub, accédez aux applications DevOps Sécurité Microsoft dans Settings > GitHub Apps et acceptez la demande d’autorisations.
Dans un e-mail automatisé de GitHub Support, sélectionnez Review permission request to accept or reject this change.
Remarque : Les connecteurs existants continuent de fonctionner sans la nouvelle fonctionnalité si l’action ci-dessus n’est pas effectuée.
Mise à jour vers Defender pour les serveurs SQL sur le plan Machines
28 avril 2025
Le Defender pour SQL Server sur le plan des machines dans Microsoft Defender for Cloud protège les instances SQL Server hébergées sur des machines Azure, AWS, GCP et locales.
À compter d’aujourd’hui, nous déployons progressivement une nouvelle solution d’agent améliorée pour le plan. La solution basée sur l’agent élimine la nécessité de déployer l’agent Azure Monitor (AMA) et utilise plutôt l’infrastructure SQL existante. La solution est conçue pour faciliter l'intégration et améliorer l'étendue de la protection.
Actions requises du client :
Update Defender pour la configuration du plan SQL Servers sur machines : les clients qui ont activé Defender pour SQL Server sur le plan des machines avant aujourd’hui sont tenus de suivre ces instructions pour mettre à jour leur configuration, en suivant la version améliorée de l’agent.
Verify SQL Server état de protection des instances : avec une date de début estimée de mai 2025, les clients doivent vérifier l’état de protection de leurs instances de SQL Server dans leurs environnements. Découvrez comment troubleshoot des problèmes de déploiement Defender pour SQL sur la configuration des machines.
Note
Une fois la mise à niveau de l’agent effectuée, vous pouvez rencontrer une augmentation de facturation si d’autres instances de SQL Server sont protégées avec vos Defender activées pour les serveurs SQL Server sur les machines. Pour plus d’informations sur la facturation, consultez la page de tarification Defender for Cloud.
Nouvelle limite par défaut pour l’analyse des programmes malveillants en charge dans Microsoft Defender pour le stockage
27 avril 2025
La valeur limite par défaut pour l’analyse des programmes malveillants chargés a été mise à jour de 5 000 Go à 10 000 Go. Cette nouvelle limite s’applique aux scénarios suivants :
New Subscriptions : Subscriptions where Defender for Storage is enabled for First Time.
Re-enabled Subscriptions : Subscriptions where Defender for Storage was previously disabled and is re-enabled.
Lorsque Defender pour l’analyse des programmes malveillants de stockage est activé pour ces abonnements, la limite par défaut pour l’analyse des programmes malveillants en charge est définie sur 10 000 Go. Cette limite est réglable pour répondre à vos besoins spécifiques.
Pour plus d’informations, consultez la section sur l’analyse des programmes malveillants : facturation par Go, limitation mensuelle et configuration
Disponibilité générale de l’intégration native de la gestion des postures de sécurité des API dans CSPM Defender Plan
24 avril 2025
La gestion des postures de sécurité des API est désormais en disponibilité générale dans le cadre du plan de CSPM Defender. Cette version introduit un inventaire unifié de vos API, ainsi que des insights de posture, ce qui vous aide à identifier et hiérarchiser les risques d’API plus efficacement à partir de votre plan de CSPM Defender. Vous pouvez activer cette fonctionnalité via la page Paramètres d’environnement en activant l’extension Posture de sécurité de l’API.
Avec cette mise à jour, de nouveaux facteurs de risque ont été ajoutés, y compris les facteurs de risque pour les API non authentifiées (AllowsAnonymousAccess) et les API qui n’ont pas de chiffrement (UnncryptedAccess). En outre, les API publiées via Gestion des API Azure autorisent désormais le mappage à n’importe quelle machine virtuelle et Kubernetes Ingresses connectées, fournissant une visibilité de bout en bout sur l’exposition des API et la prise en charge de la correction des risques par le biais de l’analyse du chemin d’attaque.
Améliorations apportées aux Defender pour les alertes App Service
7 avril 2025
Le 30 avril 2025, Defender des fonctionnalités d’alerte App Service seront améliorées. Nous allons ajouter des alertes pour les exécutions de code suspectes et l’accès aux points de terminaison internes ou distants. En outre, nous avons amélioré la couverture et réduit le bruit des alertes pertinentes en développant notre logique et en supprimant les alertes qui causaient un bruit inutile. Dans le cadre de ce processus, l’alerte « Appel de thème WordPress suspect détecté » est déconseillée.
mars 2025
Protection améliorée des conteneurs avec évaluation des vulnérabilités et détection des logiciels malveillants pour les nœuds AKS est maintenant en disponibilité générale
30 mars 2025
Defender for Cloud fournit désormais l’évaluation des vulnérabilités et la détection des programmes malveillants pour les nœuds dans Azure Kubernetes Service (AKS) en disponibilité générale. Fournir une protection de sécurité pour ces nœuds Kubernetes permet aux clients de maintenir la sécurité et la conformité dans le service Kubernetes managé et de comprendre leur part dans la responsabilité de sécurité partagée qu’ils ont avec le fournisseur de cloud managé. Pour recevoir les nouvelles fonctionnalités, vous devez activer l’analyse Agentless pour les machines » dans le cadre de CSPM Defender, Defender pour conteneurs ou Defender pour les serveurs P2 sur votre abonnement.
Évaluation des vulnérabilités
Une nouvelle recommandation est désormais disponible dans Azure portail : les nœuds AKS doivent avoir des résultats de vulnérabilité résolus. À l’aide de cette recommandation, vous pouvez maintenant examiner et corriger les vulnérabilités et les cves trouvés sur Azure Kubernetes Service (AKS) nœuds.
Détection de programme malveillant
De nouvelles alertes de sécurité sont déclenchées lorsque la fonctionnalité de détection de logiciels malveillants sans agent détecte des logiciels malveillants dans les nœuds AKS. La détection de programmes malveillants sans agent utilise le moteur Microsoft Defender antivirus anti-programme malveillant pour analyser et détecter des fichiers malveillants. Lorsque des menaces sont détectées, les alertes de sécurité sont dirigées vers Defender for Cloud et Defender XDR, où elles peuvent être examinées et corrigées.
Note : La détection des programmes malveillants pour les nœuds AKS n’est disponible que pour Defender pour les conteneurs ou les Defender pour les environnements compatibles P2 serveurs.
Déploiement progressif Kubernetes (Préversion)
27 mars 2025
Nous présentons la fonctionnalité de déploiement contrôlé Kubernetes (préversion) au plan Defender pour conteneurs. Le déploiement contrôlé par Kubernetes est un mécanisme permettant d’améliorer la sécurité Kubernetes en contrôlant le déploiement d’images conteneur qui violent les stratégies de sécurité organisationnelles.
Cette fonctionnalité est basée sur deux nouvelles fonctionnalités :
- Artefact des découvertes de vulnérabilités : découvertes générées pour chaque image conteneur scannée dans le cadre de l'évaluation des vulnérabilités.
- Règles de sécurité : ajout de règles de sécurité pour alerter ou empêcher le déploiement d’images conteneur vulnérables dans des clusters Kubernetes.
Règles de sécurité personnalisées : les clients peuvent personnaliser les règles de sécurité pour différents environnements, pour les clusters Kubernetes au sein de leur organisation ou pour les espaces de noms, afin d’activer les contrôles de sécurité adaptés aux besoins spécifiques et aux exigences de conformité.
Actions configurables pour une règle de sécurité :
Audit : la tentative de déploiement d’une image conteneur vulnérable déclenche une action « Audit », générant une recommandation avec des détails de violation sur l’image conteneur.
Refuser : la tentative de déploiement d’une image conteneur vulnérable déclenche une action « Refuser » pour empêcher le déploiement de l’image conteneur, ce qui garantit que seules les images sécurisées et conformes sont déployées.
Sécurité de bout en bout : Définition de la protection contre le déploiement d’images conteneur vulnérables comme première règle de sécurité, nous introduisons le mécanisme de gestion sécurisé Kubernetes de bout en bout, ce qui garantit que les conteneurs vulnérables ne entrent pas dans l’environnement Kubernetes du client.
Pour plus d’informations sur cette fonctionnalité, consultez la vue d’ensemble de la solution de déploiement contrôlé.
Filtres d’analyse des programmes malveillants personnalisables dans Defender pour le stockage (préversion)
27 mars 2025
L'analyse des programmes malveillants lors du téléversement prend maintenant en charge les filtres personnalisables. Les utilisateurs peuvent définir des règles d’exclusion pour les analyses de programmes malveillants lors du téléchargement en fonction des préfixes et des suffixes de chemin d’objet blob, ainsi que de la taille de l’objet blob. En excluant des chemins d’accès et des types d’objets blob spécifiques, tels que les journaux ou les fichiers temporaires, vous pouvez éviter les analyses inutiles et réduire les coûts.
Découvrez comment configurer des filtres d’analyse de programmes malveillants personnalisables lors du chargement.
Disponibilité générale pour la prise en charge de l’analyse des machines virtuelles sans agent pour CMK dans Azure
26 mars 2025
L’analyse sans agent des machines virtuelles Azure avec des disques chiffrés CMK est désormais en disponibilité générale. Le plan CSPM Defender et le Defender pour les serveurs P2 prennent en charge l’analyse sans agent des machines virtuelles, désormais avec la prise en charge de CMK dans tous les clouds
Découvrez comment enable analyse sans agent des machines virtuelles Azure avec des disques chiffrés CMK.
Modification à venir des niveaux de gravité des recommandations
11 mars 2025
Nous améliorons les niveaux de gravité des recommandations pour améliorer l’évaluation et la hiérarchisation des risques. Dans le cadre de cette mise à jour, nous avons réévalué toutes les classifications de gravité et introduit un nouveau niveau — Critique. Auparavant, les recommandations étaient classées en trois niveaux : Faible, Moyen et Élevé. Avec cette mise à jour, il existe désormais quatre niveaux distincts : Faible, Moyen, Élevé et Critique, fournissant une évaluation des risques plus granulaire pour aider les clients à se concentrer sur les problèmes de sécurité les plus urgents.
Par conséquent, les clients peuvent remarquer des modifications dans la gravité des recommandations existantes. En outre, l’évaluation au niveau des risques, qui est disponible pour CSPM Defender clients uniquement, peut également être affectée, car la gravité des recommandations et le contexte des ressources sont pris en compte. Ces ajustements pourraient affecter le niveau de risque global.
Le changement prévu aura lieu le 25 mars 2025.
Disponibilité générale de la supervision de l’intégrité des fichiers (FIM) basée sur Microsoft Defender for Endpoint dans Azure Government
03 mars 2025
La surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint est désormais en disponibilité générale dans Azure Government (GCCH) dans le cadre de Defender pour le plan 2 des serveurs.
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Cette expérience FIM améliorée remplace celle qui est définie pour la dépréciation par la mise hors service de l’agent Log Analytics (MMA). L’expérience FIM sur MMA restera prise en charge en Azure Government jusqu’à la fin de mars 2023.
Avec cette version, une expérience in-product sera publiée pour vous permettre de migrer votre configuration FIM sur MMA vers la nouvelle fiM sur Defender pour la version du point de terminaison.
Pour plus d’informations sur l’activation de FIM sur Defender pour point de terminaison, consultez Surveillance de l’intégrité du fichier à l’aide de Microsoft Defender for Endpoint. Pour plus d’informations sur la désactivation des versions précédentes et l’utilisation de l’outil de migration, consultez Migrer la surveillance de l’intégrité des fichiers à partir des versions précédentes.
Important
La disponibilité de la surveillance de l'intégrité des fichiers dans Azure exploitée par 21Vianet et dans les clouds GCCM n'est actuellement pas planifiée pour être prise en charge.
Février 2025
| Date | Category | Update |
|---|---|---|
| 27 février | Change | Amélioration de l’affichage du nom de ressource AWS EC2 |
| 27 février | GA | Analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage |
| 27 février | GA | Defender pour l’analyse des programmes malveillants de stockage pour les objets blob pouvant atteindre 50 Go |
| 23 février | Preview | Évaluation des vulnérabilités sans agent et indépendante du registre de conteneurs pour les conteneurs en cours d'exécution AKS (préversion) |
| 23 février | Preview | Tableau de bord de sécurité Données et IA (Préversion) |
| 19 février | Preview | Calculateur de coûts MDC (aperçu) |
| 19 février | Preview | Couverture nouvelle et améliorée de 31 normes réglementaires multicloud |
Amélioration de l’affichage du nom de ressource AWS EC2
27 février 2025
Date estimée pour la modification : Mars 2025
Nous améliorons la façon dont les noms de ressources sont affichés pour les instances AWS EC2 dans notre plateforme. Si une instance EC2 a une balise « name » définie, le champ Nom de la ressource affiche désormais la valeur de cette balise. Si aucune balise « name » n’est présente, le champ Nom de la ressource continue d’afficher l’ID d’instance comme précédemment. L’ID de ressource sera toujours disponible dans le champ ID de ressource pour référence.
L’utilisation de la balise EC2 « name » vous permet d’identifier facilement vos ressources avec des noms personnalisés et explicites au lieu des ID. Cela rend plus rapide la localisation et la gestion d’instances spécifiques, ce qui réduit le temps et l’effort consacré à la recherche ou au référencement croisé des détails de l’instance.
Analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage
27 février 2025
L’analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage, désormais en disponibilité générale, permet d’analyser les objets blob existants dans stockage Azure comptes chaque fois que nécessaire. Les analyses peuvent être lancées à partir de l’interface utilisateur du portail Azure ou via l’API REST, prenant en charge l’automatisation via Logic Apps, les playbooks Automation et les scripts PowerShell. Cette fonctionnalité utilise Microsoft Defender Antivirus avec les dernières définitions de programmes malveillants pour chaque analyse et fournit une estimation initiale des coûts dans le portail Azure avant l’analyse.
Cas d’usage :
- Réponse aux incidents : analysez des comptes de stockage spécifiques après la détection d’activités suspectes.
- base de référence Security : analysez toutes les données stockées lors de la première activation de Defender pour le stockage.
- Conformité : définissez l’automatisation pour planifier des analyses qui permettent de répondre aux normes réglementaires et de protection des données.
Pour plus d’informations, consultez Analyse à la demande des programmes malveillants.
Defender pour l’analyse des programmes malveillants de stockage pour les objets blob jusqu’à 50 Go
27 février 2025
Defender pour l’analyse des programmes malveillants de stockage prend désormais en charge les objets blob de taille allant jusqu’à 50 Go (auparavant limité à 2 Go).
Notez que pour les comptes de stockage où des blobs volumineux sont chargés, l’augmentation de la limite de taille des blobs provoquera des frais mensuels plus élevés.
Pour éviter des frais élevés inattendus, vous pouvez définir un plafond approprié pour le total des Go analysés par mois. Pour plus d’informations, consultez Contrôle des coûts de l’analyse des programmes malveillants lors du chargement.
Évaluation des vulnérabilités sans agent indépendantes du registre de conteneurs pour les conteneurs d’exécution AKS (Préversion)
23 février 2025
Defender pour les conteneurs et les plans CSPM (Security Posture Management) de Defender for Cloud, incluent désormais l’évaluation des vulnérabilités sans agent indépendant du registre de conteneurs pour les conteneurs d’exécution AKS. Cette amélioration étend la couverture de l’évaluation des vulnérabilités pour inclure l’exécution de conteneurs avec des images à partir de n’importe quel registre (non limité aux registres pris en charge), en plus de l’analyse des modules complémentaires Kubernetes et des outils tiers s’exécutant dans vos clusters AKS. Pour activer cette fonctionnalité, assurez-vous que Analyse automatique sans défaut est activée pour votre abonnement dans les paramètres d’environnement Defender for Cloud.
Tableau de bord de sécurité des données et de l'IA (version préliminaire)
23 février 2025
Defender for Cloud améliore le tableau de bord de sécurité des données pour inclure AI Security avec le nouveau tableau de bord de sécurité des données et de la sécurité IA en préversion. Le tableau de bord fournit une plateforme centralisée pour superviser et gérer les données et les ressources IA, ainsi que leurs risques et leur état de protection associés.
Les avantages clés du tableau de bord de sécurité Données et IA incluent :
- Vue unifiée : obtenez une vue complète de toutes les ressources d’IA et de données organisationnelles.
- Insights sur les données : identifiez l’emplacement de stockage de vos données et les types de ressources qui les conservent.
- Couverture de protection : évaluez la couverture de protection de vos données et ressources IA.
- Problèmes critiques : déterminez les ressources qui nécessitent une attention immédiate en fonction des recommandations, des alertes et des chemins d’attaque à gravité élevée.
- Découverte de données sensibles : recherchez et résumez les ressources de données sensibles dans vos ressources cloud et IA.
- Charges de travail IA : découvrez les empreintes des applications IA, notamment les services, les conteneurs, les jeux de données et les modèles.
Découvrez plus d’informations sur le tableau de bord de sécurité Données et IA.
Calculatrice de coûts MDC (Préversion)
19 février 2025
Nous sommes heureux d’introduire notre nouvelle calculatrice de coûts MDC pour vous aider à estimer facilement les coûts associés à la protection de vos environnements cloud. Cet outil est adapté pour vous fournir une compréhension claire et précise de vos dépenses, ce qui vous permet de planifier et de budgétiser efficacement.
Pourquoi utiliser la calculatrice de coûts ?
Notre calculatrice de coûts simplifie le processus d’estimation des coûts en vous permettant de définir l’étendue de vos besoins de protection. Vous sélectionnez les environnements et les plans que vous souhaitez activer, et la calculatrice remplit automatiquement les ressources facturables pour chaque plan, y compris les remises applicables. Vous avez une vue complète de vos coûts potentiels sans surprise.
Caractéristiques principales :
Définition de l’étendue : Sélectionnez les plans et les environnements qui vous intéressent. La calculatrice effectue un processus de découverte pour remplir automatiquement le nombre d’unités facturables pour chaque plan par environnement.
Ajustements automatiques et manuels : l’outil permet à la fois la collecte automatique de données et les ajustements manuels. Vous pouvez modifier la quantité unitaire et les niveaux de remise pour voir comment les modifications affectent le coût global.
Estimation complète des coûts : la calculatrice fournit une estimation pour chaque plan et un rapport de coût total. Vous obtenez une répartition détaillée des coûts, ce qui facilite la compréhension et la gestion de vos dépenses.
Prise en charge multicloud : Notre solution fonctionne pour tous les clouds pris en charge, ce qui vous permet d’obtenir des estimations de coûts précises, quel que soit votre fournisseur de cloud.
Exporter et partager : une fois que vous avez votre estimation des coûts, vous pouvez facilement l’exporter et la partager pour la planification budgétaire et les approbations.
Couverture nouvelle et améliorée de 31 normes réglementaires multicloud
19 février 2025
Nous sommes ravis d’annoncer la prise en charge améliorée et étendue de plus de 31 infrastructures réglementaires et de sécurité dans Defender for Cloud dans Azure, AWS & GCP. Cette amélioration simplifie le chemin d’obtention et de maintien de la conformité, réduit le risque de violations de données et permet d’éviter les amendes et les dommages en matière de réputation.
Les cadres nouveaux et améliorés sont les suivants :
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Règlement général sur la protection des données de l’UE (RGPD) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Contrôles CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Cadre de Contrôles de Sécurité des Clients SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certification du Modèle de Maturité en Cybersécurité (CMMC) Niveau 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Fédéral PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matrice des contrôles cloud CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Politique de Sécurité des Services d'Information du Système de Justice Pénale v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Loi générale brésilienne sur la protection des données (LGPD) de 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Loi Sarbanes Oxley (SOX) de 2022 | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Cela rejoint les versions récentes de CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 et CIS Amazon Elastic Kubernetes Service (EKS) v.15 il y a quelques mois.
Pour plus d’informations sur Defender for Cloud offre de conformité réglementaire, Learn plus>
Janvier 2025
| Date | Category | Update |
|---|---|---|
| 30 janvier | GA | Mettre à jour pour analyser les critères des registres de conteneurs |
| 29 janvier | Change | Améliorations de l'évaluation des vulnérabilités des conteneurs grâce à MDVM |
| 27 janvier | GA | Autorisations ajoutées au connecteur GCP pour prendre en charge les plateformes IA |
| 20 janvier | Change | Améliorations apportées à la recommandation des bases de référence Linux avec GC |
Mettre à jour pour analyser les critères des registres de conteneurs
30 janvier 2025
Nous mettons à jour l’un des critères d’analyse des images de Registre dans la recommandation en préversion pour les images de Registre dans tous les clouds et registres externes (Azure, AWS, GCP, Docker, JFrog).
Ce qui a changé.
Actuellement, nous réanalysons les images pendant 90 jours après qu’elles ont été envoyées à un registre. Ceci sera maintenant modifié pour scanner les 30 derniers jours.
Note
Aucune modification n’est apportée aux recommandations associées en disponibilité générale pour l’évaluation des vulnérabilités (VA) des conteneurs sur les images de registre.
Améliorations apportées à l’analyse de l’évaluation des vulnérabilités des conteneurs, avec MDVM
29 janvier 2025
Nous sommes heureux d’annoncer des améliorations apportées à notre couverture d’analyse des vulnérabilités des conteneurs avec les mises à jour suivantes :
Langages de programmation supplémentaires : prend désormais en charge PHP, Ruby et Rust.
Extended Java Language Support : inclut l’analyse des jaRs explosés.
Utilisation améliorée de la mémoire : performances optimisées lors de la lecture de fichiers d’image conteneur volumineux.
Autorisations ajoutées au connecteur GCP pour prendre en charge les plateformes IA
27 janvier 2025
Le connecteur GCP dispose désormais d’autorisations supplémentaires pour prendre en charge la plateforme IA GCP (Vertex AI) :
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Améliorations apportées à la recommandation des lignes de base Linux avec GC
20 janvier 2025
Nous améliorons la fonctionnalité Baselines Linux, alimentée par GC, afin d'améliorer sa précision et sa couverture. En février, vous remarquerez peut-être des modifications telles que les noms de règles mis à jour et des règles supplémentaires. Ces améliorations sont destinées à rendre l’évaluation des lignes de base plus précise et à jour. Pour plus d’informations sur les modifications, reportez-vous au blog pertinent.
Certaines des modifications peuvent inclure des modifications supplémentaires en « préversion publique ». Cette mise à jour est bénéfique pour vous et nous voulons vous tenir informé. Si vous préférez, vous pouvez refuser cette recommandation en l’exemptant de votre ressource ou en supprimant l’extension GC.
Décembre 2024
| Date | Category | Update |
|---|---|---|
| 31 décembre | GA | Modifications apportées à l’intervalle d’analyse des connecteurs cloud existants |
| 22 décembre | GA | Microsoft Defender for Endpoint mise à jour de version du client est requise pour recevoir l’expérience FIM (File Integrity Monitoring) |
| 17 décembre | Preview | Integrate Defender for Cloud CLI avec les outils CI/CD populaires |
| 10 décembre | GA | expérience de configuration Defender for Cloud |
| 10 décembre | GA | options d’intervalle Revised pour Defender for Cloud analyse d’un environnement cloud |
| 17 décembre | GA | les fonctionnalités d’analyse Sensitivity incluent désormais des partages de fichiers Azure |
Modifications apportées à l’intervalle d’analyse des connecteurs cloud existants
31 décembre 2024
Plus tôt ce mois-ci, une update a été publiée concernant les options d’intervalle de Defender for Cloud révisées pour l’analyse d’un environnement cloud. Le paramètre d'intervalle d'analyse détermine la fréquence à laquelle les services de découverte de Defender for Cloud analysent vos ressources cloud. Cette modification garantit un processus d’analyse plus équilibré, l’optimisation des performances, et la réduction du risque d’atteinte des limites d’API.
Les paramètres d'intervalle d'analyse des connecteurs cloud AWS et GCP existants sont mis à jour pour garantir la capacité de Defender for Cloud à analyser vos environnements cloud.
Les ajustements suivants seront effectués :
- Les intervalles actuellement définis entre une et trois heures seront mis à jour et définis sur quatre heures.
- Les intervalles définis à cinq heures seront mis à jour à six heures.
- Les intervalles définis entre sept et 11 heures seront mis à jour et définis sur 12 heures.
- Les intervalles de 13 heures ou plus seront mis à jour à 24 heures.
Si vous préférez un intervalle d’analyse différent, vous pouvez ajuster les connecteurs cloud à l’aide de la page des paramètres d’environnement. Ces modifications seront appliquées automatiquement à tous les clients au début du mois de février 2025, et aucune autre action n’est nécessaire.
Les fonctionnalités d’analyse de confidentialité incluent désormais des partages de fichiers Azure
17 décembre 2024
Defender for Cloud fonctionnalités d'analyse de confidentialité cspM (Security Posture Management) de Defender for Cloud incluent désormais des partages de fichiers Azure en disponibilité générale en plus des conteneurs d'objets blob.
Avant cette mise à jour, l’activation du plan de CSPM Defender sur un abonnement analyse automatiquement les conteneurs d’objets blob au sein des comptes de stockage pour les données sensibles. Avec cette mise à jour, Defender pour la fonctionnalité d'analyse de confidentialité de CSPM inclut désormais des partages de fichiers au sein de ces comptes de stockage. Cette amélioration affine l’évaluation des risques et la protection des comptes de stockage sensibles et fournit ainsi une analyse plus complète des risques potentiels.
En savoir plus sur l’analyse de confidentialité.
Intégrer Defender for Cloud CLI avec les outils CI/CD populaires
Defender for Cloud’intégration de l’analyse CLI avec les outils CI/CD populaires dans Microsoft Defender for Cloud est désormais disponible en préversion publique. L’interface CLI peut désormais être incorporée dans des pipelines CI/CD pour analyser et identifier les vulnérabilités de sécurité dans le code source conteneurisé. Cette fonctionnalité aide les équipes de développement à détecter et à résoudre les vulnérabilités du code pendant l’exécution du pipeline. Il nécessite l’authentification pour Microsoft Defender for Cloud et les modifications apportées au script de pipeline. Les résultats de l’analyse seront chargés dans Microsoft Defender for Cloud, ce qui permet aux équipes de sécurité de les afficher et de les mettre en corrélation avec des conteneurs dans le registre de conteneurs. Cette solution fournit des insights continus et automatisés pour accélérer la détection et la réponse des risques, ce qui garantit la sécurité sans perturber les flux de travail.
Cas d’usage :
- Analyse du pipeline dans les outils CI/CD : surveillez en toute sécurité tous les pipelines qui appellent l’interface CLI.
- Détection précoce des vulnérabilités : les résultats sont publiés dans le pipeline et envoyés à Microsoft Defender for Cloud.
- Analyses de sécurité continues : maintenez la visibilité et réagissez rapidement dans les cycles de développement sans compromettre la productivité.
Pour plus d’informations, consultez Integrate Defender for Cloud CLI avec les outils CI/CD populaires.
expérience d’installation de Defender for Cloud
10 décembre 2024
L’expérience d’installation vous permet de démarrer vos étapes initiales avec Microsoft Defender for Cloud en connectant des environnements cloud tels que l’infrastructure cloud, les référentiels de code et les registres de conteneurs externes.
Vous êtes accompagné tout au long de l’installation de votre environnement cloud pour protéger vos ressources à l’aide de plans de sécurité avancés, effectuer sans effort des actions rapides pour augmenter la couverture de sécurité à grande échelle, être conscient des problèmes de connectivité et informé des nouvelles fonctionnalités de sécurité. Vous pouvez accéder à la nouvelle expérience à partir du menu Defender for Cloud en sélectionnant Setup.
Options d’intervalle révisées pour Defender for Cloud analyse d’un environnement cloud
10 décembre 2024
Les options d’intervalle de balayage pour les connecteurs de cloud associés à AWS, GCP, Jfrog et DockerHub ont été révisées. La fonctionnalité d’intervalle d’analyse vous permet de contrôler la fréquence à laquelle le Defender for Cloud lance une analyse de l’environnement cloud. Vous pouvez définir l’intervalle de balayage sur 4, 6, 12 ou 24 heures lors de l’ajout ou de l’édition d’un connecteur de cloud. L’intervalle de balayage par défaut pour les nouveaux connecteurs continue à être de 12 heures.
Microsoft Defender for Endpoint mise à jour de version du client est requise pour recevoir l’expérience FIM (File Integrity Monitoring)
Juin 2025
À compter de juin 2025, la surveillance de l’intégrité des fichiers (FIM) nécessite un Defender minimum pour la version du client MDE (Endpoint). Vérifiez que vous disposez au minimum des versions clientes suivantes pour continuer à bénéficier de l’expérience FIM dans Microsoft Defender for Cloud : pour Windows : 10.8760, pour Linux : 30.124082. En savoir plus
Novembre 2024
Les fonctionnalités d’analyse de confidentialité incluent désormais Azure partages de fichiers (préversion)
28 novembre 2024
Les fonctionnalités d'analyse de confidentialité de Defender for Cloud security Posture Management (CSPM) incluent désormais Azure partages de fichiers (en préversion) en plus des conteneurs d'objets blob.
Avant cette mise à jour, l’activation du plan de CSPM Defender sur un abonnement analyse automatiquement les conteneurs d’objets blob au sein des comptes de stockage pour les données sensibles. Avec cette mise à jour, Defender pour la fonctionnalité d'analyse de confidentialité de CSPM inclut désormais des partages de fichiers au sein de ces comptes de stockage. Cette amélioration affine l’évaluation des risques et la protection des comptes de stockage sensibles et fournit ainsi une analyse plus complète des risques potentiels.
En savoir plus sur l’analyse de confidentialité.
Modifications du consentement de l’étiquette de confidentialité
26 novembre 2024
Vous n’avez plus besoin de sélectionner le bouton de consentement dédié sous la section « Information Protection » dans la page « Étiquettes », pour tirer parti des types d’informations personnalisés et des étiquettes de confidentialité configurées dans le portail Microsoft 365 Defender ou portail Microsoft Purview.
Avec cette modification, tous les types d’informations personnalisés et étiquettes de confidentialité sont automatiquement importés dans le portail Microsoft Defender for Cloud.
En lire plus sur Personnalisation des paramètres de confidentialité des données.
Modifications apportées aux libellés de sensibilité
26 novembre 2024
Jusqu’à récemment, Defender for Cloud importé toutes les étiquettes de confidentialité à partir du portail Microsoft 365 Defender qui répondent aux deux conditions suivantes :
- Étiquettes de confidentialité dont l’étendue est définie sur « Items -> Files » ou « Items -> Emails », sous la section « Définir l’étendue de votre étiquette » dans la section Information Protection.
- L’étiquette de sensibilité a une règle d’étiquetage automatique configurée.
Depuis le 26 novembre 2024, les noms des étendues d’étiquette de confidentialité dans l’interface utilisateur ont été mis à jour dans le portail Microsoft 365 Defender et dans le portail Microsoft Purview. Defender for Cloud importera désormais uniquement des étiquettes de confidentialité avec l’étendue « Fichiers et autres ressources de données » appliquée. Defender for Cloud n’importe plus d’étiquettes avec l’étendue « E-mails » appliquée à ces étiquettes.
Note
Les étiquettes qui ont été configurées avec « Éléments -> Fichiers » avant que cette modification ne soit automatiquement migrée vers la nouvelle étendue « Fichiers et autres ressources de données ».
Découvrez comment configurer les étiquettes de confidentialité.
Defender pour l’analyse des programmes malveillants de stockage pour les objets blob jusqu’à 50 Go (préversion)
25 novembre 2024
Date estimée du changement : 1er décembre 2024
À compter du 1er décembre 2024, Defender pour l’analyse des programmes malveillants de stockage supporter les objets blob jusqu’à 50 Go de taille (auparavant limité à 2 Go).
Notez que pour les comptes de stockage où des blobs volumineux sont chargés, l’augmentation de la limite de taille des blobs provoquera des frais mensuels plus élevés.
Pour éviter des frais élevés inattendus, vous pouvez définir un plafond approprié sur le total de Go analysés par mois. Pour plus d’informations, consultez Contrôle des coûts de l’analyse des programmes malveillants lors du chargement.
Versions actualisées des normes CIS pour les environnements Kubernetes managés et nouvelles recommandations
19 novembre 2024
le tableau de bord de conformité réglementaire de Defender for Cloud offre désormais des versions mises à jour des normes CIS (Center for Internet Security) pour évaluer la posture de sécurité des environnements Kubernetes managés.
Depuis le tableau de bord, vous pouvez attribuer les normes suivantes à vos ressources Kubernetes AWS/EKS/GKE :
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Pour garantir la meilleure profondeur possible de couverture pour ces normes, nous avons enrichi notre couverture en publiant également 79 nouvelles recommandations centrées sur Kubernetes.
Pour utiliser ces nouvelles recommandations, vous pouvez soit assigner les normes énumérées ci-dessus, soit créer une norme personnalisée et y inclure une ou plusieurs des nouvelles évaluations.
Avant-première publique des événements de processus du cloud Kubernetes en chasse avancée
Nous annonçons la version préliminaire des événements de processus du cloud Kubernetes en repérage avancé. Cette intégration puissante fournit des informations détaillées sur les événements de processus Kubernetes se produisant dans vos environnements multicloud. Vous pouvez l'utiliser pour découvrir les menaces qui peuvent être observées à travers les détails des processus, tels que les processus malveillants invoqués dans votre infrastructure en cloud. Pour plus d’informations, consultez CloudProcessEvents.
Dépréciation de la fonctionnalité BYOL (apportez votre propre licence) dans la gestion des vulnérabilités
19 novembre 2024
Date estimée de la modification :
3 février 2025 : la fonctionnalité ne sera plus disponible pour l’intégration de nouvelles machines et de nouveaux abonnements.
1er mai 2025 : la fonctionnalité sera totalement déconseillée et ne sera plus disponible.
Dans le cadre de nos efforts d'amélioration de l'expérience de sécurité Defender for Cloud, nous rationalisons nos solutions d'évaluation des vulnérabilités. Nous supprimons la fonctionnalité « Bring Your Own License » dans Defender for Cloud. Vous allez maintenant utiliser Sécurité Microsoft connecteurs Exposure Management pour une solution plus transparente, intégrée et complète.
Nous vous recommandons de passer à la nouvelle solution de connecteur dans Sécurité Microsoft Gestion de l’exposition. Notre équipe est là pour vous accompagner dans cette transition.
Pour plus d’informations sur l’utilisation des connecteurs, consultez Overview de la connexion de sources de données dans Sécurité Microsoft Exposure Management - Sécurité Microsoft Exposure Management.
Analyse du code sans agent dans Microsoft Defender for Cloud (préversion)
19 novembre 2024
L’analyse du code sans agent dans Microsoft Defender for Cloud est désormais disponible en préversion publique. Il offre une sécurité rapide et évolutive pour tous les référentiels dans Azure DevOps organisations avec un connecteur. Cette solution permet aux équipes de sécurité de trouver et de corriger les vulnérabilités dans les configurations de code et d’infrastructure en tant que code (IaC) dans les environnements Azure DevOps. Elle ne nécessite aucun agent, aucune modification des pipelines et aucune interruption des workflows des développeurs, ce qui simplifie la configuration et la maintenance. Elle fonctionne indépendamment des pipelines d’intégration continue et de déploiement continu (CI/CD). La solution fournit des insights continus et automatisés pour accélérer la détection de risque et la réponse, assurant ainsi la sécurité sans interrompre les workflows.
Cas d’usage :
- Analyse à l’échelle de l’organisation : Vous pouvez surveiller en toute sécurité tous les référentiels dans Azure DevOps organisations avec un seul connecteur.
- Détection anticipée des vulnérabilités : trouvez rapidement les risques liés au code et à l’IaC pour une gestion proactive des risques.
- Insights continus sur la sécurité : maintenez la visibilité sur l’ensemble des cycles de développement et répondez rapidement sans affecter la productivité.
Pour plus d’informations, consultez Analyse du code sans échec dans Microsoft Defender for Cloud.
Analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage (préversion)
19 novembre 2024
L’analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage, désormais en préversion publique, permet d’analyser les objets blob existants dans stockage Azure comptes chaque fois que nécessaire. Les analyses peuvent être lancées à partir de l’interface utilisateur du portail Azure ou via l’API REST, prenant en charge l’automatisation via Logic Apps, les playbooks Automation et les scripts PowerShell. Cette fonctionnalité utilise Microsoft Defender Antivirus avec les dernières définitions de programmes malveillants pour chaque analyse et fournit une estimation initiale des coûts dans le portail Azure avant l’analyse.
Cas d’usage :
- Réponse aux incidents : analysez des comptes de stockage spécifiques après la détection d’activités suspectes.
- base de référence Security : analysez toutes les données stockées lors de la première activation de Defender pour le stockage.
- Conformité : définissez l’automatisation pour planifier des analyses qui permettent de répondre aux normes réglementaires et de protection des données.
Pour plus d’informations, consultez Analyse à la demande des programmes malveillants.
Prise en charge du registre de conteneurs JFrog Artifactory par Defender pour conteneurs (préversion)
18 novembre 2024
Cette fonctionnalité étend Microsoft Defender pour la couverture conteneurs des registres externes afin d’inclure JFrog Artifactory. Vos images conteneur JFrog Artifactory sont analysées à l’aide de Microsoft Defender Vulnerability Management pour identifier les menaces de sécurité et atténuer les risques de sécurité potentiels.
La gestion de la posture de sécurité de l’IA est désormais en disponibilité générale (GA)
18 novembre 2024
les fonctionnalités de gestion de la posture de sécurité de l'IA de Defender for Cloud sont désormais en disponibilité générale.
Defender for Cloud réduit les risques liés aux charges de travail IA dans le cloud en effectuant les opérations suivantes :
À la découverte de la liste de matériaux de l'IA générative (Bill of Materials, BOM), qui inclut des composants d'application, des données et des éléments d'IA, depuis le code jusqu'au cloud.
Renforcement de la posture de sécurité des applications IA générative avec des recommandations intégrées et en explorant et en corrigeant les risques de sécurité.
Utilisation de l’analyse du chemin d’attaque pour identifier et corriger les risques.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
Protection des ressources critiques dans Microsoft Defender for Cloud
18 novembre 2024
Aujourd'hui, nous sommes heureux d'annoncer la disponibilité générale de la protection des ressources critiques dans Microsoft Defender for Cloud. Cette fonctionnalité permet aux administrateurs de sécurité d’étiqueter les ressources « couronne bijou » les plus critiques pour leurs organisations, ce qui permet aux Defender for Cloud de leur fournir le niveau de protection le plus élevé et de hiérarchiser les problèmes de sécurité sur ces ressources au-dessus de tous les autres. En savoir plus sur la protection des ressources critiques.
Parallèlement à la version de disponibilité générale, nous développons également la prise en charge de l’étiquetage des ressources d’identité Kubernetes et non humaines.
Protection améliorée des ressources critiques pour les conteneurs
18 novembre 2024
La protection des ressources critiques est étendue pour prendre en charge des cas d’usage supplémentaires pour les conteneurs.
Les utilisateurs peuvent désormais créer des règles personnalisées qui marquent les actifs gérés par Kubernetes (charges de travail, conteneurs, etc.) comme critiques en fonction de l'espace de noms Kubernetes de l'actif et/ou de l'étiquette Kubernetes de l'actif.
Comme pour d’autres cas d’utilisation de la protection des ressources critiques, Defender for Cloud prend en compte la criticité des ressources pour la hiérarchisation des risques, l’analyse des chemins d’attaque et l’Explorateur de sécurité.
Améliorations apportées à la détection et à la réponse aux menaces de conteneur
18 novembre 2024
Defender for Cloud fournit une suite de nouvelles fonctionnalités permettant aux équipes SOC de acténuer les menaces de conteneur dans des environnements natifs cloud avec une vitesse et une précision accrues. Ces améliorations incluent Threat Analytics, goHunt, Microsoft Security Copilot réponse guidée et les actions de réponse native cloud pour les pods Kubernetes.
Présentation des actions de réponse conçues pour le cloud pour les pods Kubernetes (version préliminaire)
Defender for Cloud propose désormais des actions de réponse multicloud pour les pods Kubernetes, accessibles exclusivement à partir du portail Defender XDR. Ces fonctionnalités améliorent la réponse aux incidents pour les clusters AKS, EKS et GKE.
Les nouvelles actions de réponse sont les suivantes :
Isolation réseau : bloque instantanément tout le trafic vers un pod, empêchant le déplacement latéral et l’exfiltration des données. Nécessite la configuration d’une stratégie réseau sur votre cluster Kubernetes.
Arrêt du pod : arrêt rapide des pods suspects, arrêt de l’activité malveillante sans perturber l’application plus large.
Ces actions permettent aux équipes SOC de contenir efficacement les menaces dans les environnements cloud.
Rapport Threat Analytics pour les conteneurs
Nous introduisons un rapport dédié Threat Analytics, conçu pour fournir une visibilité complète sur les menaces ciblant les environnements conteneurisés. Ce rapport fournit aux équipes SOC les informations nécessaires pour détecter et répondre aux derniers modèles d'attaques sur les clusters AKS, EKS et GKE.
Points forts :
- Analyse détaillée des principales menaces et des techniques d'attaque associées dans les environnements Kubernetes.
- Des suggestions concrètes pour renforcer votre posture de sécurité native Cloud et atténuer les risques émergents.
GoHunt pour les pods Kubernetes & ressources Azure
GoHunt étend désormais ses fonctionnalités de chasse pour inclure des pods Kubernetes et des ressources Azure, dans le portail Defender XDR. Cette fonctionnalité améliore la chasse aux menaces proactive, permettant aux analystes SOC de mener des enquêtes approfondies sur les charges de travail natives du cloud.
Fonctionnalités clés :
- Fonctionnalités de requête avancées pour détecter les anomalies dans les pods Kubernetes et les ressources Azure, offrant un contexte plus riche pour l’analyse des menaces.
- Intégration transparente avec les entités Kubernetes pour une chasse aux menaces et une investigation efficaces.
Security Copilot réponse guidée pour les pods Kubernetes
Présentation de la réponse guidée pour les pods Kubernetes, une fonctionnalité alimentée par Security Copilot. Cette nouvelle fonctionnalité fournit en temps réel des conseils étape par étape, aidant les équipes SOC à répondre rapidement et efficacement aux menaces liées aux conteneurs.
Principaux avantages :
- Des playbooks de réponse contextuelle adaptés aux scénarios d'attaque Kubernetes courants.
- Expert, support en temps réel de Security Copilot, combler l’écart des connaissances et accélérer la résolution.
Intégration native de la gestion des postures de sécurité des API dans CSPM Defender plan désormais en préversion publique
15 novembre 2024
Les fonctionnalités de gestion de la posture de sécurité des API (préversion) sont désormais incluses dans le plan CSPM Defender et peuvent être activées via des extensions dans le plan sous la page des paramètres d’environnement. Pour plus d’informations, consultez Améliorer la posture de sécurité de votre API (préversion).
Protection améliorée des conteneurs avec évaluation des vulnérabilités et détection des logiciels malveillants pour les nœuds AKS (préversion)
13 novembre 2024
Defender for Cloud fournit désormais l’évaluation des vulnérabilités et la détection des programmes malveillants pour les nœuds dans Azure Kubernetes Service (AKS), et fournit des clartés aux clients de leur part dans la responsabilité de sécurité partagée qu’ils ont avec le fournisseur de cloud managé.
La protection de ces nœuds Kubernetes permet aux clients de maintenir le niveau de sécurité et de conformité à l’échelle du service Kubernetes managé.
Pour recevoir les nouvelles fonctionnalités, vous devez activer l’option agentless pour les machines dans le CSPM Defender, Defender pour les conteneurs ou Defender pour les serveurs P2 dans votre abonnement.
Évaluation des vulnérabilités
Une nouvelle recommandation est désormais disponible dans Azure portail : AKS nodes should have vulnerability findings resolved. Grâce à cette recommandation, vous pouvez maintenant examiner et corriger les vulnérabilités et les cves trouvés sur les nœuds Azure Kubernetes Service (AKS).
Détection de programme malveillant
De nouvelles alertes de sécurité sont déclenchées lorsque la fonctionnalité de détection de logiciels malveillants sans agent détecte des logiciels malveillants dans les nœuds AKS.
La détection de programmes malveillants sans agent utilise le moteur Microsoft Defender antivirus anti-programme malveillant pour analyser et détecter des fichiers malveillants. Lorsque des menaces sont détectées, les alertes de sécurité sont dirigées vers Defender for Cloud et Defender XDR, où elles peuvent être examinées et corrigées.
Important
La détection des programmes malveillants pour les nœuds AKS n’est disponible que pour Defender pour les conteneurs ou les Defender pour les environnements compatibles P2 serveurs.
Documentation sur les alertes et l’outil de simulation améliorés Kubernetes (K8s)
7 novembre 2024
Fonctionnalités clés
- Documentation sur les alertes basées sur des scénarios : les alertes K8s sont désormais documentées en fonction de scénarios réels, fournissant des conseils plus clairs sur les menaces potentielles et les actions recommandées.
- intégration de Microsoft Defender for Endpoint (MDE) : les alertes sont enrichies avec des informations supplémentaires sur le contexte et les menaces de MDE, ce qui vous permet de répondre efficacement.
- Nouvel outil de simulation : un outil de simulation puissant est disponible pour tester l’état de la sécurité en simulant divers scénarios d’attaque et en générant les alertes correspondantes.
Benefits
- Meilleure compréhension des alertes : la documentation basée sur des scénarios fournit une compréhension plus intuitive des alertes K8s.
- Réponse améliorée aux menaces : les alertes sont enrichies avec un contexte précieux, ce qui permet des réponses plus rapides et plus précises.
- Test de sécurité proactif : le nouvel outil de simulation vous permet de tester vos défenses de sécurité et d’identifier les vulnérabilités potentielles avant qu’elles ne soient exploitées.
Prise en charge améliorée de la classification des données sensibles de l'API
6 novembre 2024
Microsoft Defender for Cloud étend les fonctionnalités de classification des données sensibles à la sécurité des API aux paramètres d’URL de l’API et aux paramètres de requête, ainsi que les demandes et réponses de l’API, y compris la source d’informations sensibles trouvées dans les propriétés de l’API. Ces informations seront disponibles dans l’expérience d’analyse du chemin d’attaque, la page Détails supplémentaires de Cloud Security Explorer lorsque les opérations gestion des API avec des données sensibles sont sélectionnées et, dans le tableau de bord de sécurité des API, sous la page des détails de la collecte des charges de travail, avec un nouveau menu contextuel côté qui fournit des insights détaillés sur les données sensibles trouvées, permettre aux équipes de sécurité de localiser et atténuer efficacement les risques d’exposition aux données.
Note
Cette modification inclut un déploiement unique vers des Defender existants pour les API et les clients CSPM Defender.
Nouvelle prise en charge du mappage des points de terminaison d’API Gestion des API Azure au calcul principal
6 novembre 2024
la posture de sécurité des API de Defender for Cloud prend désormais en charge le mappage des points de terminaison d'API publiés via Gestion des API Azure Gateway aux ressources de calcul back-end, telles que les machines virtuelles, dans Defender Cloud Security Posture Management (CSPM Defender) Cloud Security Explorer. Cette visibilité permet d'identifier le trafic API acheminé vers des destinations de calcul en cloud, ce qui vous permet de détecter et de traiter les risques d'exposition associés aux points d'extrémité API et aux ressources backend connectées.
Prise en charge améliorée de la sécurité des API pour les déploiements de Gestion des API Azure multirégions et la gestion des révisions d’API
6 novembre 2024
La couverture de sécurité des API dans Defender for Cloud aura désormais une prise en charge complète des déploiements multirégions Gestion des API Azure, notamment la prise en charge complète de la posture de sécurité et de la détection des menaces dans les régions primaires et secondaires.
L’intégration et la désintérance des API pour Defender pour les API seront désormais gérées au niveau de l’API Gestion des API Azure. Toutes les révisions Gestion des API Azure associées seront automatiquement incluses dans le processus, ce qui élimine la nécessité de gérer l’intégration et le débordement pour chaque révision d’API individuellement.
Cette modification inclut un déploiement unique vers des Defender existants pour les clients API.
Détails du déploiement :
- Le déploiement aura lieu au cours de la semaine du 6 novembre pour les Defender existantes pour les clients d’API.
- Si la révision « actuelle » d'une API Gestion des API Azure est déjà intégrée à Defender pour les API, toutes les révisions associées pour cette API seront également automatiquement intégrées à Defender pour les API.
- Si la révision « actuelle » d'une API Gestion des API Azure n'est pas intégrée à Defender pour les API, toutes les révisions d'API associées qui ont été intégrées à Defender pour les API sont désactivées.
Octobre 2024
L’expérience de migration de MMA est désormais disponible.
28 octobre 2024
Vous pouvez maintenant vous assurer que tous vos environnements sont entièrement préparés pour la dépréciation post-Log Analytics agent (MMA) attendue à la fin de novembre 2024.
Defender for Cloud ajouté une nouvelle expérience qui vous permet de prendre des mesures à grande échelle pour tous vos environnements concernés :
- Cela n'est pas nécessaire pour bénéficier de la couverture de sécurité complète offerte par Defender pour les serveurs Plan 2.
- C'est connecté à Defender pour serveurs Plan 2 à l'aide de l'approche d'intégration héritée via Log Analytics espace de travail.
- Cela utilise l’ancienne version fiM (File Integrity Monitoring) avec l’agent Log Analytics (MMA) doit migrer vers la nouvelle version FIM improved FIM avec Defender pour point de terminaison (MDE).
Découvrez comment utiliser la nouvelle expérience de migration de MMA.
Les résultats de sécurité pour les référentiels GitHub sans GitHub Advanced Security sont désormais en disponibilité générale
21 octobre 2024
La possibilité de recevoir des résultats de sécurité pour les configurations incorrectes de l’infrastructure en tant que code (IaC), les vulnérabilités de conteneur et les faiblesses de code pour les référentiels GitHub sans GitHub Advanced Security est désormais en disponibilité générale.
Notez que l’analyse des secrets, l’analyse du code à l’aide de GitHub CodeQL et l’analyse des dépendances nécessitent toujours GitHub Analyse avancée.
Pour en savoir plus sur les licences requises, consultez la page de support DevOps. Pour savoir comment intégrer votre environnement GitHub à Defender for Cloud, suivez le guide d’intégration GitHub. Pour savoir comment configurer l’action Sécurité Microsoft DevOps GitHub, consultez notre documentation GitHub Action.
Dépréciation de trois normes de conformité
14 octobre 2024
Date estimée du changement : 17 novembre 2024
Trois normes de conformité sont supprimées du produit :
- SWIFT CSP-CSCF v2020 (pour Azure) - Cette version a été remplacée par la version v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 et v1.3.0 - Nous disposons de deux versions plus récentes disponibles (v1.4.0 et v2.0.0)
En savoir plus sur les normes de conformité disponibles dans Defender for Cloud dans Normes de conformitéavailables.
Dépréciation de trois normes Defender for Cloud
8 octobre 2024
Date estimée du changement : 17 novembre 2024
Pour simplifier la gestion des Defender for Cloud avec des comptes AWS et des projets GCP, nous supprimons les trois normes suivantes Defender for Cloud :
- Pour AWS - AWS CSPM
- Pour GCP - GCP CSPM et GCP par défaut
La norme par défaut, Microsoft Cloud Security Benchmark (MCSB), contient désormais toutes les évaluations uniques à ces normes.
Détection de dérive binaire publiée en disponibilité générale
9 octobre 2024
La détection de dérive binaire est désormais publiée en disponibilité générale dans le Defender du plan conteneur. Notez que la détection de dérive binaire fonctionne maintenant sur toutes les versions AKS.
Mise à jour des recommandations du runtime des conteneurs (préversion)
6 octobre 2024
Les recommandations en préversion pour « Les conteneurs s’exécutant dans AWS/Azure/GCP doivent avoir des résultats de vulnérabilités résolus » sont mises à jour pour regrouper tous les conteneurs qui font partie de la même charge de travail en une seule recommandation, ce qui réduit les duplications et évite les fluctuations en raison de conteneurs nouveaux et arrêtés.
Depuis le 6 octobre 2024, les ID d’évaluation suivants sont remplacés pour ces recommandations :
| Recommendation | ID d’évaluation précédente | Nouvel ID d’évaluation |
|---|---|---|
| -- | -- | -- |
| Les conteneurs s’exécutant dans Azure doivent avoir des résultats de vulnérabilité résolus | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans AWS doivent être résolus | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans GCP doivent être résolus | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Si vous recevez actuellement des rapports de vulnérabilité à partir de ces recommandations via l’API, veuillez vous assurer de mettre à jour l’appel d’API avec le nouvel ID d’évaluation.
Informations sur l’identité et l’accès à Kubernetes dans le graphique de sécurité (aperçu)
6 octobre 2024
Les informations d’identité et d’accès Kubernetes sont ajoutées au graphe de sécurité, y compris les nœuds qui représentent toutes les entités liées au rôle Kubernetes Access Control (RBAC) (comptes de service, rôles, liaisons de rôles, etc.) et les arêtes qui représentent les autorisations entre les objets Kubernetes. Les clients peuvent désormais interroger le graphique de sécurité pour leur RBAC Kubernetes et les relations entre les entités Kubernetes (Peut s’authentifier en tant que, Peut usurper l’identité de, Attribue un rôle, Accès défini par, Attribue l’accès à, A la permission de, etc.)
Chemins d’attaque basés sur les informations d’identité et d’accès à Kubernetes (préversion)
6 octobre 2024
À l’aide des données RBAC Kubernetes dans le graphe de sécurité, Defender for Cloud détecte désormais Kubernetes, Kubernetes vers le cloud et les rapports latéraux Kubernetes internes sur d’autres chemins d’attaque où les attaquants peuvent abuser de Kubernetes et l’autorisation cloud pour le déplacement latéral vers, depuis et dans les clusters Kubernetes.
Amélioration de l’analyse du chemin d’attaque pour les conteneurs
6 octobre 2024
Le nouveau moteur d’analyse de chemin d’attaque publié en novembre dernier prend dorénavant aussi en charge les cas d’utilisation des conteneurs, en détectant dynamiquement de nouveaux types de chemins d’attaque dans les environnements cloud en fonction des données ajoutées au graphique. Nous pouvons ainsi trouver davantage de chemins d’attaque pour les conteneurs et détecter des schémas d’attaque plus complexes et sophistiqués utilisés par les attaquants pour infiltrer les environnements cloud et Kubernetes.
Découverte complète des images de conteneurs dans les registres pris en charge
6 octobre 2024
Defender for Cloud collecte désormais des données d'inventaire pour toutes les images conteneur dans les registres pris en charge, fournissant une visibilité complète dans le graphique de sécurité sur toutes les images de vos environnements cloud, y compris les images qui n'ont actuellement aucune recommandation de posture.
Les fonctionnalités d’interrogation via Cloud Security Explorer ont été améliorées et les utilisateurs peuvent désormais rechercher des images de conteneurs en fonction de leurs métadonnées (digest, référentiel, système d’exploitation, étiquette, etc.)
Inventaire logiciel des conteneurs avec Cloud Security Explorer
6 octobre 2024
Les clients peuvent désormais obtenir une liste des logiciels installés dans leurs conteneurs et dans leurs images de conteneurs via Cloud Security Explorer. Cette liste peut également être utilisée pour obtenir rapidement d’autres informations sur l’environnement client, comme par exemple la recherche de tous les conteneurs et images de conteneurs avec un logiciel affecté par une vulnérabilité 0-jour, avant même la publication d’un CVE.
Septembre 2024
Améliorations de l’expérience de l’explorateur de sécurité cloud
22 septembre 2024
Date estimée de la modification : octobre 2024
Cloud Security Explorer a été conçu pour améliorer les performances et la fonctionnalité de la grille, fournir davantage d’enrichissement de données sur chaque ressource cloud, améliorer les catégories de recherche et améliorer le rapport d’exportation CSV avec plus d’informations sur les ressources cloud exportées.
Disponibilité générale de la surveillance de l’intégrité des fichiers en fonction de Microsoft Defender for Endpoint
18 septembre 2024
La nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint est désormais en disponibilité générale dans le cadre de Defender pour les serveurs Plan 2. FIM vous permet de :
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Cette expérience FIM améliorée remplace celle qui est définie pour la dépréciation par la mise hors service de l’agent Log Analytics (MMA). L’expérience FIM via MMA restera prise en charge jusqu’à la fin novembre 2024.
Avec cette version, une expérience in-product est publiée pour vous permettre de migrer votre configuration FIM sur MMA vers la nouvelle fiM sur Defender pour la version du point de terminaison.
Pour plus d’informations sur l’activation de FIM sur Defender pour point de terminaison, consultez Surveillance de l’intégrité du fichier à l’aide de Microsoft Defender for Endpoint. Pour savoir comment désactiver les versions précédentes, veuillez consulter la section Migrer la surveillance de l’intégrité des fichiers depuis les versions précédentes.
L’expérience de migration FIM est disponible dans Defender for Cloud
18 septembre 2024
Une expérience dans le produit est publiée pour vous permettre de migrer votre configuration FIM sur MMA vers la nouvelle fiM sur Defender pour la version du point de terminaison. Avec cette expérience, vous pouvez :
- Passer en revue l’environnement affecté avec l’ancienne version de FIM activée via MMA et nécessitant une migration.
- Exporter vos règles FIM actuelles de l’expérience basée sur MMA et les conserver dans des espaces de travail.
- Migrer vers des abonnements P2 activés avec le nouveau FIM sur MDE.
Pour utiliser l’expérience de migration, accédez au volet Paramètres de l’environnement et sélectionnez le bouton de migration MMA dans la ligne supérieure.
Abandon de la capacité d’approvisionnement automatique du MMA
18 septembre 2024 Dans le cadre de la mise hors service de l’agent MMA, la capacité d’approvisionnement automatique qui permet l’installation et la configuration de l’agent pour les clients MDC sera également abandonnée en 2 étapes :
Fin septembre 2024 : l’approvisionnement automatique de MMA sera désactivé pour les clients qui n’utilisent plus cette capacité, ainsi que pour les abonnements nouvellement créés. Après la fin du mois de septembre, il ne sera plus possible de réactiver cette capacité sur ces abonnements.
Fin novembre 2024 : l’approvisionnement automatique de MMA sera désactivé pour les abonnements qui ne l’ont pas encore désactivé. À partir de ce moment, il ne sera plus possible de réactiver cette capacité sur les abonnements existants.
Intégration à Power BI
15 septembre 2024
Defender for Cloud pouvez désormais s’intégrer à Power BI. Cette intégration vous permet de créer des rapports et tableaux de bord personnalisés à l’aide des données de Defender for Cloud. Vous pouvez utiliser Power BI pour visualiser et analyser votre posture de sécurité, votre conformité et vos recommandations de sécurité.
En savoir plus sur la nouvelle integration avec Power BI.
Mise à jour des exigences réseau multicloud CSPM
11 septembre 2024
Date estimée de la modification : octobre 2024
À partir d'octobre 2024, nous ajouterons davantage d'adresses IP à nos services de découverte multicloud afin de tenir compte des améliorations et de garantir une expérience plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à partir de nos services, vous devez mettre à jour votre liste d’autorisation IP avec les nouvelles plages fournies ici. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement. La liste est suffisante pour la pleine capacité de l’offre de base (gratuite) de CSPM.
Defender pour la dépréciation des fonctionnalités serveurs
9 septembre 2024
Les contrôles d’application adaptatifs et le renforcement adaptatif du réseau sont désormais dépréciés.
Infrastructure de sécurité nationale espagnole (Esquema Nacional de Seguridad (ENS)) ajoutée au tableau de bord de conformité réglementaire pour Azure
9 septembre 2024
Les organisations qui souhaitent vérifier leur Azure environnements de conformité avec la norme ENS peuvent désormais utiliser Defender for Cloud.
La norme ENS s’applique à l’ensemble du secteur public en Espagne, ainsi qu’aux fournisseurs collaborant avec l’administration. Elle établit des principes de base, des exigences et des mesures de sécurité pour protéger les informations et services traités électroniquement. L’objectif est de garantir l’accès, la confidentialité, l’intégrité, la traçabilité, l’authenticité, la disponibilité et la conservation des données.
Consulter la liste complète des normes de conformité prises en charge.
Corrigez les recommandations de mises à jour et de correctifs système sur vos machines
8 septembre 2024
Vous pouvez maintenant corriger les mises à jour système et corriger les recommandations sur vos machines Azure Arc et les machines virtuelles Azure. Les mises à jour et correctifs système sont essentiels pour assurer la sécurité et la santé de vos machines. Les mises à jour contiennent souvent des correctifs de sécurité pour des vulnérabilités qui, si elles ne sont pas corrigées, sont exploitables par des attaquants.
Des informations sur les mises à jour de machine manquantes sont désormais collectées à l’aide de Gestionnaire de mise à jour Azure.
Afin de maintenir la sécurité de vos machines pour les mises à jour et correctifs système, vous devrez activer les paramètres de mise à jour périodique des évaluations sur vos machines.
Apprenez comment Corriger les recommandations de mises à jour et de correctifs système sur vos machines.
L’intégration de ServiceNow inclut désormais le module de conformité des configurations
4 septembre 2024
L'intégration du plan CSPM de Defender for Cloud à ServiceNow inclut désormais le module conformité de configuration de ServiceNow. Cette fonctionnalité vous permet d’identifier, de prioriser et de remédier aux problèmes de configuration dans vos ressources cloud tout en réduisant les risques de sécurité et en améliorant votre posture de conformité globale grâce à des workflows automatisés et des informations en temps réel.
En savoir plus sur l'intégration de ServiceNow à Defender for Cloud.
Defender pour le plan de protection de stockage par transaction (classique) non disponible pour les nouveaux abonnements
4 septembre 2024
Date estimée du changement : 5 février 2025
Après le 5 février 2025, vous ne pourrez pas activer le Defender hérité pour le stockage (classique) par plan de protection de stockage par transaction, sauf s'il est déjà activé dans votre abonnement. Pour plus d’informations, consultez Move vers la nouvelle Defender pour le plan de stockage.
Azure Policy configuration d’invité est désormais en disponibilité générale (GA)
1 septembre 2024
Defender pour la configuration invité Azure Policy serveur est désormais en disponibilité générale (GA) pour tous les clients multiclouds Defender pour les serveurs Plan 2. La configuration des invités fournit une expérience unifiée pour la gestion des bases de référence de sécurité dans l’ensemble de votre environnement. Il vous permet d’évaluer et d’appliquer des configurations de sécurité sur vos serveurs, notamment les machines Windows et Linux, les machines virtuelles Azure, AWS EC2 et LES instances GCP.
Découvrez comment enable Azure Policy configuration de l’ordinateur sur votre environnement.
Préversion de la prise en charge du registre de conteneurs Docker Hub par Defender pour conteneurs
1 septembre 2024
Nous introduisons la préversion publique du Microsoft Defender pour l'extension de couverture conteneurs afin d'inclure des registres externes, en commençant par Docker Hub registres de conteneurs. Dans le cadre de la Microsoft Cloud Security Posture Management de votre organisation, l'extension de la couverture aux registres de conteneurs Docker Hub offre les avantages de l'analyse de vos images conteneur Docker Hub à l'aide de Microsoft Defender Vulnerability Management pour identifier les menaces de sécurité et atténuer les risques de sécurité potentiels.
Pour plus d’informations sur cette fonctionnalité, consultez Vulnerability Assessment for Docker Hub
Août 2024
| Date | Category | Update |
|---|---|---|
| 28 août | Preview | Nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint |
| Août 22 | Dépréciation à venir | Retirement de l’intégration d’alertes Defender for Cloud à des alertes WAF Azure |
| 1er août | GA | Enable Microsoft Defender pour les serveurs SQL sur des machines à grande échelle |
Nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint
28 août 2024
La nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint est désormais en préversion publique. Il fait partie de Defender pour les serveurs Plan 2. L’application vous permet de :
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Dans le cadre de cette version, l’expérience FIM sur AMA ne sera plus disponible dans le portail Defender for Cloud. L’expérience FIM via MMA restera prise en charge jusqu’à la fin novembre 2024. Au début de septembre, une expérience in-product sera publiée, ce qui vous permet de migrer votre configuration FIM sur MMA vers la nouvelle fiM sur Defender pour la version du point de terminaison.
Pour plus d’informations sur l’activation de FIM sur Defender pour point de terminaison, consultez Surveillance de l’intégrité du fichier à l’aide de Microsoft Defender for Endpoint. Pour obtenir des informations sur la façon de migrer à partir des versions précédentes, consultez Migrer la surveillance de l’intégrité des fichiers à partir des versions précédentes.
Mise hors service de l’intégration d’alertes Defender for Cloud aux alertes WAF Azure
22 août 2024
Date estimée de la modification : 25 septembre 2024
Defender for Cloud alerte integration avec Azure alertes WAF seront supprimées le 25 septembre 2024. Aucune action n’est nécessaire de votre côté. Pour Microsoft Sentinel clients, vous pouvez configurer le Azure Web Application Firewall connector.
Activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle
1er août 2024
Vous pouvez désormais activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle sur des clouds gouvernementaux. Cette fonctionnalité vous permet d’activer Microsoft Defender pour SQL sur plusieurs serveurs à la fois, ce qui vous permet d’économiser du temps et des efforts.
Découvrez comment enable Microsoft Defender pour les serveurs SQL sur des machines à grande échelle.
Juillet 2024
Disponibilité générale des recommandations de découverte et de configuration améliorées pour la protection des points de terminaison
31 juillet 2024
Les fonctionnalités de découverte améliorées pour les solutions de protection des points de terminaison et l’identification améliorée des problèmes de configuration sont désormais en disponibilité générale et disponibles pour les serveurs multiclouds. Ces mises à jour sont incluses dans le Defender pour les serveurs Plan 2 et Defender Cloud Security Posture Management (CSPM).
La fonctionnalité de recommandations améliorée utilise l’analyse de machine sans agent, ce qui permet une découverte et une évaluation complètes de la configuration des solutions de détection et de réponse des points de terminaison prises en charge. Lorsque des problèmes de configuration sont identifiés, les étapes de correction sont fournies.
Avec cette version de disponibilité générale, la liste des solutions prises en charge est développée pour inclure deux autres outils de détection et de réponse de point de terminaison :
- La plateforme Singularity de SentinelOne
- Cortex XDR
Sécurisation renforcée du réseau adaptative déconseillée
31 juillet 2024
Date estimée de la modification : 31 août 2024
Defender pour le renforcement du réseau adaptatif du serveur est déconseillé.
Les expériences suivantes sont impactées par le fait que la fonctionnalité est déconseillée :
- Recommandation : Les recommandations de renforcement du réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles sur Internet [clé d’évaluation : f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alerte : Trafic détecté à partir d’adresses IP recommandées pour le blocage
Préversion : Les évaluations de sécurité pour GitHub ne nécessitent plus de licences supplémentaires
22 juillet 2024
GitHub utilisateurs de Defender for Cloud n’ont plus besoin d’une licence GitHub Advanced Security pour afficher les résultats de sécurité. Cela s’applique aux évaluations de sécurité pour les faiblesses du code, les configurations incorrectes de l’infrastructure en tant que code (IaC) et les vulnérabilités dans les images conteneur qui sont détectées pendant la phase de génération.
Les clients disposant de GitHub Advanced Security continueront à recevoir des évaluations de sécurité supplémentaires dans Defender for Cloud pour les informations d’identification exposées, les vulnérabilités dans les dépendances open source et les résultats codeQL.
Pour en savoir plus sur la sécurité DevOps dans Defender for Cloud, consultez la DevOps Security Overview. Pour savoir comment intégrer votre environnement GitHub à Defender for Cloud, suivez le guide d’intégration GitHub. Pour savoir comment configurer l’action Sécurité Microsoft DevOps GitHub, consultez notre documentation GitHub Action.
Chronologies mises à jour vers la dépréciation de MMA dans Defender pour les serveurs Plan 2
18 juillet 2024
Date estimée de la modification : août 2024
Avec la dépréciation prochaine de l’agent Log Analytics en août, toute valeur de sécurité pour la protection du serveur dans Defender for Cloud s’appuie sur l’intégration avec Microsoft Defender for Endpoint (MDE) en tant qu’agent unique et sur les fonctionnalités sans agent fournies par la plateforme cloud et l’analyse des machines sans agent.
Les fonctionnalités suivantes ont mis à jour les chronologies et les plans, de sorte que le support pour eux sur MMA sera étendu pour Defender for Cloud clients à la fin de novembre 2024 :
Surveillance de l’intégrité des fichiers (FIM) : version préliminaire publique pour la nouvelle version FIM sur MDE est prévue pour le août 2024. La version ga de FIM alimentée par Log Analytics agent continuera d’être prise en charge pour les clients existants jusqu’à la fin de November 2024.
Security Baseline : comme alternative à la version basée sur MMA, la préversion actuelle basée sur Guest Configuration sera publiée en disponibilité générale dans September 2024. Les bases de référence de sécurité du système d’exploitation alimentées par Log Analytics agent continueront d’être prises en charge pour les clients existants jusqu’à la fin de November 2024.
Pour plus d’informations, consultez Prepare pour la mise hors service de l’agent Log Analytics.
Dépréciation des fonctionnalités liées à MMA dans le cadre de la mise hors service de l’agent(e)
18 juillet 2024
Date estimée de la modification : août 2024
Dans le cadre de la precation du Microsoft Monitoring Agent (MMA) et de la stratégie de déploiement mise à jour Defender pour les serveurs, toutes les fonctionnalités de sécurité de Defender pour les serveurs seront désormais fournies via un seul agent (Defender pour point de terminaison) ou via des fonctionnalités d’analyse sans agent. Cela ne nécessite pas de dépendance vis-à-vis de l'agent MMA ou Azure Monitoring Agent (AMA).
À mesure que nous abordons la mise hors service de l'agent en août 2024, les fonctionnalités suivantes liées à MMA seront supprimées du portail Defender for Cloud :
- Affichage de l’état d’installation de MMA sur les panneaux Inventory et Resource Health.
- La possibilité d’intégrer de nouveaux serveurs non Azure à Defender pour les serveurs via des espaces de travail Log Analytics sera supprimée des panneaux Inventory et Getting Started.
Note
Nous recommandons aux clients actuels, qui ont intégré des serveurs locaux à l’aide de l’approche legacy, de connecter ces ordinateurs via des serveurs compatibles Azure Arc. Nous vous recommandons également d’activer la Defender pour les serveurs Plan 2 sur les abonnements Azure auxquels ces serveurs sont connectés.
Si vous avez activé de manière sélective Defender pour serveurs Plan 2 sur des machines virtuelles Azure spécifiques via l'approche héritée, activez Defender pour les serveurs Plan 2 sur les abonnements Azure de ces machines. Excluez les ordinateurs individuels de la couverture Defender pour les serveurs à l’aide de la Defender pour les serveurs configuration des ressources.
Ces étapes s’assureront qu’il n’y a aucune perte de couverture de sécurité en raison de la mise hors service de l’agent Log Analytics.
Pour assurer la continuité de la sécurité, nous conseillons aux clients de Defender pour les serveurs Plan 2 d’activer analyse automatique sans interruption et integration avec Microsoft Defender for Endpoint sur leurs abonnements.
Vous pouvez utiliser ce classeur personnalisé pour suivre votre patrimoine Log Analytics Agent (MMA) et surveiller l’état de déploiement de Defender pour les serveurs sur les machines virtuelles Azure et les machines Azure Arc.
Pour plus d’informations, consultez Prepare pour la mise hors service de l’agent Log Analytics.
Préversion publique binary Drift désormais disponible dans Defender pour les conteneurs
Nous présentons la préversion publique de Binary Drift for Defender for Containers. Cette fonctionnalité permet d’identifier et d’atténuer les risques de sécurité potentiels associés à des fichiers binaires non autorisés dans vos conteneurs. La dérive binaire identifie et envoie des alertes sur les processus binaires potentiellement dangereux au sein de vos conteneurs. En outre, il permet l’implémentation d’une nouvelle Binary Drift Policy pour contrôler les préférences d’alerte, offrant la possibilité d’adapter les notifications aux besoins de sécurité spécifiques. Pour plus d’informations sur cette fonctionnalité, consultez Binary Drift Detection
Les scripts de correction automatisés pour AWS et GCP sont désormais en disponibilité générale
14 juillet 2024
En mars, nous avons publié des scripts de correction automatisés pour AWS & GCP en préversion publique, ce qui vous permet de corriger les suggestions pour AWS &GCP à grande échelle par programme.
Aujourd’hui, nous publions cette fonctionnalité en disponibilité générale. Découvrez comment utiliser des scripts de correction automatisés.
mise à jour des autorisations d’application GitHub
11 juillet 2024
Date estimée du changement: 18 juillet 2024
La sécurité DevOps dans Defender for Cloud effectue constamment des mises à jour qui nécessitent des clients disposant de connecteurs GitHub dans Defender for Cloud pour mettre à jour les autorisations pour l’application Sécurité Microsoft DevOps dans GitHub.
Dans le cadre de cette mise à jour, l’application GitHub nécessite GitHub Copilot autorisations de lecture Métiers. Cette autorisation sera utilisée pour aider les clients à mieux sécuriser leurs déploiements GitHub Copilot. Nous vous suggérons de mettre à jour l’application dès que possible.
Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation GitHub, accédez à l’application Sécurité Microsoft DevOps dans Settings > GitHub Apps et acceptez la demande d’autorisations.
Dans un e-mail automatisé de GitHub Support, sélectionnez Review permission request to accept or reject this change.
Les normes de conformité sont désormais en disponibilité générale
10 juillet 2024
En mars, nous avons ajouté des versions préliminaires de nombreuses nouvelles normes de conformité pour que les clients valident leurs ressources AWS et GCP.
Ces normes incluent CIS Google Kubernetes Engine (GKE), ISO/IEC 27001 et ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), LGPD (General Personal Data Protection Law), California Consumer Privacy Act (CCPA), etc.
Ces normes d’évaluation sont désormais en disponibilité générale( GA).
Consulter la liste complète des normes de conformité prises en charge.
Amélioration de l’expérience d’inventaire
9 juillet 2024
Date estimée de la modification : 11 juillet 2024
L'expérience d'inventaire sera mise à jour pour améliorer les performances, y compris les améliorations apportées à la logique de requête « Ouvrir la requête » du volet dans Azure Resource Graph. Les mises à jour apportées à la logique derrière Azure calcul des ressources peuvent entraîner d’autres ressources comptées et présentées.
Outil de mappage de conteneurs à exécuter par défaut dans GitHub
8 juillet 2024
Date estimée de la modification : 12 août 2024
Avec les fonctionnalités de sécurité DevOps dans Gestion de la posture de sécurité cloud Microsoft Defender (CSPM), vous pouvez mapper vos applications natives cloud du code au cloud pour lancer facilement les workflows de correction des développeurs et réduire le temps de correction des vulnérabilités dans vos images conteneur. Actuellement, vous devez configurer manuellement l’outil de mappage d’images conteneur pour qu’il s’exécute dans l’action Sécurité Microsoft DevOps dans GitHub. Avec cette modification, le mappage de conteneurs s’exécute par défaut dans le cadre de l’action devOps Sécurité Microsoft. Learn plus sur l’action Sécurité Microsoft DevOps.
Juin 2024
| Date | Category | Update |
|---|---|---|
| 27 juin | GA | Checkov IaC Scan in Defender for Cloud. |
| 24 juin | Update | Change dans la tarification des Defender multicloud pour conteneurs |
| 20 juin | Dépréciation à venir |
Reminder de dépréciation pour les recommandations adaptatives à Microsoft dépréciation de l’Agent de surveillance (MMA. Dépréciation estimée en août 2024. |
| 10 juin | Preview | Copilot dans Defender for Cloud |
| 10 juin | Mise à jour à venir |
Activation automatique de l’évaluation des vulnérabilités SQL en utilisant la configuration express sur des serveurs non configurés. Mise à jour estimée : 10 juillet 2024. |
| 3 juin | Mise à jour à venir |
Changements dans le comportement des suggestions d’identité Mise à jour estimée : 10 juillet 2024. |
Disponibilité générale : Analyse IaC Checkov dans Defender for Cloud
27 juin 2024
Nous annonçons la disponibilité générale de l'intégration Checkov pour l'analyse Infrastructure-as-Code (IaC) via Sécurité Microsoft DevOps (MSDO). Dans le cadre de cette version, Checkov remplace TerraScan en tant qu’analyseur IaC par défaut qui s’exécute dans le cadre de l’interface de ligne de commande MSDO (CLI). TerraScan peut toujours être configuré manuellement via les variables d’environnement de MSDO, mais ne s’exécute pas par défaut.
Les résultats de sécurité de Checkov présentent des recommandations pour les référentiels Azure DevOps et GitHub sous les évaluations Azure DevOps les référentiels doivent avoir une infrastructure à mesure que les résultats du code sont résolus et GitHub référentiels doivent avoir une infrastructure en tant que résultats de code résolus.
Pour en savoir plus sur la sécurité DevOps dans Defender for Cloud, consultez la DevOps Security Overview. Pour savoir comment configurer l’interface CLI MSDO, consultez la documentation Azure DevOps ou GitHub.
Mise à jour : modification de la tarification de Defender pour conteneurs dans multicloud
24 juin 2024
Étant donné que Defender pour les conteneurs dans plusieursclouds est désormais en disponibilité générale, il n'est plus gratuit. Pour plus d’informations, consultez Microsoft Defender for Cloud tarification.
Dépréciation : Rappel de la dépréciation pour les suggestions adaptatives
20 juin 2024
Date estimée de la modification : août 2024
Dans le cadre de la dépréciation MMA et de la Defender pour les serveurs mis à jour, Defender pour les fonctionnalités de sécurité des serveurs seront fournies via l’agent Microsoft Defender for Endpoint (MDE) ou via les fonctionnalités d’analyse sans . Ces deux options ne dépendent pas de l'agent MMA ou Azure Monitoring Agent (AMA).
Les recommandations de sécurité adaptatives, appelées contrôles d’application adaptatifs et renforcement du réseau adaptatif, seront supprimées. La version en disponibilité générale actuelle basée sur MMA et la préversion basée sur AMA seront déconseillées en août 2024.
Préversion : Copilot dans Defender for Cloud
10 juin 2024
Nous annonçons l'intégration de Microsoft Security Copilot dans Defender for Cloud en préversion publique. Copilot'expérience incorporée dans Defender for Cloud offre aux utilisateurs la possibilité de poser des questions et d'obtenir des réponses en langage naturel. Copilot pouvez vous aider à comprendre le contexte d’une recommandation, l’effet de l’implémentation d’une recommandation, les étapes nécessaires à l’implémentation d’une recommandation, aider à la délégation de recommandations et aider à corriger les erreurs de configuration dans le code.
En savoir plus sur Microsoft Security Copilot dans Defender for Cloud.
Mise à jour : Activation automatique de l’évaluation des vulnérabilités SQL
10 juin 2024
Date estimée de la modification : 10 juillet 2024
À l’origine, l’évaluation des vulnérabilités SQL avec Express Configuration n’a été activée que automatiquement sur les serveurs où Microsoft Defender pour SQL a été activé après l’introduction de La configuration Express en décembre 2022.
Nous allons mettre à jour tous les serveurs Azure SQL qui avaient Microsoft Defender pour SQL activé avant décembre 2022 et n'avaient pas de stratégie d'évaluation des vulnérabilités SQL existante en place pour que l'évaluation des vulnérabilités SQL (SQL VA) soit automatiquement activée avec Express Configuration.
- L’implémentation de ce changement se fera progressivement, sur plusieurs semaines, et ne nécessitera aucune action de la part de l’utilisateur(-trice).
- Cette modification s’applique aux serveurs Azure SQL où Microsoft Defender pour SQL a été activé au niveau de l’abonnement Azure.
- Les serveurs avec une configuration classique existante (valide ou non valide) ne seront pas affectés par cette modification.
- Au moment de l’activation, la recommandation « Vous devez résoudre les vulnérabilités découvertes des bases de données SQL » peut s’afficher et avoir un impact potentiel sur votre niveau de sécurité.
Mise à jour : Modifications apportées au comportement des suggestions d’identité
3 juin 2024
Date estimée de la modification : juillet 2024
Ces modifications sont les suivantes :
- La ressource évaluée va devenir l’identité au lieu de l’abonnement.
- Les recommandations n’auront plus de « sous-recommandations ».
- La valeur du champ « assessmentKey » dans l’API sera modifiée pour ces recommandations.
Seront appliquées aux recommandations suivantes :
- Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être activés pour l’authentification multifacteur
- Les comptes disposant d’autorisations d’écriture sur Azure ressources doivent être activés par MFA
- Les comptes disposant d’autorisations de lecture sur les ressources Azure doivent être activés pour l’authentification multifacteur
- Les comptes invités disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés
- Les comptes invités disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés
- Les comptes invités disposant d’autorisations de lecture sur Azure ressources doivent être supprimés
- Les comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés
- Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés
- Au maximum trois propriétaires doivent être désignés pour votre abonnement.
- Plusieurs propriétaires doivent être affectés à votre abonnement
Mai 2024
| Date | Category | Update |
|---|---|---|
| 30 mai | GA | Détection de programmes malveillants sans échec dans Defender pour les serveurs Plan 2 |
| 22 mai | Update | Configurer les notifications par e-mail pour les chemins d’accès des attaques |
| 21 mai | Update | La chasse Microsoft Defender XDR advanced inclut des alertes et des incidents Defender for Cloud |
| 9 mai | Preview | intégration de Checkov pour l’analyse IaC dans Defender for Cloud |
| 7 mai | GA | gestion Permissions dans Defender for Cloud |
| 6 mai | Preview | Gestion de la posture de sécurité multicloudAI est disponible pour Azure et AWS. |
| 6 mai | Préversion limitée | protection Threat pour les charges de travail IA dans Azure. |
| mai 2 | Update | Gestion de la stratégie de sécurité. |
| 1er mai | Preview | Defender pour les bases de données open source est désormais disponible sur AWS pour les instances Amazon. |
| 1er mai | Dépréciation à venir |
Removal of FIM over AMA et release of new version over Defender for Endpoint. Dépréciation estimée en août 2024. |
Disponibilité générale : Détection des programmes malveillants sans agent dans Defender pour le plan 2 des serveurs
30 mai 2024
La détection des programmes malveillants sans agent de Defender for Cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP est désormais en disponibilité générale en tant que nouvelle fonctionnalité dans Defender pour les serveurs Plan 2.
La détection de programmes malveillants sans agent utilise le Microsoft Defender Antivirus moteur anti-programme malveillant pour analyser et détecter les fichiers malveillants. Les menaces détectées déclenchent des alertes de sécurité directement dans Defender for Cloud et Defender XDR, où elles peuvent être examinées et corrigées. En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Mise à jour : Configurer les notifications par e-mail pour les chemins d’attaque
22 mai 2024
Vous pouvez maintenant configurer les notifications par e-mail lorsqu’un chemin d’attaque est détecté avec un niveau de risque spécifié ou supérieur. Découvrez comment Configurer les notifications par e-mail.
Mise à jour : La chasse avancée dans Microsoft Defender XDR inclut des alertes et des incidents Defender for Cloud
21 mai 2024
Les alertes et incidents de Defender for Cloud sont désormais intégrés à Microsoft Defender XDR et sont accessibles dans le portail Microsoft Defender. Cette intégration permet d'enrichir le contexte des enquêtes qui portent sur les ressources, les appareils et les identités dans le cloud. Découvrez la chasse avancée dans l’intégration XDR.
Préversion : Intégration de Checkov pour l’analyse IaC dans Defender for Cloud
9 mai 2024
L’intégration de Checkov pour la sécurité DevOps dans Defender for Cloud est désormais en préversion. Cette intégration améliore la qualité et le nombre total de vérifications Infrastructure-as-Code exécutées par l’interface CLI MSDO lors de l’analyse des modèles IaC.
Dans la préversion, Checkov doit être appelé explicitement par le biais du paramètre d’entrée « outils » pour l’interface CLI MSDO.
En savoir plus sur la sécurité DevOps dans Defender for Cloud et la configuration de l’interface CLI MSDO pour Azure DevOps et GitHub.
Disponibilité générale : Gestion des autorisations dans Defender for Cloud
7 mai 2024
Permissions management est désormais en disponibilité générale dans Defender for Cloud.
Préversion : Gestion de la posture de sécurité multicloud IA
6 mai 2024
La gestion de la posture de sécurité de l’IA est disponible en préversion dans Defender for Cloud. Il fournit des fonctionnalités de gestion de la posture de sécurité ia pour Azure et AWS, afin d’améliorer la sécurité de vos pipelines et services IA.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
Préversion limitée : Protection contre les menaces pour les charges de travail IA dans Azure
6 mai 2024
La protection contre les menaces pour les charges de travail IA dans Defender for Cloud est disponible en préversion limitée. Ce plan vous aide à surveiller vos applications Azure openAI optimisées lors de l’exécution pour une activité malveillante, identifier et corriger les risques de sécurité. Il fournit des insights contextuels sur la protection contre les menaces de charge de travail IA, en s’intégrant à Responsible AI et Microsoft Threat Intelligence. Les alertes de sécurité pertinentes sont intégrées au portail Defender.
Apprenez-en davantage sur la protection contre les menaces pour les charges de travail IA.
En disponibilité générale : Gestion des stratégies de sécurité
2 mai 2024
La gestion des stratégies de sécurité dans les clouds (Azure, AWS, GCP) est désormais en disponibilité générale. Cela permet aux équipes de sécurité de gérer leurs stratégies de sécurité de manière cohérente et avec de nouvelles fonctionnalités
En savoir plus sur les stratégies de sécurité dans Microsoft Defender for Cloud.
Préversion : Defender pour les bases de données open source disponibles dans AWS
1 mai 2024
Defender pour les bases de données open source sur AWS est désormais disponible en préversion. Il ajoute la prise en charge de différents types d’instances Amazon Relational Database Service (RDS).
En savoir plus sur Defender pour les bases de données open source et comment enable Defender pour les bases de données open source sur AWS.
Dépréciation : Suppression de FIM (avec AMA)
1 mai 2024
Date estimée de la modification : août 2024
Dans le cadre de la dépréciation de MMA et de la Defender pour les serveurs mis à jour, toutes les Defender pour les fonctionnalités de sécurité des serveurs sont fournies via un seul agent (MDE), ou via des fonctionnalités d’analyse sans agent, et sans dépendance sur MMA ou AMA.
La nouvelle version de la surveillance de l’intégrité des fichiers (FIM) sur Microsoft Defender for Endpoint (MDE) vous permet de répondre aux exigences de conformité en surveillant les fichiers et registres critiques en temps réel, en auditant les modifications et en détectant les modifications suspectes du contenu des fichiers.
Dans le cadre de cette version, l’expérience FIM sur AMA ne sera plus disponible via le portail Defender for Cloud à compter d’août 2024. Pour plus d’informations, veuillez consulter Expérience de surveillance de l’intégrité des fichiers – modifications et conseils de migration.
Pour plus d’informations sur la nouvelle version de l’API, consultez Microsoft Defender for Cloud API REST.
Avril 2024
| Date | Category | Update |
|---|---|---|
| 16 avril | Mise à jour à venir |
Modification des ID d’évaluation CIEM. Mise à jour estimée : mai 2024. |
| 15 avril | GA | Defender pour conteneurs est désormais disponible pour AWS et GCP. |
| 3 avril | Update | La hiérarchisation Derisk est désormais l’expérience par défaut dans Defender for Cloud |
| 3 avril | Update | Defender pour les mises à jour des bases de données relationnelles open source. |
Mise à jour : Modification des ID d’évaluation CIEM
16 avril 2024
Date estimée de la modification : mai 2024
Les recommandations suivantes vont être remodelées, ce qui entraînera un changement de leurs ID d’évaluation :
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
Disponibilité générale : Defender pour les conteneurs pour AWS et GCP
15 avril 2024
La détection des menaces du runtime et la découverte sans agent pour AWS et GCP dans Defender pour conteneurs sont désormais en disponibilité générale. En outre, il existe une nouvelle fonctionnalité d’authentification dans AWS qui simplifie l’approvisionnement.
En savoir plus sur containers prend en charge la matrice dans Defender for Cloud et comment configure Defender pour les composants conteneurs.
Mise à jour : Hiérarchisation des risques
3 avril 2024
La hiérarchisation des risques est désormais l’expérience par défaut dans Defender for Cloud. Cette fonctionnalité vous permet de vous concentrer sur les problèmes de sécurité les plus critiques dans votre environnement en hiérarchisant les recommandations en fonction des facteurs de risque de chaque ressource. Les facteurs de risque incluent l’impact potentiel du problème de sécurité en cours de violation, les catégories de risques et le chemin d’attaque dont fait partie le problème de sécurité. En savoir plus sur la hiérarchisation des risques.
Mise à jour : Defender pour les bases de données relationnelles Open-Source
3 avril 2024
- Defender pour les serveurs flexibles PostgreSQL après les mises à jour en disponibilité générale : la mise à jour permet aux clients d’appliquer la protection des serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui permet une flexibilité complète pour activer la protection par ressource ou pour la protection automatique de toutes les ressources au niveau de l’abonnement.
- Defender pour la disponibilité des serveurs flexibles MySQL et la disponibilité générale - Defender for Cloud étendu sa prise en charge des bases de données relationnelles open source Azure en intégrant des serveurs flexibles MySQL.
Cette version comprend :
- Compatibilité des alertes avec les alertes existantes pour Defender pour les serveurs uniques MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
- Les mises à jour de Azure Database pour MySQL serveurs flexibles sont déployées au cours des prochaines semaines. Si vous voyez l’erreur
The server <servername> is not compatible with Protection avancée contre les menaces, vous pouvez attendre la mise à jour ou ouvrir un ticket de support pour mettre à jour le serveur plus tôt vers une version prise en charge.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources serveur flexibles sont automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
En savoir plus sur Microsoft Defender pour les bases de données relationnelles open source.
Mars 2024
Disponibilité générale : analyse des images conteneur Windows
31 mars 2024
Nous annonçons la disponibilité générale des images conteneur Windows prise en charge de l'analyse par Defender pour conteneurs.
Mise à jour : L’exportation continue inclut désormais les données relatives aux chemins d’attaque
25 mars 2024
Nous annonçons que l’exportation continue inclut désormais les données relatives aux chemins d’attaque. Cette fonctionnalité vous permet de diffuser en continu des données de sécurité vers Log Analytics dans Azure Monitor, de Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique.
En savoir plus sur l’exportation continue.
Préversion : l’analyse sans agent prend en charge les machines virtuelles chiffrées CMK dans Azure
21 mars 2024
Jusqu'à présent, l'analyse sans agent a couvert les machines virtuelles chiffrées CMK dans AWS et GCP. Avec cette version, nous prenons également en charge Azure. La fonctionnalité utilise une approche d’analyse unique pour CMK dans Azure :
- Defender for Cloud ne gère pas la clé ou le processus de déchiffrement. Les clés et le déchiffrement sont gérés en toute transparence par Azure Compute et sont transparents pour le service d'analyse sans agent de Defender for Cloud.
- Les données de disque de machine virtuelle non chiffrées ne sont jamais copiées ou rechiffrées avec une autre clé.
- La clé d’origine n’est pas répliquée pendant le processus. Le purgement élimine les données sur votre machine virtuelle de production et l'instantané temporaire de Defender for Cloud.
Durant la préversion publique, cette capacité n’est pas activée automatiquement. Si vous utilisez Defender pour les serveurs P2 ou CSPM Defender et que votre environnement comporte des machines virtuelles avec des disques chiffrés CMK, vous pouvez désormais les analyser pour les vulnérabilités, les secrets et les programmes malveillants en suivant ces étapes de enablement.
Préversion : Recommandations personnalisées basées sur KQL pour Azure
17 mars 2024
Les recommandations personnalisées basées sur KQL pour Azure sont désormais en préversion publique et prises en charge pour tous les clouds. Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées.
Mise à jour : inclusion de recommandations DevOps dans le benchmark de sécurité cloud Microsoft
13 mars 2024
Aujourd'hui, nous annonçons que vous pouvez désormais surveiller votre posture de sécurité et de conformité DevOps dans le Microsoft benchmark de sécurité cloud (MCSB) en plus de Azure, AWS et GCP. Les évaluations DevOps font partie du contrôle Sécurité DevOps dans MCSB.
MCSB est une nouvelle infrastructure qui définit des principes fondamentaux de sécurité du cloud, basés sur des normes sectorielles et des infrastructures de conformité courantes. MCSB fournit des détails prescriptifs sur la façon d’implémenter ses recommandations de sécurité indépendantes du cloud.
En savoir plus sur les recommandations DevOps qui seront incluses et le Microsoft benchmark de sécurité cloud.
Disponibilité générale : L’intégration de ServiceNow est désormais en disponibilité générale
12 mars 2024
Nous annonçons la disponibilité générale de l’intégration de ServiceNow.
Préversion : Protection des ressources critiques dans Microsoft Defender for Cloud
12 mars 2024
Defender for Cloud inclut désormais une fonctionnalité critique pour l'entreprise, à l'aide du moteur de ressources critiques de Sécurité Microsoft Exposure Management, pour identifier et protéger les ressources importantes grâce à la hiérarchisation des risques, à l'analyse du chemin d'attaque et à l'explorateur de sécurité cloud. Pour plus d’informations, consultez la protection des ressources Criticale dans Microsoft Defender for Cloud (préversion).
Mise à jour : Suggestions sur AWS et GCP améliorées avec des scripts de correction automatisés
12 mars 2024
Nous améliorons les recommandations concernant AWS et GCP avec des scripts de correction automatisés qui vous permettent d’apporter des corrections par programmation et à grande échelle. En savoir plus sur les scripts de correction automatisés.
Préversion : Normes de conformité ajoutées au tableau de bord de conformité
6 mars 2024
En fonction des commentaires des clients, nous avons ajouté des normes de conformité en préversion à Defender for Cloud.
Consulter la liste complète des normes de conformité prises en charge
Nous travaillons en permanence à l'ajout et à la mise à jour de nouvelles normes pour les environnements Azure, AWS et GCP.
Découvrez comment attribuer une norme de sécurité.
Mise à jour : Defender pour les mises à jour des bases de données relationnelles open source
6 mars 2024**
Date estimée de la modification : avril 2024
Defender pour les serveurs flexibles PostgreSQL après les mises à jour en disponibilité générale : la mise à jour permet aux clients d’appliquer la protection des serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui permet une flexibilité complète pour activer la protection par ressource ou pour la protection automatique de toutes les ressources au niveau de l’abonnement.
Defender pour la disponibilité des serveurs flexibles MySQL et la disponibilité générale - Defender for Cloud est défini pour étendre sa prise en charge des bases de données relationnelles open source Azure en intégrant des serveurs flexibles MySQL. Cette mise en production inclut :
- Compatibilité des alertes avec les alertes existantes pour Defender pour les serveurs uniques MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources serveur flexibles sont automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
En savoir plus sur Microsoft Defender pour les bases de données relationnelles open source.
Mise à jour : modifications apportées aux offres de conformité et aux paramètres d’actions de Microsoft
3 mars 2024
Date estimée de la modification : 30 septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, l’offre conformité et les actions de Microsoft changeront.
Tableau qui répertorie l'état de conformité des produits de Microsoft (accessible à partir des offres de conformité Compliance dans la barre d'outils du tableau de bord de conformité Defender regulatoire). Une fois ce bouton supprimé de Defender for Cloud, vous pourrez toujours accéder à ces informations à l'aide du portail d'approbation Service.
Pour un sous-ensemble de contrôles, Microsoft Actions a été accessible à partir du bouton Microsoft Actions (préversion) dans le volet détails des contrôles. Une fois ce bouton supprimé, vous pouvez afficher Microsoft Actions en consultant Service Trust Portal pour FedRAMP et en Microsoft accédant au document Azure plan de sécurité système.
Mise à jour : modifications dans lesquelles vous accédez aux offres de conformité et aux actions de Microsoft
3 mars 2024
Date estimée de la modification : septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, l’offre conformité et les actions de Microsoft changeront.
Tableau qui répertorie l'état de conformité des produits de Microsoft (accessible à partir des offres de conformité Compliance dans la barre d'outils du tableau de bord de conformité Defender regulatoire). Une fois ce bouton supprimé de Defender for Cloud, vous pourrez toujours accéder à ces informations à l'aide du portail d'approbation Service.
Pour un sous-ensemble de contrôles, Microsoft Actions a été accessible à partir du bouton Microsoft Actions (préversion) dans le volet détails des contrôles. Une fois ce bouton supprimé, vous pouvez afficher Microsoft Actions en consultant Service Trust Portal pour FedRAMP et en Microsoft accédant au document Azure plan de sécurité système.
Dépréciation : évaluation des vulnérabilités des conteneurs Defender for Cloud optimisée par la mise hors service qualys
3 mars 2024
L’évaluation des vulnérabilités des conteneurs Defender for Cloud alimentée par Qualys est en cours de mise hors service. La mise hors service sera effective le 6 mars. D’ici là, des résultats partiels peuvent encore apparaître dans les recommandations de Qualys et les résultats de Qualys dans le graphique de sécurité. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers Évaluations de lavulnerabilité pour Azure avec Microsoft Defender Vulnerability Management. Pour plus d’informations sur la transition vers l’offre d’évaluation des vulnérabilités de conteneur alimentée par Microsoft Defender Vulnerability Management, consultez Transition de Qualys vers Microsoft Defender Vulnerability Management.
Février 2024
| Date | Category | Update |
|---|---|---|
| 28 février | Deprecation | Sécurité Microsoft Code Analysis (MSCA) n’est plus opérationnel. |
| 28 février | Update | La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP. |
| 26 février | Update | Cloud prend en charge Defender pour conteneurs |
| 20 février | Update | Nouvelle version du capteur Defender pour Defender pour conteneurs |
| 18 février | Update | Prise en charge de la spécification du format d’image Open Container Initiative (OCI) |
| 13 février | Deprecation | Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy. |
| 5 février | Mise à jour à venir |
Decommissioning de Microsoft. Fournisseur de ressources SecurityDevOps Attendu : 6 mars 2024 |
Dépréciation : Sécurité Microsoft Code Analysis (MSCA) n’est plus opérationnel
28 février 2024
En février 2021, la dépréciation de la tâche MSCA a été communiquée à tous les clients et a été passée à la fin de la vie depuis mars 2022. Depuis le 26 février 2024, MSCA n’est plus opérationnel officiellement.
Les clients peuvent obtenir les derniers outils de sécurité DevOps de Defender for Cloud via Sécurité Microsoft DevOps et plus d’outils de sécurité via GitHub Advanced Security for Azure DevOps.
Mise à jour : La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP
28 février 2024
L’expérience mise à jour pour la gestion des stratégies de sécurité, initialement publiée en préversion pour Azure, étend sa prise en charge à des environnements multiclouds (AWS et GCP). Cette préversion inclut les éléments suivants :
- Gestion des normes de conformité regulatoires dans Defender for Cloud dans les environnements Azure, AWS et GCP.
- Même expérience d’interface multicloud pour créer et gérer des recommandations personnalisées Microsoft Cloud Security Benchmark (MCSB) personnalisées.
- L’expérience mise à jour est appliquée à AWS et GCP pour créer des recommandations personnalisées avec une requête KQL.
Mise à jour : prise en charge cloud de Defender pour conteneurs
26 février 2024
Azure Kubernetes Service (AKS) fonctionnalités de détection des menaces dans Defender pour conteneurs sont désormais entièrement prises en charge dans les clouds commerciaux, Azure Government et Azure China 21Vianet. Passez en revue les fonctionnalités prises en charge.
Mise à jour : nouvelle version du capteur Defender pour Defender pour conteneurs
20 février 2024
A nouvelle version du capteur Defender pour Defender pour conteneurs est disponible. Il inclut des améliorations de performances et de sécurité, la prise en charge des nœuds arch AMD64 et Arm64 (Linux uniquement) et utilise Inspektor Gadget comme agent de collecte de processus au lieu de Sysdig. La nouvelle version étant prise en charge uniquement sur les versions de noyau Linux 5.4 et supérieures, si vous avez des versions antérieures du noyau Linux, vous devez faire une mise à niveau. La prise en charge d’Arm64 est disponible uniquement à partir d’AKS V1.29 et les versions suivantes. Pour plus d’informations, voir Systèmes d’exploitation hôtes pris en charge.
Mise à jour : Prise en charge de la spécification du format d’image Open Container Initiative (OCI)
18 février 2024
La spécification de format d’image
Dépréciation : Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy
13 février 2024
L’évaluation des vulnérabilités des conteneurs basée sur Trivy a été mise hors service. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers la nouvelle évaluation des vulnérabilités de conteneur AWS optimisée par Microsoft Defender Vulnerability Management. Pour obtenir des instructions sur la mise à niveau, consultez Comment effectuer une mise à niveau de l’évaluation des vulnérabilités Trivy supprimée vers l’évaluation des vulnérabilités AWS optimisée par Microsoft Defender Vulnerability Management ?
Mise à jour : désaffectation de Microsoft. Fournisseur de ressources SecurityDevOps
5 février 2024
Date estimée de modification: 6 mars 2024
Microsoft Defender for Cloud désaffecte le fournisseur de ressources Microsoft.SecurityDevOps utilisé lors de la préversion publique de la sécurité DevOps, ayant migré vers le fournisseur Microsoft.Security existant. Ce changement a pour but d’améliorer l’expérience client en réduisant le nombre de fournisseurs de ressources associés aux connecteurs DevOps.
Les clients qui utilisent toujours la version d’API 2022-09-01-preview sous Microsoft.SecurityDevOps pour interroger Defender for Cloud données de sécurité DevOps seront affectés. Pour éviter toute interruption de leur service, le client doit effectuer une mise à jour vers la nouvelle version de l’API 2023-09-01-preview sous le fournisseur Microsoft.Security.
Les clients qui utilisent actuellement Defender for Cloud sécurité DevOps à partir du portail Azure ne seront pas affectés.
Janvier 2024
Mise à jour : Nouvel insight pour les référentiels actifs dans Cloud Security Explorer
31 janvier 2024
Un nouvel aperçu des dépôts Azure DevOps a été ajouté à Cloud Security Explorer pour indiquer si les référentiels sont actifs. Cet insight indique que le référentiel de code n’est pas archivé ou désactivé, ce qui signifie que l’accès en écriture au code, aux builds et aux demandes de tirage est toujours disponible pour les utilisateurs. Les référentiels archivés et désactivés peuvent être considérés comme de priorité inférieure, car le code n’est généralement pas utilisé dans les déploiements actifs.
Pour tester la requête via Cloud Security Explorer, utilisez ce lien de requête.
Mise à jour : Modification de la tarification associée à la détection des menaces pour les conteneurs multicloud
30 janvier 2024**
Date estimée de la modification : avril 2024
Quand la détection des menaces pour les conteneurs multiclouds passera en disponibilité générale, elle ne sera plus gratuite. Pour plus d’informations, consultez Microsoft Defender for Cloud tarification.
Mise à jour : application de CSPM Defender pour la valeur de sécurité DevOps Premium
29 janvier 2024**
Date estimée de la modification : 7 mars 2024
Defender for Cloud commencera à appliquer la vérification du plan de CSPM Defender pour la valeur de sécurité DevOps Premium à partir de March 7th, 2024. Si le plan de CSPM Defender est activé sur un environnement cloud (Azure, AWS, GCP) au sein du même locataire dans lequel vos connecteurs DevOps sont créés, vous continuerez à recevoir des fonctionnalités DevOps premium sans frais supplémentaires. Si vous n'êtes pas un client CSPM Defender, vous avez jusqu'à March 7th, 2024 pour activer CSPM Defender avant de perdre l'accès à ces fonctionnalités de sécurité. Pour activer CSPM Defender sur un environnement cloud connecté avant le 7 mars 2024, suivez la documentation d’activation décrite here.
Pour plus d’informations sur les fonctionnalités de sécurité DevOps disponibles dans les plans CSPM et CSPM Defender fondamentaux, consultez documentation décrivant la disponibilité des fonctionnalités.
Pour plus d’informations sur DevOps Security dans Defender for Cloud, consultez la documentation overview.
Pour plus d’informations sur le code vers les fonctionnalités de sécurité cloud dans CSPM Defender, consultez how pour protéger vos ressources avec CSPM Defender.
Préversion : posture de conteneur sans agent pour GCP dans Defender pour conteneurs et CSPM Defender
24 janvier 2024
Les nouvelles fonctionnalités de posture de conteneur sans agent (préversion) sont disponibles pour GCP, notamment les évaluations Vulnerability pour GCP avec Microsoft Defender Vulnerability Management. Pour plus d’informations sur toutes les fonctionnalités, consultez Posture de conteneur sans échec dans CSPM Defender et Fonctionnalités sans Defender pour conteneurs.
Vous pouvez également en savoir plus sur la gestion de la posture de conteneur sans agent pour multicloud dans ce billet de blog.
Préversion : Analyse des programmes malveillants sans agent pour les serveurs
16 janvier 2024
Nous annonçons la publication de la détection de programmes malveillants sans agent de Defender for Cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP, comme nouvelle fonctionnalité incluse dans Defender for Servers Plan 2.
La détection des programmes malveillants sans agent pour les machines virtuelles est désormais incluse dans notre plateforme d’analyse sans agent. L’analyse des programmes malveillants sans agent utilise Microsoft Defender Antivirus moteur anti-programme malveillant pour analyser et détecter des fichiers malveillants. Toutes les menaces détectées, déclenchent des alertes de sécurité directement dans Defender for Cloud et Defender XDR, où elles peuvent être examinées et corrigées. Le scanneur de programmes malveillants sans agent complète la couverture basée sur l’agent avec une deuxième couche de détection des menaces avec intégration sans friction et n’a aucun effet sur les performances de votre ordinateur.
En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Disponibilité générale de l'intégration de Defender for Cloud à Microsoft Defender XDR
15 janvier 2024
Nous annonçons la disponibilité générale de l'intégration entre Defender for Cloud et Microsoft Defender XDR (anciennement Office 365 Defender).
Cette intégration apporte des capacités de protection de cloud compétitives dans le centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender for Cloud et l’intégration Defender XDR, les équipes SOC peuvent découvrir des attaques qui combinent des détections à partir de plusieurs piliers, notamment cloud, point de terminaison, identité, Microsoft 365, etc.
En savoir plus sur alerts et incidents dans Microsoft Defender XDR.
Mise à jour : Analyse de machine virtuelle sans agent intégrée Azure rôle
14 janvier 2024**
Date estimée du changement : février 2024
Dans Azure, l’analyse sans agent pour les machines virtuelles utilise un rôle intégré (appelé opérateur de scanneur VM) avec les autorisations minimales nécessaires pour analyser et évaluer vos machines virtuelles pour détecter les problèmes de sécurité. Afin de fournir en permanence des suggestions pertinentes sur l'état de l'analyse et la configuration des machines virtuelles contenant des volumes chiffrés, une mise à jour des autorisations de ce rôle est prévue. La mise à jour inclut l’ajout de l’autorisation Microsoft.Compute/DiskEncryptionSets/read. Cette autorisation permet uniquement d'améliorer l'identification de l'utilisation des disques chiffrés dans les machines virtuelles. Il ne fournit Defender for Cloud plus de fonctionnalités pour déchiffrer ou accéder au contenu de ces volumes chiffrés au-delà des méthodes de chiffrement already prises en charge avant cette modification. Cette modification devrait avoir lieu en février 2024 et aucune action n’est requise de votre part.
Mise à jour : annotations de demande de tirage de sécurité DevOps activées par défaut pour les connecteurs Azure DevOps
12 janvier 2024
La sécurité DevOps expose les résultats de sécurité sous forme d’annotations dans les demandes de tirage (pull request) pour aider les développeurs à prévenir et à corriger les vulnérabilités de sécurité potentielles et les erreurs de configuration avant d’entrer en production. Depuis le 12 janvier 2024, les annotations de demande de tirage sont désormais activées par défaut pour tous les dépôts Azure DevOps nouveaux et existants connectés à Defender for Cloud.
Par défaut, les annotations de demande de tirage sont activées uniquement pour les résultats IaC (Infrastructure as Code) de gravité élevée. Les clients devront toujours configurer Sécurité Microsoft pour Que DevOps (MSDO) s’exécute dans les builds de demande de tirage et activer la stratégie de validation de build pour les builds CI dans les paramètres de référentiel Azure DevOps. Les clients peuvent désactiver la fonctionnalité Annotation de demande de tirage pour des référentiels spécifiques à partir des options de configuration du référentiel du volet de sécurité DevOps.
En savoir plus sur abling pull request annotations for Azure DevOps.
Dépréciation : Defender pour l’évaluation des vulnérabilités intégrée des serveurs (Qualys)
9 janvier 2024
Date estimée de la modification : mai 2024
La solution d’évaluation des vulnérabilités intégrée Defender pour serveurs alimentée par Qualys est sur un chemin de mise hors service, qui est estimé à se terminer sur May 1er, 2024. Si vous utilisez actuellement la solution d'évaluation des vulnérabilités alimentée par Qualys, vous devez planifier votre transition vers la solution intégrée de gestion des vulnérabilités Microsoft Defender.
Pour plus d’informations sur notre décision d’unifier notre offre d’évaluation des vulnérabilités avec Microsoft Defender Vulnerability Management, vous pouvez lire ce billet de blog.
Vous pouvez également consulter les questions common sur la transition vers Microsoft Defender Vulnerability Management solution.
Mise à jour : configuration réseau multicloud de Defender for Cloud
3 janvier 2024
Date estimée de la modification : mai 2024
À partir de mai 2024, nous retirerons les anciennes adresses IP associées à nos services de découverte multi-cloud afin de tenir compte des améliorations et de garantir une expérience plus sûre et plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à nos services, vous devez mettre à jour votre liste d'adresses IP avec les nouvelles plages indiquées dans les sections suivantes. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement.
La liste est applicable à tous les plans et suffisante pour que l'offre de base (gratuite) du CSPM soit pleinement opérationnelle.
Adresses IP à mettre hors service :
- GCP de découverte : 104.208.29.200, 52.232.56.127
- AWS de découverte : 52.165.47.219, 20.107.8.204
- Intégration : 13.67.139.3
Nouvelles plages d’adresses IP spécifiques à une région à ajouter :
- Europe Ouest : 52.178.17.48/28
- Europe Nord : 13.69.233.80/28
- USA Centre : 20.44.10.240/28
- USA Est 2 : 20.44.19.128/28
Décembre 2023
Consolidation des noms de niveau de service 2 de Defender for Cloud
30 décembre 2023
Nous allons consolider les noms de niveau de service 2 hérités pour tous les plans de Defender for Cloud en un seul nouveau nom de niveau de service 2, Microsoft Defender for Cloud.
Aujourd’hui, il existe quatre noms de niveau de service 2 : Azure Defender, Protection avancée contre les menaces, Advanced Data Security et Security Center. Les différents compteurs de Microsoft Defender for Cloud sont regroupés entre ces noms de niveau de service 2 distincts, créant des complexités lors de l’utilisation de Cost Management + Facturation, facturation et autres outils liés à la facturation Azure.
Le changement simplifie le processus d’examen des frais de Defender for Cloud et offre une meilleure clarté dans l’analyse des coûts.
Pour assurer une transition fluide, nous avons pris des mesures pour maintenir la cohérence du nom du produit/service, de la référence SKU et des ID de compteur. Les clients affectés recevront une notification de service Azure d’informations pour communiquer les modifications.
Les organisations qui récupèrent des données de coût en appelant nos API devront mettre à jour les valeurs dans leurs appels pour prendre en charge la modification. Par exemple, dans cette fonction de filtre, les valeurs ne retournent aucune information :
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| ANCIEN nom de niveau 2 de service | NOUVEAU nom de niveau 2 de service | Niveau de service - Niveau 4 de service (aucune modification) |
|---|---|---|
| Sécurité Avancée des Données | Microsoft Defender for Cloud | Defender pour SQL |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour les registres de conteneurs |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour DNS |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour Key Vault |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour Kubernetes |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour MySQL |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour PostgreSQL |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour Resource Manager |
| Protection avancée contre les menaces | Microsoft Defender for Cloud | Defender pour le stockage |
| Azure Defender | Microsoft Defender for Cloud | Defender pour la gestion des Surface d’attaque externe |
| Azure Defender | Microsoft Defender for Cloud | Defender pour Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender pour les conteneurs |
| Azure Defender | Microsoft Defender for Cloud | Défenseur pour MariaDB |
| Security Center | Microsoft Defender for Cloud | Defender pour App Service |
| Security Center | Microsoft Defender for Cloud | Defender pour les serveurs |
| Security Center | Microsoft Defender for Cloud | CSPM Defender |
Defender pour les serveurs au niveau de la ressource disponible en disponibilité générale
24 décembre 2023
Il est désormais possible de gérer Defender pour les serveurs sur des ressources spécifiques au sein de votre abonnement, ce qui vous donne un contrôle total sur votre stratégie de protection. Grâce à cette fonctionnalité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l’abonnement.
En savoir plus sur éblissement Defender pour les serveurs au niveau de la ressource.
Mise hors service des connecteurs classiques pour le multicloud
21 décembre 2023
L’expérience du connecteur multicloud classique est mise hors service et les données ne sont plus diffusées en continu vers des connecteurs créés via ce mécanisme. Ces connecteurs classiques ont été utilisés pour connecter AWS Security Hub et gcP Security Command Center à Defender for Cloud et intégrer AWS EC2s à Defender pour les serveurs.
La valeur totale de ces connecteurs a été remplacée par l’expérience des connecteurs de sécurité multi-cloud natifs, qui est en disponibilité générale pour AWS et GCP depuis mars 2022 sans coût supplémentaire.
Les nouveaux connecteurs natifs sont inclus dans votre plan et offrent une expérience d’intégration automatisée avec des options pour intégrer des comptes uniques, plusieurs comptes (avec Terraform) et l’intégration organisationnelle avec l’approvisionnement automatique pour les plans de Defender suivants : fonctionnalités CSPM de base gratuites, Defender Cloud Security Posture Management (CSPM), Defender pour les serveurs, Defender pour SQL et Defender pour les conteneurs.
Publication du workbook Couverture
21 décembre 2023
Le classeur Couverture vous permet de suivre les plans Defender for Cloud actifs sur les parties de vos environnements. Ce workbook peut vous aider à protéger entièrement vos environnements et vos abonnements. En ayant accès à des informations détaillées sur la couverture, vous pouvez aussi identifier les domaines qui peuvent nécessiter d’autres protections et prendre des mesures pour traiter ces domaines.
En savoir plus sur le classeur Couverture.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs alimentée par Microsoft Defender Vulnerability Management dans Azure Government et Azure exploitées par 21Vianet
14 décembre 2023
L’évaluation des vulnérabilités (VA) pour les images conteneur Linux dans Azure registres de conteneurs alimentés par Microsoft Defender Vulnerability Management est publiée pour la disponibilité générale (GA) dans Azure Government et Azure gérés par 21Vianet. Cette nouvelle version est disponible sous le Defender pour les conteneurs et les Defender pour les plans registres de conteneurs.
- Dans le cadre de ce changement, de nouvelles recommandations ont été publiées pour la disponibilité générale et incluses dans le calcul du score sécurisé. Passer en revue les recommandations de sécurité nouvelles et mises à jour
- L’analyse de l’image conteneur alimentée par Microsoft Defender Vulnerability Management entraîne désormais des frais en fonction de la tarification de plan. Les images analysées à la fois par notre offre VA conteneur alimentée par Qualys et l’offre Container VA alimentée par Microsoft Defender Vulnerability Management ne seront facturées qu’une seule fois.
Les recommandations qualys pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continuent d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur l’un de leurs abonnements avant cette version. Les nouveaux clients qui intègrent Defender pour les conteneurs après cette version verront uniquement les nouvelles recommandations d’évaluation des vulnérabilités de conteneur optimisées par Microsoft Defender Vulnerability Management.
Préversion publique de la prise en charge de Windows pour l’évaluation des vulnérabilités des conteneurs optimisée par Microsoft Defender Vulnerability Management
14 décembre 2023
La prise en charge des images Windows a été publiée en préversion publique dans le cadre de l’évaluation des vulnérabilités (VA) alimentée par Microsoft Defender Vulnerability Management pour Azure registres de conteneurs et Azure Kubernetes Services.
Mise hors service de l’évaluation de la vulnérabilité des conteneurs AWS basée sur Trivy
13 décembre 2023
L’évaluation des vulnérabilités des conteneurs basée sur Trivy est maintenant en cours de mise hors service, qui sera complètement effective le 13 février. Cette fonctionnalité est désormais déconseillée et continuera d’être disponible pour les clients existants qui l’utilisent jusqu’au 13 février. Nous encourageons les clients à utiliser cette fonctionnalité pour effectuer une mise à niveau vers la nouvelle évaluation des vulnérabilités de conteneur AWS optimisée par Microsoft Defender Vulnerability Management le 13 février.
Posture de conteneur sans agent pour AWS dans Defender pour conteneurs et CSPM Defender (préversion)
13 décembre 2023
Les nouvelles fonctionnalités de la posture de conteneur sans agent (préversion) sont disponibles pour AWS. Pour plus d’informations, consultez Posture de conteneur sans CSPM Defender et Fonctionnalités sans Defender pour conteneurs.
Prise en charge générale de la disponibilité pour le serveur flexible PostgreSQL dans Defender pour le plan de bases de données relationnelles open source
13 décembre 2023
Nous annonçons la publication générale de la prise en charge du serveur flexible PostgreSQL dans le Microsoft Defender pour les bases de données relationnelles open source plan. Microsoft Defender pour les bases de données relationnelles open source offre une protection avancée contre les menaces pour les serveurs flexibles PostgreSQL, en détectant les activités anormales et en générant des alertes security.
Découvrez comment Enable Microsoft Defender pour les bases de données relationnelles open source.
L’évaluation des vulnérabilités de conteneur alimentée par Microsoft Defender Vulnerability Management prend désormais en charge Google Distroless
12 décembre 2023
Les évaluations des vulnérabilités de conteneur optimisées par Microsoft Defender Vulnerability Management ont été étendues avec plus de couverture pour les packages de système d’exploitation Linux, prenant désormais en charge Google Distroless.
Pour obtenir la liste de tous les systèmes d’exploitation pris en charge, consultez Registries et la prise en charge des images pour Azure - Évaluation des vulnérabilités optimisée par Microsoft Defender Vulnerability Management.
Novembre 2023
Quatre alertes seront déconseillées
30 novembre 2023
Dans le cadre de notre processus d'amélioration de la qualité, les alertes de sécurité suivantes seront déconseillées :
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilité générale de l’analyse des secrets sans agent dans Defender pour les serveurs et les CSPM Defender
27 novembre 2023
L’analyse des secrets sans agent améliore le cloud de sécurité Machines Virtuelles (machine virtuelle) en identifiant les secrets en texte clair sur les disques de machine virtuelle. L’analyse des secrets sans agent fournit des informations complètes pour aider à classer par ordre de priorité les résultats détectés et à atténuer les risques des mouvements latéraux avant qu’ils ne se produisent. Cette approche proactive empêche l’accès non autorisé, ce qui garantit que votre environnement cloud reste sécurisé.
Nous annonçons la disponibilité générale des secrets sans agent, qui est inclus dans les plans Defender pour les serveurs P2 et CSPM Defender.
L’analyse des secrets sans agent utilise des API cloud pour effectuer des captures instantanées de vos disques, en conduisant une analyse hors bande qui garantit qu’il n’y a aucun effet sur les performances de votre machine virtuelle. L’analyse des secrets sans agent étend la couverture offerte par Defender for Cloud sur les ressources cloud dans les environnements Azure, AWS et GCP pour améliorer votre sécurité cloud.
Avec cette version, les fonctionnalités de détection de Defender for Cloud prennent désormais en charge d'autres types de base de données, les URL signées du magasin de données, les jetons d'accès, etc.
Découvrez comment gérer les secrets avec l’analyse des secrets sans agent.
Activer la gestion des autorisations avec Defender for Cloud (préversion)
22 novembre 2023
Microsoft propose désormais à la fois des solutions Cloud-Native CNAPP (Application Protection Platform) et CIEM (Cloud Infrastructure Entitlement Management) avec Microsoft Defender for Cloud (CNAPP) et Microsoft Entra gestion des autorisations (CIEM).
Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d’accès inutilisées ou excessives dans Defender for Cloud.
Les équipes de sécurité peuvent conduire les contrôles d’accès les moins privilégiés pour les ressources cloud et recevoir des recommandations actionnables pour résoudre les risques d’autorisations dans les environnements cloud Azure, AWS et GCP dans le cadre de leur Defender Cloud Security Posture Management (CSPM), sans aucune exigence de licence supplémentaire.
Découvrez comment Enable permissions management in Microsoft Defender for Cloud (préversion).
intégration de Defender for Cloud à ServiceNow
22 novembre 2023
ServiceNow est désormais intégré à Microsoft Defender for Cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender for Cloud pour hiérarchiser la correction des recommandations qui affectent votre entreprise. Microsoft Defender for Cloud s’intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer/afficher des tickets ServiceNow (liés aux recommandations) à partir de Microsoft Defender for Cloud.
Vous pouvez en savoir plus sur l'intégration de Defender for Cloud à ServiceNow.
Disponibilité générale du processus d’autoapprovisionnement pour les serveurs SQL sur le plan des machines
20 novembre 2023
En vue de la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender for Cloud a publié un processus d’autoprovisionnement SQL Server ciblé Azure (AMA). Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients, et offre également la possibilité d’activer au niveau des ressources pour les machines virtuelles Azure SQL et les serveurs SQL avec Arc.
Les clients qui utilisent le processus de provisionnement automatique MMA sont invités à migrater au nouveau Azure Monitoring Agent pour SQL Server sur les machines à provisionner automatiquement. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Disponibilité générale des Defender pour les API
15 novembre 2023
Nous annonçons la disponibilité générale de Microsoft Defender pour les API. Defender pour les API est conçue pour protéger les organisations contre les menaces de sécurité des API.
Defender pour les API permet aux organisations de protéger leurs API et leurs données contre les acteurs malveillants. Les organisations peuvent investiguer et améliorer leur position de sécurité des API, classer par ordre de priorité les correctifs de vulnérabilités, et détecter et répondre rapidement aux menaces actives en temps réel. Les organisations peuvent également intégrer des alertes de sécurité directement dans leur plateforme SIEM (Security Incident and Event Management), par exemple Microsoft Sentinel, pour examiner et trier les problèmes.
Vous pouvez apprendre à Protéger vos API avec Defender pour les API. Vous pouvez également en savoir plus sur About Microsoft Defender pour les API.
Vous pouvez également lire ce blog pour en savoir plus sur l’annonce en disponibilité générale.
Defender for Cloud est désormais intégré à Microsoft 365 Defender (préversion)
15 novembre 2023
Les entreprises peuvent protéger leurs ressources et appareils cloud avec la nouvelle intégration entre Microsoft Defender for Cloud et Microsoft Defender XDR. Cette intégration relie les ressources cloud, les appareils et les identités, qui nécessitaient auparavant plusieurs expériences.
Cette intégration apporte également des fonctionnalités de protection de cloud compétitives dans le Centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender XDR, les équipes SOC peuvent facilement découvrir des attaques qui combinent des détections à partir de plusieurs piliers, notamment cloud, point de terminaison, identité, Microsoft 365, etc.
Voici les principaux avantages :
One interface facile à utiliser pour les équipes SOC : avec les alertes et les corrélations cloud de Defender for Cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d'une seule interface, ce qui améliore considérablement l'efficacité opérationnelle.
Un scénario histoire d’attaque : les clients sont en mesure de comprendre entièrement le scénario d’attaque, y compris leur environnement cloud, à l’aide de corrélations prédéfinies qui combinent des alertes de sécurité provenant de plusieurs sources.
Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge les nouvelles entités cloud uniques à Microsoft Defender for Cloud, telles que les ressources cloud. Les clients peuvent faire correspondre des entités de machine virtuelle à des entités d’appareil, fournissant une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui y ont été déclenchés.
APIUnified pour les produits Sécurité Microsoft : les clients peuvent désormais exporter leurs données d'alertes de sécurité dans leurs systèmes de choix à l'aide d'une API unique, car Microsoft Defender for Cloud alertes et incidents font désormais partie de l'API publique de Microsoft Defender XDR.
L’intégration entre Defender for Cloud et Microsoft Defender XDR est disponible pour tous les clients Defender for Cloud nouveaux et existants.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs optimisée par Microsoft Defender Vulnerability Management (MDVM) dans Defender pour les conteneurs et les Defender pour les registres de conteneurs
15 novembre 2023
L’évaluation des vulnérabilités (VA) pour les images conteneur Linux dans Azure registres de conteneurs alimentés par Microsoft Defender Vulnerability Management (MDVM) est publiée pour la disponibilité générale (GA) dans Defender pour les conteneurs et les Defender pour les registres de conteneurs.
Dans le cadre de cette modification, les recommandations suivantes ont été publiées pour la disponibilité générale et renommées, et sont désormais incluses dans le calcul du score sécurisé :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (alimentés par Microsoft Defender Vulnerability Management) | Azure images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management) | Les évaluations des vulnérabilités des images conteneur analysent votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| L’exécution d’images conteneur doit avoir des résultats de vulnérabilité résolus (alimentés par Microsoft Defender Vulnerability Management) | Azure’exécution d’images conteneur doivent avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L’analyse de l’image conteneur alimentée par MDVM entraîne désormais des frais en fonction de la tarification du plan.
Note
Les images analysées à la fois par notre offre de conteneur VA alimentée par Qualys et l’offre de conteneur VA alimentée par MDVM, ne seront facturées qu’une seule fois.
Les recommandations Qualys ci-dessous pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continueront d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur l’un de leurs abonnements avant le 15 novembre. Les nouveaux clients qui intègrent Defender pour les conteneurs après le 15 novembre voient uniquement les nouvelles recommandations d’évaluation des vulnérabilités de conteneur optimisées par Microsoft Defender Vulnerability Management.
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Azure images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Azure’exécution d’images conteneur doivent avoir des vulnérabilités résolues - (alimenté par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Modification des noms de recommandations d’évaluations des vulnérabilités de conteneur
Les recommandations relatives aux évaluations des vulnérabilités d’un conteneur suivantes ont été renommées :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Azure images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Azure’exécution d’images conteneur doivent avoir des vulnérabilités résolues - (alimenté par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
| Les résultats de vulnérabilité des images de registre de conteneurs élastiques doivent être résolus | Les vulnérabilités (optimisées par Trivy) doivent être résolues sur les images de conteneur de registre AWS | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Hiérarchisation des risques désormais disponible pour les recommandations
15 novembre 2023
Vous pouvez maintenant hiérarchiser vos recommandations de sécurité en fonction du niveau de risque qu’elles présentent, en tenant compte à la fois de l’exploitabilité et de l’effet commercial potentiel de chaque problème de sécurité sous-jacent.
En organisant vos recommandations en fonction de leur niveau de risque (critique, élevé, moyen, faible), vous pouvez résoudre les risques les plus critiques au sein de votre environnement et hiérarchiser efficacement la correction des problèmes de sécurité en fonction du risque réel tel que l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et les chemins d’attaque potentiels qui pourraient être atténués en résolvant les recommandations.
En savoir plus sur la hiérarchisation des risques.
Analyse du chemin d'attaque : nouveau moteur et améliorations importantes
15 novembre 2023
Nous publions des améliorations apportées aux fonctionnalités d'analyse des chemins d'attaque dans Defender for Cloud.
Nouveau moteur : l’analyse du chemin d’attaque a un nouveau moteur, qui utilise l’algorithme de recherche de chemin d’accès pour détecter tous les chemins d’attaque possibles qui existent dans votre environnement cloud (en fonction des données que nous avons dans notre graphique). Nous pouvons trouver de nombreux chemins d’attaque supplémentaires dans votre environnement et détecter des modèles d’attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
Améliorations : les améliorations suivantes sont publiées :
- Hiérarchisation des risques : liste hiérarchisée des chemins d’attaque en fonction du risque (exploitabilité et impact sur l’entreprise).
- Correction améliorée : identifier les recommandations spécifiques qui doivent être résolues pour briser réellement la chaîne.
- Chemins d’attaque interclouds – détection des chemins d’attaque qui sont des chemins d’accès interclouds (chemins qui commencent dans un cloud et se terminent dans un autre).
- MITRE : mappage de tous les chemins d’attaque au framework MITRE.
- Expérience utilisateur actualisée – expérience actualisée avec des fonctionnalités plus fortes : filtres avancés, recherche et regroupement de chemins d’attaque pour faciliter le triage.
Découvrez comment identifier et corriger les chemins d’accès d’attaques
Modifications apportées au schéma de table Azure Resource Graph du chemin d'attaque
15 novembre 2023
Le schéma de table Azure Resource Graph du chemin d'attaque est mis à jour. La propriété attackPathType est supprimée et d’autres propriétés sont ajoutées.
Version de disponibilité générale de la prise en charge de GCP dans CSPM Defender
15 novembre 2023
Nous annonçons la publication en disponibilité générale (disponibilité générale) du graphique de sécurité cloud contextuel CSPM Defender et de l'analyse des chemins d'accès aux attaques avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de CSPM Defender pour une visibilité complète et une sécurité cloud intelligente entre les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan CSPM Defender.
Note
La facturation de la version en disponibilité générale du support GCP dans CSPM Defender commencera le 1er février 2024.
Version en disponibilité générale du tableau de bord de sécurité des données
15 novembre 2023
Le tableau de bord de sécurité des données est désormais disponible en disponibilité générale (GA) dans le cadre du plan de CSPM Defender.
Le tableau de bord de sécurité des données vous permet d’afficher le patrimoine de données de votre organisation, les risques liés aux données sensibles et les insights sur vos ressources de données.
Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version en disponibilité générale de la découverte de données sensibles pour les bases de données
15 novembre 2023
La découverte de données sensibles pour les bases de données managées, notamment les bases de données Azure SQL et les instances AWS RDS (toutes les versions SGBDR) est désormais en disponibilité générale et permet la découverte automatique de bases de données critiques qui contiennent des données sensibles.
Pour activer cette fonctionnalité dans tous les magasins de données pris en charge sur vos environnements, vous devez activer Sensitive data discovery dans CSPM Defender. Découvrez how pour activer la découverte de données sensibles dans CSPM Defender.
Vous pouvez également découvrir comment la découverte de données sensibles est utilisée dans la posture de sécurité prenant en charge les données.
Annonce de la préversion publique : Nouvelle visibilité étendue de la sécurité des données multicloud dans Microsoft Defender for Cloud.
La nouvelle version de la recommandation pour rechercher les mises à jour système manquantes est maintenant en disponibilité générale
6 novembre 2023
Un agent supplémentaire n’est plus nécessaire sur vos machines virtuelles Azure et Azure Arc pour vous assurer que les machines disposent de toutes les dernières mises à jour système de sécurité ou critiques.
La nouvelle recommandation de mise à jour système, System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure) dans le contrôle Apply system updates, est basée sur le Update Manager et est désormais entièrement en disponibilité générale. La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et Azure Arc machines au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous guide pour faire une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire de mise à jour.
Les anciennes et nouvelles versions des recommandations pour rechercher les mises à jour système manquantes seront disponibles jusqu’en août 2024, c’est-à-dire quand l’ancienne version est dépréciée. Les deux recommandations : System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure)and System updates should be installed on your machines sont disponibles sous le même contrôle : Apply system updates et a les mêmes résultats. Par conséquent, il n’y a pas de duplication de l’effet sur le degré de sécurisation.
Nous vous recommandons de migrer vers la nouvelle recommandation et de supprimer l'ancienne, en la désactivant de l'initiative intégrée de Defender for Cloud dans Azure stratégie.
La recommandation [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) est également en disponibilité générale et constitue un prérequis, ce qui a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le correctif disponible.
Pour appliquer la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)pour corriger la recommandation.
Note
L'activation d'évaluations périodiques pour les machines avec Arc qui Defender pour les serveurs Plan 2 n'est pas activée sur leur abonnement ou connecteur associé, est soumise à Gestionnaire de mise à jour Azure tarification. Les machines avec Arc qui Defender pour les serveurs Plan 2 sont activées sur leur abonnement ou connecteurs associés, ou toute machine virtuelle Azure, est éligible à cette fonctionnalité sans coût supplémentaire.
Octobre 2023
Modification de la gravité de l’alerte de sécurité du contrôle d’application adaptatif
Date d’annonce : 30 octobre 2023
Dans le cadre du processus d’amélioration de la qualité des alertes de sécurité de Defender pour les serveurs, et dans le cadre des contrôles d’application adaptifs, la gravité de l’alerte de sécurité suivante passe à « Informational » :
| Alerte [Type d’alerte] | Description de l’alerte |
|---|---|
| La violation de la stratégie de contrôle d’application adaptative a été auditée.[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application. |
Pour continuer à afficher cette alerte dans la page « Alertes de sécurité » du portail Microsoft Defender for Cloud, modifiez le filtre d’affichage par défaut Severity pour inclure des alertes information dans la grille.
Révisions de Gestion des API Azure hors connexion supprimées de Defender pour les API
25 octobre 2023
Defender pour les API a mis à jour sa prise en charge des révisions d’API Gestion des API Azure. Les révisions hors connexion n’apparaissent plus dans le Defender intégré pour l’inventaire des API et ne semblent plus être intégrées à Defender pour les API. Les révisions hors connexion n’autorisent pas l’envoi d’un trafic vers elles et ne présentent aucun risque du point de vue de la sécurité.
Recommandations de gestion de la posture de sécurité DevOps disponibles en préversion publique
19 octobre 2023
Les nouvelles recommandations de gestion des postures DevOps sont désormais disponibles en préversion publique pour tous les clients disposant d’un connecteur pour Azure DevOps ou GitHub. La gestion de la posture DevOps permet de réduire la surface d’attaque des environnements DevOps en découvrant les faiblesses des configurations de sécurité et des contrôles d’accès. En savoir plus sur la gestion de la posture DevOps.
Publication de CIS Azure Foundations Benchmark v2.0.0 dans le tableau de bord de conformité réglementaire
18 octobre 2023
Microsoft Defender for Cloud prend désormais en charge les dernières CIS Azure Security Foundations Benchmark - version 2.0.0 dans le dashboard et une initiative de stratégie intégrée dans Azure Policy. La version 2.0.0 dans Microsoft Defender for Cloud est un effort collaboratif conjoint entre Microsoft, le Centre pour la sécurité Internet (CIS) et les communautés d’utilisateurs. La version 2.0.0 étend considérablement l’étendue de l’évaluation, qui comprend désormais des stratégies de Azure intégrées 90+ et réussit les versions antérieures 1.4.0 et 1.3.0 et 1.0 dans Microsoft Defender for Cloud et Azure Policy. Pour plus d’informations, vous pouvez consulter ce billet de blog.
Septembre 2023
Passer à la limite quotidienne Log Analytics
Azure moniteur offre la possibilité de set une limite quotidienne sur les données ingérées sur vos espaces de travail Log Analytics. Toutefois, les événements de sécurité Defender pour le cloud ne sont actuellement pas pris en charge dans ces exclusions.
La limite quotidienne Log Analytics n’exclut plus l’ensemble de données suivant :
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Tous les types de données facturables seront limités si la limite quotidienne est atteinte. Cette modification améliore votre capacité à contenir entièrement les coûts liés à une ingestion de données plus élevée que prévu.
En savoir plus sur workspaces avec Microsoft Defender for Cloud.
Tableau de bord de la sécurité des données disponible en préversion publique
27 septembre 2023
Le tableau de bord de sécurité des données est désormais disponible en préversion publique dans le cadre du plan de CSPM Defender. Le tableau de bord de la sécurité des données est un tableau de bord interactif centré sur les données qui met en lumière les risques importants pour les données sensibles, en hiérarchisant les alertes et les chemins d’attaque éventuels pour les données sur les charges de travail cloud hybrides. Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Préversion : nouveau processus de provisionnement automatique pour SQL Server sur le plan des machines
21 septembre 2023
Microsoft Monitoring Agent (MMA) est déconseillé en août 2024. Defender for Cloud mis à jour sa stratégie en remplaçant MMA par la mise en production d'un processus d'autoprovisionnement Azure SQL Server ciblé Azure Monitoring Agent.
Pendant la préversion, les clients qui utilisent le processus de provisionnement automatique MMA avec l’option Azure Monitor Agent (préversion) sont invités à migrate au nouveau Azure Monitoring Agent pour SQL Server sur les machines (préversion) processus de provisionnement automatique. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Pour plus d’informations, consultez Migrate vers le processus de provisionnement automatique Azure Monitoring Agent ciblé par SQL Server.
GitHub Advanced Security for Azure DevOps alertes dans Defender for Cloud
20 septembre 2023
Vous pouvez maintenant afficher GitHub alertes Advanced Security for Azure DevOps (GHAzDO) liées à CodeQL, secrets et dépendances dans Defender for Cloud. Les résultats sont affichés sur la page DevOps et dans Recommandations. Pour afficher ces résultats, intégrez vos référentiels GHAzDO à Defender for Cloud.
En savoir plus sur GitHub Advanced Security for Azure DevOps.
Fonctionnalités exemptées désormais disponibles pour Defender pour les recommandations d’API
11 septembre 2023
Vous pouvez désormais exempter les recommandations pour les Defender suivantes pour les recommandations de sécurité des API.
| Recommendation | Description et stratégie associée | Severity |
|---|---|---|
| (Préversion) Les points de terminaison d’API non utilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d'API qui n'ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation des points de terminaison d’API inutilisés peut présenter un risque de sécurité. Il peut s’agir d’API qui auraient dû être déconseillées à partir du service Gestion des API Azure, mais qui ont été accidentellement laissées actives. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | Low |
| (Préversion) Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour réduire le risque de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Pour les API publiées dans Gestion des API Azure, cette recommandation évalue l’exécution de l’authentification via les clés d’abonnement, JWT et le certificat client configurés dans Gestion des API Azure. Si aucun de ces mécanismes d’authentification n’est exécuté pendant l’appel d’API, l’API reçoit cette recommandation. | High |
En savoir plus sur les recommandations exempting dans Defender for Cloud.
Créer des exemples d’alertes pour Defender pour les détections d’API
11 septembre 2023
Vous pouvez maintenant générer des exemples d’alertes pour les détections de sécurité publiées dans le cadre de la Defender pour la préversion publique des API. En savoir plus sur générer des exemples d’alertes dans Defender for Cloud.
Préversion : l’évaluation des vulnérabilités des conteneurs alimentée par Microsoft Defender Vulnerability Management prend désormais en charge l’analyse sur extraction
6 septembre 2023
L’évaluation des vulnérabilités des conteneurs alimentée par Microsoft Defender Vulnerability Management prend désormais en charge un déclencheur supplémentaire pour l’analyse d’images extraites d’un ACR. Ce déclencheur nouvellement ajouté fournit une couverture supplémentaire pour les images actives en plus des déclencheurs existants qui analysent les images envoyées à un ACR au cours des 90 derniers jours et les images en cours d’exécution dans AKS.
Ce nouveau déclencheur commencera à être déployé aujourd’hui et devrait être disponible pour tous les clients d’ici la fin du mois de septembre.
Format de nommage des normes de Center for Internet Security (CIS) en matière de conformité réglementaire mis à jour
6 septembre 2023
Le format de nommage des benchmarks de base CIS (Center for Internet Security) dans le tableau de bord de conformité passe de [Cloud] CIS [version number] à CIS [Cloud] Foundations v[version number]. Reportez-vous au tableau suivant :
| Nom actuel | Nouveau Nom |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Découvrez comment améliorer votre conformité réglementaire.
Découverte de données sensibles pour les bases de données PaaS (préversion)
5 septembre 2023
Les fonctionnalités de posture de sécurité prenant en charge les données pour la découverte de données sensibles sans friction pour les bases de données PaaS (Azure SQL Bases de données et instances Amazon RDS de n’importe quel type) sont désormais en préversion publique. Cette préversion publique vous permet de créer une carte de vos données critiques où qu’elles se trouvent et du type des données qui se trouvent dans ces bases de données.
La découverte de données sensibles pour les bases de données Azure et AWS, ajoute à la taxonomie et à la configuration partagées, qui est déjà disponible publiquement pour les ressources de stockage d’objets cloud (Stockage Blob Azure, compartiments AWS S3 et compartiments de stockage GCP) et fournit une seule configuration et expérience d’activation.
Les bases de données sont analysées chaque semaine. Si vous activez sensitive data discovery, la découverte s’exécute dans les 24 heures. Les résultats peuvent être affichés dans le Cloud Security Explorer ou en examinant les nouveaux chemins d’attaque pour les bases de données managées comprenant des données sensibles.
La posture de sécurité prenant en charge les données pour les bases de données est disponible via le plan CSPM Defender et est automatiquement activée sur les abonnements où sensitive data discovery option est activée.
Pour en savoir plus sur la posture de sécurité sensible aux données, consultez les articles suivants :
- Prise en charge et conditions préalables pour la posture de sécurité prenant en charge les données
- Activer la posture de sécurité sensible aux données
- Explorer les risques concernant les données sensibles
Disponibilité générale (GA) : analyse des programmes malveillants dans Defender pour le stockage
1 septembre 2023
L’analyse des programmes malveillants est désormais en disponibilité générale (GA) comme module complémentaire pour Defender pour le stockage. L’analyse des programmes malveillants dans Defender pour le stockage permet de protéger vos comptes de stockage contre le contenu malveillant en effectuant une analyse complète du contenu chargé en quasi-temps réel, à l’aide de Microsoft Defender fonctionnalités antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. La fonctionnalité d’analyse des programmes malveillants est une solution SaaS sans agent qui permet une configuration à grande échelle et prend en charge l’automatisation de la réponse à grande échelle.
En savoir plus sur l’analyse malware dans Defender pour le stockage.
L’analyse des programmes malveillants est facturée en fonction de votre utilisation des données et du budget. La facturation commence le 3 septembre 2023. Pour plus d’informations, consultez la page de tarification .
Si vous utilisez le plan précédent, vous devez migrer de manière proactive vers le nouveau plan afin d’activer l’analyse des programmes malveillants.
Lisez le billet de blog Microsoft Defender for Cloud annonce.
Août 2023
Les mises à jour en août sont les suivantes :
Defender pour conteneurs : découverte sans agent pour Kubernetes
30 août 2023
Nous sommes heureux d'introduire Defender Pour conteneurs : découverte sans agent pour Kubernetes. Cette version marque une étape importante en matière de sécurité des conteneurs, vous permettant d’obtenir des insights avancés et des fonctionnalités d’inventaire complètes pour les environnements Kubernetes. La nouvelle offre de conteneur est alimentée par le graphique de sécurité contextuel Defender for Cloud. Voici ce que vous pouvez attendre de cette dernière mise à jour :
- Découverte sans agent pour Kubernetes
- Fonctionnalités d’inventaire complètes
- Insights de sécurité spécifiques à Kubernetes
- Meilleure chasse aux risques avec Cloud Security Explorer
La découverte sans agent pour Kubernetes est désormais disponible pour tous les clients Defender For Containers. Vous pouvez commencer à utiliser ces fonctionnalités avancées dès aujourd’hui. Nous vous encourageons à mettre à jour vos abonnements pour que l’ensemble complet d’extensions soit activé et tirer parti des derniers ajouts et fonctionnalités. Visitez le volet Environment et paramètres de votre abonnement Defender pour conteneurs pour activer l’extension.
Note
L'activation des derniers ajouts n'entraîne pas de nouveaux coûts pour les Defender actifs pour les clients Conteneurs.
Pour plus d’informations, consultez Overview des Microsoft Defender de sécurité de conteneur pour conteneurs.
Version de recommandation : Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles
22 août 2023
Une nouvelle recommandation dans Defender pour le stockage a été publiée. Cette recommandation garantit que Defender pour le stockage est activé au niveau de l’abonnement avec des fonctionnalités d’analyse des programmes malveillants et de détection des menaces de données sensibles.
| Recommendation | Description |
|---|---|
| Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. Avec une configuration simple sans agent à grande échelle, lorsqu’il est activé au niveau de l’abonnement, tous les comptes de stockage existants et nouvellement créés sous cet abonnement sont automatiquement protégés. Vous pouvez également exclure des comptes de stockage spécifiques des abonnements protégés. |
Cette nouvelle recommandation remplace la recommandation actuelle Microsoft Defender for Storage should be enabled (clé d’évaluation 1be22853-8ed1-4005-9907-ddad64cb1417). Toutefois, cette recommandation sera toujours disponible dans Azure Government clouds.
En savoir plus sur Microsoft Defender pour le stockage.
Les propriétés étendues dans Defender for Cloud alertes de sécurité sont masquées à partir des journaux d’activité
17 août 2023
Nous avons récemment modifié la façon dont les alertes de sécurité et les journaux d’activité sont intégrés. Pour mieux protéger les informations sensibles sur les clients, nous n’incluons plus ces informations dans les journaux d’activité. Au lieu de cela, nous le masquons avec des astérisque. Toutefois, ces informations sont toujours disponibles via l’API d’alertes, l’exportation continue et le portail Defender for Cloud.
Les clients qui s'appuient sur les journaux d'activité pour exporter des alertes vers leurs solutions SIEM doivent envisager d'utiliser une autre solution, car il n'est pas recommandé d'exporter des alertes de sécurité Defender for Cloud.
Pour obtenir des instructions sur l’exportation d’alertes de sécurité Defender for Cloud vers SIEM, SOAR et d’autres applications tierces, consultez Stream des alertes vers une solution SIEM, SOAR ou IT Service Management.
Préversion de la prise en charge de GCP dans CSPM Defender
15 août 2023
Nous annonçons la préversion du graphique de sécurité cloud contextuel CSPM Defender analyse du chemin d'attaque et du graphique de sécurité cloud contextuels avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de CSPM Defender pour une visibilité complète et une sécurité cloud intelligente entre les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan CSPM Defender.
Nouvelles alertes de sécurité dans Defender pour serveurs Plan 2 : détection d’attaques potentielles en cas d’abus Azure extensions de machine virtuelle
7 août 2023
Cette nouvelle série d'alertes se concentre sur la détection d'activités suspectes de Azure extensions de machine virtuelle et fournit des insights sur les tentatives des attaquants de compromettre et d'effectuer des activités malveillantes sur vos machines virtuelles.
Microsoft Defender pour les serveurs peut désormais détecter les activités suspectes des extensions de machine virtuelle, ce qui vous permet d’obtenir une meilleure couverture de la sécurité des charges de travail.
Azure extensions de machine virtuelle sont de petites applications qui exécutent après le déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :
- Pour la collecte et la surveillance des données.
- Pour l’exécution du code et le déploiement de configuration avec des privilèges élevés.
- Pour réinitialiser les informations d’identification et créer des utilisateurs administratifs.
- Pour le chiffrement des disques.
Voici un tableau des nouvelles alertes.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Échec suspect lors de l’installation de l’extension GPU dans votre abonnement (préversion) (VM_GPUExtensionSuspiciousFailure) |
Intention suspecte d’installer une extension GPU sur des machines virtuelles non prises en charge. Cette extension doit être installée sur les machines virtuelles équipées d’un processeur graphique et, dans ce cas, les machines virtuelles ne sont pas équipées de ce type. Ces échecs peuvent être vus lorsque des adversaires malveillants exécutent plusieurs installations de cette extension à des fins de crypto-exploration. | Impact | Medium |
|
Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) Cette alerte a été publiée en juillet 2023. |
Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via le Azure Resource Manager pour effectuer le cryptojacking. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels. | Impact | Low |
|
Run Command avec un script suspect a été détecté sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousScript) |
Une commande d’exécution avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser la commande Exécuter pour exécuter du code malveillant avec des privilèges élevés sur votre machine virtuelle via le Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
|
Une utilisation suspecte non autorisée de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousFailure) |
L’utilisation suspecte non autorisée de la commande d’exécution a échoué et a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent tenter d’utiliser la commande d’exécution pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Execution | Medium |
|
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousUsage) |
L’utilisation suspecte de la commande d’exécution a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser la commande Exécuter pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Execution | Low |
|
Une utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles (préversion) (VM_SuspiciousMultiExtensionUsage) |
L’utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de ces extensions pour la collecte de données, la surveillance du trafic réseau, etc. dans votre abonnement. Cet usage est considéré comme suspect, car il n’a pas été couramment observé auparavant. | Reconnaissance | Medium |
|
Une installation suspecte d’extensions de chiffrement de disque a été détectée sur vos machines virtuelles (préversion) (VM_DiskEncryptionSuspiciousUsage) |
Une installation suspecte des extensions de chiffrement de disque a été détectée sur vos machines virtuelles en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de l’extension de chiffrement de disque pour déployer des chiffrements de disque complets sur vos machines virtuelles via le Azure Resource Manager dans une tentative d’exécution d’une activité de ransomware. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant et en raison du nombre élevé d’installations d’extension. | Impact | Medium |
|
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles (préversion) (VM_VMAccessSuspiciousUsage) |
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles. Les attaquants peuvent abuser de l’extension d’accès aux machines virtuelles pour accéder à et compromettre vos machines virtuelles disposant de privilèges élevés en réinitialisant l’accès ou en gérant les utilisateurs administratifs. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Persistence | Medium |
| extension Desired State Configuration (DSC) avec un script suspect a été détectée sur votre machine virtuelle (préversion) (VM_DSCExtensionSuspiciousScript) |
l’extension Desired State Configuration (DSC) avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc. avec des privilèges élevés sur vos machines virtuelles. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
|
Utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles (préversion) (VM_DSCExtensionSuspiciousUsage) |
Une utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc. avec des privilèges élevés sur vos machines virtuelles. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Impact | Low |
|
L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle (préversion) (VM_CustomScriptExtensionSuspiciousCmd) (Cette alerte existe déjà et a été améliorée avec des méthodes de logique et de détection améliorées.) |
L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de script personnalisé pour exécuter du code malveillant avec des privilèges élevés sur votre machine virtuelle via le Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
Consultez les alertes extension dans Defender pour les serveurs.
Pour obtenir la liste complète des alertes, consultez la table reference pour toutes les alertes de sécurité dans Microsoft Defender for Cloud.
Mises à jour du modèle métier et des tarifs pour les plans de Defender for Cloud
1er août 2023
Microsoft Defender for Cloud a trois plans qui offrent une protection de couche de service :
Defender pour Key Vault
Defender pour Resource Manager
Defender pour DNS
Ces plans sont passés à un nouveau modèle d’entreprise avec des prix et des emballages différents pour répondre aux commentaires des clients concernant la prévisibilité des dépenses et la simplification de la structure de coût globale.
Résumé des modifications de modèle d’entreprise et de tarification :
Les clients existants d’Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise actuel et leur tarification, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et le nouveau prix.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement par mois. Les clients peuvent basculer vers le nouveau modèle métier en sélectionnant le Defender pour Resource Manager nouveau modèle d’abonnement.
Les clients existants d’Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise actuel et leur tarification, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et le nouveau prix.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement par mois. Les clients peuvent basculer vers le nouveau modèle métier en sélectionnant le Defender pour Resource Manager nouveau modèle d’abonnement.
- Defender pour Key Vault : ce plan a un prix fixe par coffre, par mois sans frais de dépassement. Les clients peuvent basculer vers le nouveau modèle métier en sélectionnant l’Defender pour Key Vault nouveau par modèle de coffre
- Defender pour DNS : Defender pour les clients Plan 2 de serveurs ont accès à Defender pour la valeur DNS dans le cadre de Defender pour serveurs Plan 2 sans frais supplémentaires. Les clients qui ont à la fois Defender pour le plan serveur 2 et Defender pour DNS ne sont plus facturés pour Defender pour DNS. Defender pour DNS n’est plus disponible en tant que plan autonome.
En savoir plus sur la tarification de ces plans dans la page de tarification Defender for Cloud.
Juillet 2023
Les mises à jour du mois de juillet incluent :
| Date | Update |
|---|---|
| 31 juillet | Version préliminaire de l’évaluation des vulnérabilités des conteneurs optimisée par Microsoft Defender Vulnerability Management dans Defender pour les conteneurs et les Defender pour les registres de conteneurs |
| 30 juillet | Posture de conteneur sans CSPM Defender est désormais disponible en disponibilité générale |
| 20 juillet | Management des mises à jour automatiques vers Defender pour point de terminaison pour Linux |
| 18 juillet | |
| 12 juillet | Nouvelle alerte sécurité dans Defender pour les serveurs plan 2 : détection des attaques potentielles tirant parti des extensions de pilote GPU de machine virtuelle Azure |
| 9 juillet | Prise en charge de la désactivation des résultats de vulnérabilité spécifiques |
| 1er juillet | La posture de sécurité prenant en charge les données est désormais en disponibilité générale |
Préversion de l’évaluation des vulnérabilités des conteneurs avec Microsoft Defender Vulnerability Management
31 juillet 2023
Nous annonçons la publication de l'évaluation des vulnérabilités (VA) pour les images conteneur Linux dans Azure registres de conteneurs alimentés par Microsoft Defender Vulnerability Management dans Defender pour les conteneurs et les Defender pour les registres de conteneurs. La nouvelle offre VA de conteneur sera fournie en même temps que notre offre Va de conteneur existante alimentée par Qualys dans les deux Defender pour conteneurs et Defender pour les registres de conteneurs, et inclura des analyses quotidiennes des images conteneur, des informations d’exploitabilité, la prise en charge des langages de système d’exploitation et de programmation (SCA) et bien plus encore.
Cette nouvelle offre commencera à être déployée aujourd'hui et devrait être disponible pour tous les clients d'ici le 7 août.
En savoir plus sur l’évaluation des vulnérabilités container avec Microsoft Defender Vulnerability Management.
La posture de conteneur sans agent dans CSPM Defender est désormais en disponibilité générale
30 juillet 2023
Les fonctionnalités de posture de conteneur sans agent sont désormais en disponibilité générale (GA) dans le cadre du plan CSPM Defender (Gestion de la posture de sécurité cloud).
En savoir plus sur la posture de conteneur agentless dans CSPM Defender.
Gestion des mises à jour automatiques de Defender pour point de terminaison pour Linux
20 juillet 2023
Par défaut, Defender for Cloud tente de mettre à jour votre Defender pour les agents Endpoint pour Linux intégrés à l’extension MDE.Linux. Avec cette version, vous pouvez gérer ce paramètre et désactiver la configuration par défaut pour gérer manuellement vos cycles de mise à jour.
Analyse des secrets sans agent pour les machines virtuelles dans Defender pour les serveurs P2 & CSPM Defender
18 juillet 2023
L’analyse des secrets est désormais disponible dans le cadre de l’analyse sans agent dans Defender serveurs P2 et CSPM Defender. Cette fonctionnalité permet de détecter les secrets non gérés et non sécurisés enregistrés sur des machines virtuelles dans des ressources Azure ou AWS qui peuvent être utilisées pour se déplacer ultérieurement dans le réseau. Si des secrets sont détectés, Defender for Cloud peut aider à hiérarchiser et à prendre des mesures correctives exploitables pour réduire le risque de mouvement latéral, tout cela sans affecter les performances de votre ordinateur.
Pour plus d’informations sur la protection de vos secrets avec l’analyse des secrets, consultez Gérer les secrets avec l’analyse des secrets sans agent.
Nouvelle alerte de sécurité dans Defender pour les serveurs plan 2 : détection d’attaques potentielles tirant parti Azure extensions de pilote GPU de machine virtuelle
12 juillet 2023
Cette alerte se concentre sur l'identification des activités suspectes en tirant parti de Azure machine virtuelle extensions de piloteGPU et fournit des insights sur les tentatives des attaquants de compromettre vos machines virtuelles. L’alerte cible les déploiements suspects d’extensions de pilotes GPU. Ces extensions sont souvent utilisées par les acteurs de menace pour utiliser toute la puissance de la carte graphique et effectuer un cryptojacking.
| Nom d’affichage de l’alerte (Type d’alerte) |
Description | Severity | Tactique MITRE |
|---|---|---|---|
| Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) |
Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations de Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via le Azure Resource Manager pour effectuer le cryptojacking. | Low | Impact |
Pour obtenir la liste complète des alertes, consultez la table reference pour toutes les alertes de sécurité dans Microsoft Defender for Cloud.
Prise en charge de la désactivation des résultats de vulnérabilité spécifiques
9 juillet 2023
Publication de la prise en charge pour désactiver les résultats des vulnérabilités pour vos images de registre de conteneurs ou pour l’exécution d’images dans le cadre d’une posture de conteneur sans agent. Si votre organisation a besoin d’ignorer un résultat de vulnérabilité sur votre image de registre de conteneurs plutôt que de le corriger, vous pouvez désactiver cette fonction. Les résultats désactivés n’ont pas d’effet sur votre degré de sécurisation, et ne génèrent aucun bruit indésirable.
Découvrez comment désactiver les résultats d’évaluation des vulnérabilités sur les images du registre de conteneurs.
La posture de sécurité prenant en charge les données est désormais en disponibilité générale
1er juillet 2023
La posture de sécurité prenant en charge les données dans Microsoft Defender for Cloud est désormais en disponibilité générale. Elle aide les clients à réduire les risques liés aux données et à réagir aux violations de données. À l’aide de la posture de sécurité prenant en compte les données, vous pouvez :
- Découvrez automatiquement les ressources de données sensibles entre Azure et AWS.
- Évaluer la sensibilité des données, l’exposition des données et la façon dont les données circulent entre les organisations.
- Découvrir de manière proactive et continue les risques susceptibles d’entraîner des violations de données.
- Détectez des activités suspectes pouvant indiquer des menaces continues pour des ressources de données sensibles
Pour plus d’informations, consultez Posture de sécurité prenant en charge les données dans Microsoft Defender for Cloud.
Juin 2023
Les mises à jour du mois de juin incluent :
Intégration simplifiée de comptes multiclouds grâce à des paramètres améliorés
26 juin 2023
Defender for Cloud a amélioré l’expérience d’intégration pour inclure une nouvelle interface utilisateur simplifiée et des instructions en plus de nouvelles fonctionnalités qui vous permettent d’intégrer vos environnements AWS et GCP tout en fournissant l’accès aux fonctionnalités d’intégration avancées.
Pour les organisations qui ont adopté Hashicorp Terraform pour l’automatisation, Defender for Cloud inclut désormais la possibilité d’utiliser Terraform comme méthode de déploiement avec AWS CloudFormation ou GCP Cloud Shell. Vous pouvez désormais personnaliser les noms de rôles requis lors de la création de l’intégration. Vous pouvez également choisir entre les options suivantes :
Défini access : permet Defender for Cloud d’analyser vos ressources et d’inclure automatiquement des fonctionnalités futures.
Least privileged access -Grants Defender for Cloud accès uniquement aux autorisations actuelles nécessaires pour les plans sélectionnés.
Si vous sélectionnez les autorisations avec des privilèges minimum, vous recevez uniquement des notifications relatives à de nouveaux rôles et autorisations nécessaires pour que l’intégrité du connecteur soit complètement opérationnelle.
Defender for Cloud vous permet de faire la distinction entre vos comptes cloud par leurs noms natifs des fournisseurs de cloud. Par exemple, des alias de compte AWS et des noms de projet GCP.
Prise en charge du point de terminaison privé pour l’analyse des programmes malveillants dans Defender pour le stockage
25 juin 2023
La prise en charge du point de terminaison privé est désormais disponible dans le cadre de la préversion publique de l’analyse des programmes malveillants dans Defender pour le stockage. Cette fonctionnalité permet d’activer l’analyse des programmes malveillants sur les comptes de stockage qui utilisent des points de terminaison privés. Aucune configuration supplémentaire n’est nécessaire.
Analyse du programme malveillant (préversion) dans Defender pour le stockage permet de protéger vos comptes de stockage contre le contenu malveillant en effectuant une analyse complète des programmes malveillants sur le contenu chargé en quasi-temps réel, à l’aide de Microsoft Defender fonctionnalités antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. Il s’agit d’une solution SaaS sans agent qui permet une configuration simple à grande échelle, sans aucune maintenance, et prend en charge l’automatisation de la réponse à grande échelle.
Les points de terminaison privés fournissent une connectivité sécurisée à vos services stockage Azure, éliminant efficacement l’exposition à l’Internet public et sont considérés comme une bonne pratique de sécurité.
Pour les comptes de stockage avec des points de terminaison privés qui ont déjà activé l’analyse des programmes malveillants, vous devez désactiver et activer le plan avec l’analyse des programmes malveillants pour que cela fonctionne.
En savoir plus sur l’utilisation de points de terminaison private dans Defender pour le stockage et comment sécuriser vos services de stockage plus loin.
Recommandation publiée pour la préversion : l’exécution d’images conteneur doit avoir des résultats de vulnérabilité résolus (alimentés par Microsoft Defender Vulnerability Management)
21 juin 2023
Une nouvelle recommandation de conteneur dans CSPM Defender alimentée par Microsoft Defender Vulnerability Management est publiée pour la préversion :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| L’exécution d’images conteneur doit avoir des résultats de vulnérabilité résolus (alimentés par Microsoft Defender Vulnerability Management)(préversion) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Cette nouvelle recommandation remplace la recommandation actuelle du même nom, alimentée par Qualys, uniquement dans CSPM Defender (remplacement de la clé d’évaluation 4150391-efa5-47ee-9282-4eff6131462c).
Des mises à jour de contrôle ont été apportées aux normes NIST 800-53 en matière de conformité réglementaire
15 juin 2023
Les normes NIST 800-53 (R4 et R5) ont récemment été mises à jour avec des changements de contrôle dans Microsoft Defender for Cloud conformité réglementaire. Les contrôles gérés par Microsoft ont été supprimés de la norme, et les informations sur l’implémentation de responsabilité Microsoft (dans le cadre du modèle de responsabilité partagée cloud) sont désormais disponibles uniquement dans le volet détails du contrôle sous Microsoft Actions.
Ces contrôles étaient auparavant calculés en tant que contrôles réussis. Vous pourriez donc constater une baisse significative de votre score de conformité pour des normes NIST entre avril 2023 et mai 2023.
Pour plus d’informations sur les contrôles de conformité, consultez Tutorial : vérifications de conformité réglementaire - Microsoft Defender for Cloud.
La planification de la migration cloud avec un cas d’entreprise Azure Migrate inclut désormais Defender for Cloud
11 juin 2023
Vous pouvez maintenant découvrir des économies potentielles en matière de sécurité en appliquant des Defender for Cloud dans le contexte d’un Azure Migrate cas d’entreprise.
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais en disponibilité générale
7 juin 2023
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais disponible en disponibilité générale. La configuration Express offre une expérience d’intégration simplifiée pour les évaluations des vulnérabilités SQL à l’aide d’une configuration en un clic (ou d’un appel d’API). Aucun paramètre ou dépendance supplémentaire n’est nécessaire sur les comptes de stockage managé.
Consultez ce blog pour en savoir plus sur la configuration rapide.
Vous pouvez découvrir les différences entre la configuration express et la configuration classique.
Autres étendues ajoutées aux connecteurs Azure DevOps existants
6 juin 2023
Defender pour DevOps ajouté les étendues supplémentaires suivantes à l’application Azure DevOps (ADO) :
Gestion avancée de la sécurité:
vso.advsec_manage. Ce qui est nécessaire pour vous permettre d’activer, désactiver et gérer GitHub Sécurité avancée pour ADO.Mappage de conteneurs :
vso.extension_manage,vso.gallery_manager; Ce qui est nécessaire pour vous permettre de partager l’extension de décorateur avec l’organisation ADO.
Seuls les nouveaux clients Defender pour DevOps qui tentent d’intégrer des ressources ADO à Microsoft Defender for Cloud sont affectés par cette modification.
L’intégration directe (sans Azure Arc) à Defender pour les serveurs est désormais en disponibilité générale
5 juin 2023
Auparavant, Azure Arc était nécessaire pour intégrer des serveurs non Azure à Defender pour les serveurs. Toutefois, avec la dernière version, vous pouvez également intégrer vos serveurs locaux à Defender pour les serveurs à l’aide uniquement de l’agent Microsoft Defender for Endpoint.
Cette nouvelle méthode simplifie le processus d'intégration pour les clients axés sur la protection de point de terminaison de base et vous permet de tirer parti de Defender pour la facturation basée sur la consommation des serveurs pour les ressources cloud et noncloud. L’option d’intégration directe via Defender pour point de terminaison est disponible maintenant, avec la facturation des machines intégrées à partir du 1er juillet.
Pour plus d’informations, consultez Connectez vos machines non Azure à Microsoft Defender for Cloud avec Defender pour point de terminaison.
Remplacement de la découverte basée sur un agent par la découverte sans agent pour les fonctionnalités de conteneurs dans CSPM Defender
4 juin 2023
Avec les fonctionnalités de posture de conteneur sans agent disponibles dans CSPM Defender, les fonctionnalités de découverte basées sur l’agent sont désormais supprimées. Si vous utilisez actuellement des fonctionnalités de conteneur dans CSPM Defender, assurez-vous que les extensions relevant sont activées pour continuer à recevoir la valeur liée au conteneur des nouvelles fonctionnalités sans agent, telles que les chemins d’attaque liés au conteneur, les insights et l’inventaire. (L’activation des extensions peut prendre jusqu’à 24 heures).
Si vous souhaitez obtenir plus d’informations, consultez Posture de conteneur sans agent.
Mai 2023
Les mises à jour du mois de mai incluent :
- A nouvelle alerte dans Defender pour Key Vault.
- Prise en charge de l’analyse sans agent des disques chiffrés dans AWS.
- Changes dans JIT (Just-In-Time) conventions d’affectation de noms dans Defender for Cloud.
- Intégration de régions AWS sélectionnées.
- Modifications apportées aux recommandations d’identité.
- Dépréciation des normes héritées dans le tableau de bord de conformité.
- Update de deux recommandations Defender pour DevOps pour inclure des résultats d’analyse Azure DevOps
- Paramètre par défaut Defender pour la solution d’évaluation des vulnérabilités serveurs.
- Possibilité de télécharger un rapport CSV des résultats de votre requête Cloud Security Explorer (préversion).
- La version de l’évaluation des vulnérabilités des conteneurs avec Microsoft Defender Vulnerability Management.
- Changement de nom des recommandations de conteneur optimisées par Qualys.
- Une mise à jour vers Defender pour DevOps GitHub Application.
- Changer vers Defender pour DevOps annotations de demande de tirage dans les référentiels Azure DevOps qui incluent désormais l’infrastructure en tant que configurations incorrectes de code.
Nouvelle alerte dans Defender pour Key Vault
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Unusual access to the key vault from a suspect IP (Non-Microsoft or External) (KV_UnusualAccessSuspiciousIP) |
Un utilisateur ou un principal de service a tenté d’accéder anormalement aux coffres de clés à partir d’une adresse IP non Microsoft au cours des 24 dernières heures. Ce modèle d’accès anormal peut être une activité légitime. Il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Medium |
Pour toutes les alertes disponibles, consultez Alerts pour Azure Key Vault.
L’analyse sans agent prend désormais en charge les disques chiffrés dans AWS
L’analyse sans agent pour les machines virtuelles prend désormais en charge le traitement des instances avec des disques chiffrés dans AWS, à l’aide de CMK et de PMK.
Cette prise en charge étendue augmente la couverture et la visibilité de votre patrimoine cloud sans impacter vos charges de travail en cours d’exécution. La prise en charge des disques chiffrés conserve la même méthode sans impact sur les instances en cours d’exécution.
- Pour les nouveaux clients qui activent l’analyse sans agent dans AWS, la couverture des disques chiffrés est intégrée et prise en charge par défaut.
- Pour les clients existants qui ont déjà un connecteur AWS dont l’analyse sans agent est activée, vous devez réappliquer la pile CloudFormation à vos comptes AWS intégrés pour mettre à jour et ajouter les nouvelles autorisations requises pour traiter les disques chiffrés. Le modèle CloudFormation mis à jour inclut de nouvelles affectations qui permettent Defender for Cloud de traiter des disques chiffrés.
Vous pouvez en savoir plus sur les autorisations utilisées pour analyser les instances AWS.
Pour réappliquer votre pile CloudFormation :
- Accédez à Defender for Cloud paramètres d’environnement et ouvrez votre connecteur AWS.
- Accédez à l’onglet Configurer Access .
- Sélectionnez Cliquez pour télécharger le modèle CloudFormation.
- Accédez à votre environnement AWS et appliquez le modèle mis à jour.
En savoir plus sur l’analyse sans agent et l’activation de l’analyse sans agent dans AWS.
Conventions d’affectation de noms de règles révisées (Juste-In-Time) dans Defender for Cloud
Nous avons révisé les règles JIT (Just-In-Time) pour s’aligner sur la marque Microsoft Defender for Cloud. Nous avons modifié les conventions d’affectation de noms pour les règles Pare-feu Azure et NSG (groupe de sécurité réseau).
Les modifications sont répertoriées ci-dessous :
| Description | Ancien nom | Nouveau Nom |
|---|---|---|
| Noms de règles JIT (autoriser et refuser) dans NSG (groupe de sécurité réseau) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descriptions des règles JIT dans NSG | Règle d’accès réseau JIT ASC | Règle d’accès réseau JIT MDC |
| Noms des collections de règles de pare-feu JIT | ASC-JIT | MDC-JIT |
| Noms des règles de pare-feu JIT | ASC-JIT | MDC-JIT |
Découvrez comment sécuriser vos ports de gestion avec un accès juste-à-temps.
Intégrer des régions AWS sélectionnées
Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins en matière de conformité, vous pouvez désormais sélectionner les régions AWS à analyser quand vous ajoutez ou modifiez un connecteur cloud. Vous pouvez désormais analyser certaines régions AWS ou toutes les régions disponibles (par défaut) lorsque vous intégrez vos comptes AWS à Defender for Cloud. En savoir plus sur Connectez votre compte AWS à Microsoft Defender for Cloud.
Changements multiples apportés aux recommandations sur l’identité
Les recommandations suivantes sont désormais publiées en disponibilité générale et remplacent les recommandations V1 qui sont désormais déconseillées.
Version en disponibilité générale (GA) des recommandations d’identité V2
La version V2 des recommandations relatives aux identités introduit les améliorations suivantes :
- L’étendue de l’analyse a été développée pour inclure toutes les ressources Azure, pas seulement les abonnements. Cela permet aux administrateurs de sécurité d’afficher les attributions de rôles par compte.
- Des comptes spécifiques peuvent désormais être exemptés de l’évaluation. Les comptes tels que les comptes de secours ou de service peuvent être exclus par les administrateurs de sécurité.
- La fréquence d’analyse a été augmentée de 24 heures à 12 heures pour garantir une meilleure actualisation et une plus grande précision des recommandations d’identité.
Les recommandations de sécurité suivantes sont proposées en disponibilité générale et remplacent les recommandations V1 :
| Recommendation | Clé d’évaluation |
|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être activés pour l’authentification multifacteur | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Les comptes disposant d’autorisations d’écriture sur Azure ressources doivent être activés par MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Les comptes disposant d’autorisations de lecture sur les ressources Azure doivent être activés pour l’authentification multifacteur | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Les comptes invités disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Les comptes invités disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Les comptes invités disposant d’autorisations de lecture sur Azure ressources doivent être supprimés | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Dépréciation des recommandations d’identité V1
Les recommandations de sécurité suivantes sont désormais déconseillées :
| Recommendation | Clé d’évaluation |
|---|---|
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur les abonnements. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur les abonnements. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur les abonnements. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Les comptes externes disposant d’autorisations d’écriture doivent être supprimés des abonnements. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Les comptes externes disposant d’autorisations de lecture doivent être supprimés des abonnements. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Les comptes déconseillés disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Les comptes déconseillés doivent être supprimés des abonnements | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Nous vous recommandons de mettre à jour vos scripts personnalisés, workflows et règles de gouvernance afin qu’ils correspondent aux recommandations V2.
Dépréciation des normes héritées dans le tableau de bord de conformité
Les services TSP SOC hérités v3.2.1 et PCI DSS hérités ont été entièrement déconseillés dans le tableau de bord de conformité Defender for Cloud, et remplacés par SOC 2 initiative et PCI DSS v4 normes de conformité basées sur les initiatives. Nous avons entièrement déconseillé l’appui de PCI DSS standard/initiative dans Microsoft Azure géré par 21Vianet.
Découvrez comment personnaliser l’ensemble de normes dans votre tableau de bord de conformité réglementaire.
Defender pour DevOps comprend des résultats d’analyse de Azure DevOps
Defender pour DevOps Code et IaC ont étendu sa couverture des recommandations dans Microsoft Defender for Cloud afin d’inclure des résultats de sécurité Azure DevOps pour les deux recommandations suivantes :
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Auparavant, la couverture de Azure DevOps analyse de sécurité incluait uniquement la recommandation relative aux secrets.
En savoir plus sur Defender pour DevOps.
Nouveau paramètre par défaut pour Defender solution d’évaluation des vulnérabilités serveurs
Les solutions d’évaluation des vulnérabilités sont essentielles pour protéger les ordinateurs contre les cyberattaques et les violations de données.
Microsoft Defender Vulnerability Management est désormais activé comme solution intégrée par défaut pour tous les abonnements protégés par Defender pour les serveurs qui n'ont pas encore de solution VA sélectionnée.
Si une solution VA est activée sur l'une de ses machines virtuelles, aucune modification n'est apportée et Microsoft Defender Vulnerability Management ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Télécharger un rapport CSV des résultats de votre requête de l’Explorateur de sécurité cloud (préversion)
Defender for Cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de votre requête Cloud Security Explorer.
Une fois que vous avez exécuté une recherche pour une requête, vous pouvez sélectionner le bouton Download CSV report (préversion) dans la page Cloud Security Explorer dans Defender for Cloud.
Découvrez comment créer des requêtes avec l’explorateur de sécurité du cloud
La mise en production de l’évaluation des vulnérabilités des conteneurs avec Microsoft Defender Vulnerability Management
Nous annonçons la publication d'images d'évaluation des vulnérabilités pour Linux dans Azure registres de conteneurs alimentés par Microsoft Defender Vulnerability Management dans CSPM Defender. Cette version inclut l’analyse quotidienne des images. Les résultats utilisés dans l’Explorateur de sécurité et les chemins d’attaque s’appuient sur Microsoft Defender Évaluation des vulnérabilités, au lieu du scanneur Qualys.
La recommandation Container registry images should have vulnerability findings resolved existante est remplacée par une nouvelle recommandation :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (alimentés par Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | dbd0cb49-b563-45e7-9724-889e79fa648 est remplacé par c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
En savoir plus sur la posture des conteneurs Agentless dans CSPM Defender.
En savoir plus sur Microsoft Defender Vulnerability Management.
Renommer les recommandations de conteneur optimisées par Qualys
Les recommandations de conteneur actuelles dans Defender pour les conteneurs seront renommées comme suit :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
mise à jour de l’application Defender pour DevOps GitHub
Microsoft Defender pour DevOps apporte constamment des modifications et des mises à jour qui nécessitent Defender pour DevOps clients qui ont intégré leurs environnements GitHub dans Defender for Cloud pour fournir des autorisations dans le cadre de l’application déployée dans leur GitHub Organisation. Ces autorisations sont nécessaires pour garantir que toutes les fonctionnalités de sécurité de Defender pour DevOps fonctionnent normalement et sans problème.
Nous vous suggérons de mettre à jour les autorisations dès que possible pour garantir un accès continu à toutes les fonctionnalités disponibles de Defender pour DevOps.
Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation, sélectionnez GitHub Apps. Recherchez votre organisation, puis sélectionnez Vérifier la demande.
Vous recevrez un e-mail automatisé à partir du support GitHub. Dans l’e-mail, sélectionnez Examiner la demande d’autorisation pour accepter ou rejeter cette modification.
Une fois que vous avez suivi l’une de ces options, vous accédez à l’écran de révision où vous devez examiner la demande. Sélectionnez Accepter de nouvelles autorisations pour approuver la demande.
Si vous avez besoin d’une assistance pour mettre à jour les autorisations, vous pouvez créer une demande de support Azure.
Vous pouvez également en savoir plus sur Defender pour DevOps. Si une solution VA est activée sur l'une de ses machines virtuelles, aucune modification n'est apportée et Microsoft Defender Vulnerability Management ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Defender pour DevOps annotations de demande de tirage dans les référentiels Azure DevOps inclut désormais l’infrastructure en tant que configurations incorrectes du code
Defender pour DevOps a étendu sa couverture d’annotation de demande de tirage (PULL) dans Azure DevOps pour inclure des configurations incorrectes d’infrastructure as code (IaC) détectées dans Azure Resource Manager et les modèles Bicep.
Les développeurs peuvent désormais voir des annotations pour les configurations incorrectes IaC directement dans leurs demandes de tirage. Les développeurs peuvent également corriger des problèmes de sécurité critiques avant que l’infrastructure ne soit approvisionnée dans des charges de travail cloud. Pour simplifier la correction, les développeurs reçoivent un niveau de gravité, une description de configuration incorrecte et des instructions de correction dans chaque annotation.
Auparavant, la couverture des annotations de tirage Defender pour DevOps dans Azure DevOps incluait uniquement des secrets.
En savoir plus sur les annotations Defender pour DevOps et l Request.
Avril 2023
Les mises à jour du mois d’avril incluent :
- Posture de conteneur sans CSPM Defender (préversion)
- Nouvelle recommandation de préversion pour le chiffrement de disque unifié
- Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
- Dépréciation des stratégies de surveillance de langages App Service
- Nouvelle alerte dans Defender pour Resource Manager
- les alertes Three dans le Defender pour Resource Manager plan ont été déconseillées
- Alerts exportation automatique vers Log Analytics espace de travail ont été déconseillées
- Déprecation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
- Recommandations relatives à l’authentification Microsoft Entra Microsoft Entra pour Azure Data Services
- Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
- Defender pour les API (préversion)
Posture de conteneur sans agent dans CSPM Defender (préversion)
Les nouvelles fonctionnalités de posture de conteneur sans agent (préversion) sont disponibles dans le cadre du plan CSPM Defender (Gestion de la posture de sécurité cloud).
La posture de conteneur sans agent permet aux équipes de sécurité d’identifier les risques liés à la sécurité dans des conteneurs et des domaines Kubernetes. Une approche sans agent permet aux équipes de sécurité d’avoir une meilleure visibilité de leurs registres Kubernetes et conteneurs au cours de la SDLC et de l’exécution, éliminant les frictions et l’empreinte des charges de travail.
La posture de conteneur sans agent offre des évaluations de la vulnérabilité d’un conteneur qui, combinées à l’analyse du chemin d’attaque, permettent aux équipes de sécurité de hiérarchiser et de zoomer sur des vulnérabilités d’un conteneur spécifique. Vous pouvez également utiliser l’explorateur de sécurité cloud pour déceler les risques et rechercher des insights de la posture de conteneur, telles que la découverte d’applications exécutant des images vulnérables ou exposées à Internet.
Pour plus d’informations, consultez Posture de conteneur sans agent (préversion).
Recommandation de chiffrement de disque unifié (préversion)
Il existe de nouvelles recommandations de chiffrement de disque unifié en préversion.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Ces recommandations remplacent Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, détectées Azure Disk Encryption et la stratégie Virtual machines and virtual machine scale sets should have encryption at host enabled, qui a détecté EncryptionAtHost. ADE et EncryptionAtHost offrent une couverture de chiffrement au repos comparable, et nous vous recommandons d’activer l’une de ces deux options sur chaque machine virtuelle. Les nouvelles recommandations détectent si ADE ou EncryptionAtHost sont activés et avertissent uniquement si ni l’un ni l’autre n’est activé. Nous avertissons également si ADE est activé sur certains disques, mais pas sur tous les disques d’une machine virtuelle (cette condition ne s’applique pas à EncryptionAtHost).
Les nouvelles recommandations nécessitent Azure Automanage Configuration de l’ordinateur.
Ces recommandations sont basées sur les stratégies suivantes :
- (préversion) Windows machines virtuelles doivent activer Azure Disk Encryption ou EncryptionAtHost
- les machines virtuelles Linux (préversion) doivent activer Azure Disk Encryption ou EncryptionAtHost
Découvrez ADE et EncryptionAtHost, et comment activer l’un d’entre eux.
Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
La recommandation Machines should be configured securelya été annulée. La mise à jour améliore les performances et la stabilité de la recommandation et aligne son expérience avec le comportement générique des recommandations de Defender for Cloud.
Dans le cadre de cette mise à jour, l’ID de recommandation181ac480-f7c4-544b-9865-11b8ffe87f47 a été remplacé par c476dc48-8110-4139-91af-c8d940896b98.
Aucune action n’est requise côté client et aucun effet n’est attendu sur le degré de sécurisation.
Dépréciation des stratégies de surveillance de langages App Service
Les stratégies d’analyse langage App Service suivantes ont été dépréciées en raison de leur aptitude à générer des faux négatifs et parce qu’elles n’offrent pas nécessairement une meilleure sécurité. Vous devez toujours vous assurer d’utiliser une version de langage sans vulnérabilités connues.
| Nom de stratégie | ID de stratégie |
|---|---|
| App Service apps qui utilisent Java doivent utiliser la dernière version « Java version » | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service apps qui utilisent Python doivent utiliser la dernière version de Python ' | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| les applications Function qui utilisent Java doivent utiliser la dernière version Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Applicationsfunction qui utilisent Python doivent utiliser la dernière version « Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Les applications App Service qui utilisent PHP doivent utiliser la dernière « version PHP » | 7261b898-8a84-4db8-9e04-18527132abb3 |
Les clients peuvent utiliser d’autres stratégies intégrées pour surveiller n’importe quelle version de langage spécifiée pour leurs services App Services.
Ces stratégies ne sont plus disponibles dans les recommandations intégrées de Defender for Cloud. Vous pouvez addez-les en tant que recommandations personnalisées pour les surveiller Defender for Cloud.
Nouvelle alerte dans Defender pour Resource Manager
Defender pour Resource Manager a la nouvelle alerte suivante :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Création suspecte de ressources de calcul détectée (ARM_SuspiciousComputeCreation) |
Microsoft Defender pour Resource Manager identifié une création suspecte de ressources de calcul dans votre abonnement utilisant Machines Virtuelles/Azure groupe identique. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources si besoin. Bien que cette activité puisse être légitime, il est possible qu’un acteur malveillant exploite ces opérations pour réaliser une exploration cryptographique. L’activité est considérée comme suspecte, car l’échelle des ressources de calcul est plus élevée que celle observée précédemment dans l’abonnement. Cela peut indiquer que le principal est compromis et qu’il est utilisé dans une intention malveillante. |
Impact | Medium |
Vous pouvez voir la liste de tous les alerts disponibles pour Resource Manager.
Trois alertes dans le Defender pour Resource Manager plan ont été déconseillées
Les trois alertes suivantes pour le Defender pour Resource Manager plan ont été déconseillées :
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Dans un scénario où l’activité à partir d’une adresse IP suspecte est détectée, l’une des alertes de plan de Resource Manager suivantes Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address sera présente.
L’exportation automatique des alertes vers Log Analytics espace de travail a été déconseillée
Les alertes de sécurité Defender pour cloud sont automatiquement exportées vers un espace de travail Log Analytics par défaut au niveau de la ressource. Cela entraîne un comportement indéterminé et, par conséquent, cette fonctionnalité a été dépréciée.
Au lieu de cela, vous pouvez exporter vos alertes de sécurité vers un espace de travail dédié Log Analytics avec Export continu.
Si vous avez déjà configuré l’exportation continue de vos alertes vers un espace de travail Log Analytics, aucune autre action n’est requise.
Dépréciation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
Le processus d’amélioration de la qualité des alertes de sécurité pour Defender pour les serveurs inclut la dépréciation de certaines alertes pour les serveurs Windows et Linux. Les alertes déconseillées sont désormais sources et couvertes par Defender pour les alertes de menace de point de terminaison.
Si vous disposez déjà de la Defender pour l’intégration de point de terminaison activée, aucune autre action n’est requise. Vous pourriez constater une diminution du volume de vos alertes en avril 2023.
Si vous n'avez pas activé la Defender pour l'intégration de point de terminaison dans Defender pour les serveurs, vous devez activer l'Defender pour l'intégration de point de terminaison afin de maintenir et d'améliorer votre couverture des alertes.
Tous les Defender pour les clients serveurs ont un accès complet à l'intégration du Defender pour point de terminaison dans le cadre du plan Defender pour les serveurs.
Vous pouvez en savoir plus sur les options d’intégration Microsoft Defender for Endpoint.
Vous pouvez également consulter la liste complète des alertes qui seront dépréciées.
Lisez le blog Microsoft Defender for Cloud.
Nouvelles recommandations relatives à l’authentification Microsoft Entra pour Azure Data Services
Nous avons ajouté quatre nouvelles recommandations d’authentification Microsoft Entra pour Azure Data Services.
| Nom de la recommandation | Description de la recommandation | Policy |
|---|---|---|
| Azure SQL Managed Instance mode d’authentification doit être Microsoft Entra ID uniquement | La désactivation des méthodes d’authentification locales et l’autorisation uniquement Microsoft Entra l’authentification améliore la sécurité en garantissant que Azure SQL Managed Instances est accessible exclusivement par Microsoft Entra ID identités. | Azure SQL Managed Instance doit avoir Microsoft Entra ID Authentification uniquement activée |
| Azure Synapse mode d’authentification de l’espace de travail doit être Microsoft Entra ID uniquement | Microsoft Entra ID seules les méthodes d’authentification améliorent la sécurité en garantissant que les espaces de travail Synapse nécessitent exclusivement des identités Microsoft Entra ID pour l’authentification. En savoir plus. | les espaces de travail Synapse doivent utiliser uniquement des identités Microsoft Entra ID pour l’authentification |
| Azure Database pour MySQL devez disposer d’un administrateur Microsoft Entra provisionné | Provisionnez un administrateur Microsoft Entra pour votre Azure Database pour MySQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | A Microsoft Entra administrateur doit être approvisionné pour les serveurs MySQL |
| Azure Database pour PostgreSQL devez disposer d’un administrateur de Microsoft Entra provisionné | Provisionnez un administrateur Microsoft Entra pour votre Azure Database pour PostgreSQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | A Microsoft Entra administrateur doit être approvisionné pour les serveurs PostgreSQL |
Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
Les recommandations System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure) et Machines should be configured to periodically check for missing system updates ont été publiées pour la disponibilité générale.
Pour utiliser la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
-
Activez la propriété d’évaluation périodique. Vous pouvez utiliser le bouton Corriger.
dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updatespour corriger la recommandation.
Une fois ces étapes terminées, vous pouvez supprimer l'ancienne recommandation System updates should be installed on your machines, en la désactivant de l'initiative intégrée de Defender for Cloud dans Azure stratégie.
Les deux versions des recommandations :
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Les deux seront disponibles jusqu’à ce que l’agent Log Analytics soit déconseillé le 31 août 2024, c’est-à-dire lorsque l’ancienne version (System updates should be installed on your machines) de la recommandation sera également déconseillée. Les deux recommandations retournent les mêmes résultats et sont disponibles sous le même contrôle Apply system updates.
La nouvelle recommandation System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure) dispose d’un flux de correction disponible via le bouton Correctif, qui peut être utilisé pour corriger les résultats via update Manager (préversion). Ce processus de correction est toujours en préversion.
La nouvelle recommandation System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure) n'est pas censée affecter votre degré de sécurisation, car elle a les mêmes résultats que l'ancienne recommandation System updates should be installed on your machines.
La recommandation de prérequis (Activer la propriété d’évaluation périodique) a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le bouton Correctif disponible.
Defender pour les API (préversion)
le Defender for Cloud de Microsoft annonce la nouvelle Defender pour les API est disponible en préversion.
Defender pour les API offre une protection, une détection et une couverture de réponse complètes pour les API.
Defender pour les API vous permet d’obtenir une visibilité sur les API critiques pour l’entreprise. Vous pouvez examiner et améliorer votre posture de sécurité des API, hiérarchiser des correctifs de vulnérabilité et détecter rapidement des menaces actives en temps réel.
En savoir plus sur Defender pour les API.
Mars 2023
Les mises à jour du mois de mars incluent :
- A nouvelle Defender pour le plan de stockage est disponible, notamment l’analyse des programmes malveillants en quasi-temps réel et la détection des menaces de données sensibles
- Posture de sécurité sensible aux données (préversion)
- expérience Improved pour la gestion des stratégies de sécurité par défaut Azure
- CSPM Defender (Gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
- Option pour créer des recommandations et des normes de sécurité personnalisées dans Microsoft Defender for Cloud
- Microsoft benchmark de sécurité cloud (MCSB) version 1.0 est désormais disponible en disponibilité générale (GA)
- Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
- Nouvelle recommandation en préversion pour les serveurs Azure SQL
- Nouvelle alerte dans Defender pour Key Vault
Un nouveau Defender pour le plan de stockage est disponible, notamment l’analyse quasi-en temps réel des programmes malveillants et la détection des menaces de données sensibles
Le stockage cloud joue un rôle clé dans l’organisation et stocke de grands volumes de données précieuses et sensibles. Aujourd'hui, nous annonçons une nouvelle Defender pour le plan de stockage. Si vous utilisez le plan précédent (maintenant renommé « Defender pour le stockage (classique) »), vous devez
Le nouveau plan inclut des fonctionnalités de sécurité avancées pour vous protéger contre les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Ce plan fournit également une structure tarifaire plus prévisible et plus souple pour un meilleur contrôle de la couverture et des coûts.
Les nouvelles fonctionnalités de ce nouveau plan sont désormais disponibles en préversion publique :
Détection des événements d’exposition et d’exfiltration de données sensibles
Analyse en quasi-temps réel des programmes malveillants d’objets blob lors du chargement sur tous les types de fichiers
Détection d’entités sans identité à l’aide de jetons SAP
Ces fonctionnalités améliorent la capacité existante de surveillance des activités, basée sur l’analyse des journaux de contrôle et de plan de données et sur la modélisation comportementale pour identifier les premiers signes d’une violation.
Toutes ces fonctionnalités sont disponibles dans le cadre d’un nouveau plan tarifaire prévisible et souple qui permet un contrôle granulaire de la protection des données au niveau de l’abonnement et des ressources.
En savoir plus sur Overview de Microsoft Defender pour le stockage.
Posture de sécurité sensible aux données (préversion)
Microsoft Defender for Cloud aide les équipes de sécurité à être plus productives pour réduire les risques et répondre aux violations de données dans le cloud. La solution leur permet de faire la part des choses grâce au contexte des données et de classer par ordre de priorité les risques de sécurité les plus critiques, afin d’éviter une violation de données coûteuse.
- Découvrez automatiquement les ressources de données dans le domaine cloud et évaluez leur accessibilité, leur sensibilité aux données et leurs flux de données configurés. -Découvrez en permanence les risques de violations de ressources de données sensibles, d’exposition ou des chemins d’attaque qui pourraient conduire à une ressource de données à l’aide d’une technique de déplacement latéral.
- Détectez les activités suspectes qui pourraient indiquer une menace en cours pour les ressources de données sensibles.
En savoir plus sur la posture de sécurité prenant en compte les données.
Amélioration de l’expérience de gestion des stratégies de sécurité de Azure par défaut
Nous introduisons une expérience améliorée de gestion des stratégies de sécurité Azure pour les recommandations intégrées qui simplifient la façon dont Defender for Cloud clients ajustent leurs exigences de sécurité. Cette nouvelle expérience inclut les nouvelles fonctionnalités suivantes :
- Une interface simple permet une meilleure performance et une meilleure expérience lors de la gestion des stratégies de sécurité par défaut dans Defender for Cloud.
- Vue unique de toutes les recommandations de sécurité intégrées proposées par le benchmark de sécurité cloud Microsoft (anciennement le benchmark de sécurité Azure). Les recommandations sont organisées en groupes logiques, ce qui facilite la compréhension des types de ressources couvertes, ainsi que la relation entre les paramètres et les recommandations.
- De nouvelles fonctionnalités telles que les filtres et la recherche ont été ajoutées.
Découvrez comment gérer les stratégies de sécurité.
Lisez le blog Microsoft Defender for Cloud.
CSPM Defender (Gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
Nous annonçons que CSPM Defender est désormais disponible en disponibilité générale. CSPM Defender offre tous les services disponibles sous les fonctionnalités cspM fondamentales et ajoute les avantages suivants :
- Analyse du chemin d’attaque et API ARG – L’analyse du chemin d’attaque utilise un algorithme basé sur le graphique qui analyse le graphique de sécurité du cloud pour exposer les chemins d’attaque et suggère des recommandations sur la meilleure façon de remédier aux problèmes qui permettent de rompre le chemin d’attaque et d’empêcher une violation effective. Vous pouvez également utiliser des chemins d’attaque par programmation en interrogeant l’API Azure Resource Graph (ARG). Découvrez comment utiliser l’analyse du chemin d’attaque
- Explorateur de sécurité du cloud – Utilisez Cloud Security Explorer pour exécuter des requêtes basées sur le graphique de sécurité du cloud, afin d’identifier de manière proactive les risques de sécurité dans vos environnements multiclouds. En savoir plus sur l’explorateur de sécurité du cloud.
En savoir plus sur CSPM Defender.
Option permettant de créer des recommandations personnalisées et des normes de sécurité dans Microsoft Defender for Cloud
Microsoft Defender for Cloud offre la possibilité de créer des recommandations et des normes personnalisées pour AWS et GCP à l’aide de requêtes KQL. Vous pouvez utiliser un éditeur de requêtes pour générer et tester des requêtes sur vos données. Cette fonctionnalité fait partie du plan CSPM Defender (Gestion de la posture de sécurité cloud). Découvrez comment créer des recommandations et des normes personnalisées.
Microsoft benchmark de sécurité cloud (MCSB) version 1.0 est désormais disponible en disponibilité générale (GA)
Microsoft Defender for Cloud annonce que le Microsoft benchmark de sécurité cloud (MCSB) version 1.0 est désormais disponible en disponibilité générale (GA).
MCSB version 1.0 remplace la Azure Security Benchmark (ASB) version 3 comme stratégie de sécurité par défaut de Defender for Cloud. MCSB version 1.0 apparaît comme la norme de conformité par défaut dans le tableau de bord de conformité et est activée par défaut pour tous les clients Defender for Cloud.
Vous pouvez également découvrir How Microsoft cloud security benchmark (MCSB) vous aide à réussir votre parcours de sécurité cloud.
En savoir plus sur MCSB.
Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
Nous mettons à jour ces normes pour les clients dans Azure Government et Microsoft Azure gérés par 21Vianet.
Azure Government :
Microsoft Azure géré par 21Vianet :
Apprenez comment Personnaliser l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Nouvelle recommandation en préversion pour les serveurs Azure SQL
Nous avons ajouté une nouvelle recommandation pour les serveurs Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
La recommandation est basée sur la stratégie existante Azure SQL Database should have Azure Active Directory Only Authentication enabled
Cette recommandation désactive les méthodes d’authentification locales et autorise uniquement l’authentification Microsoft Entra, ce qui améliore la sécurité en garantissant que les bases de données Azure SQL sont accessibles exclusivement par Microsoft Entra ID identités.
Découvrez comment créer des serveurs avec Azure authentification AD uniquement activée dans Azure SQL.
Nouvelle alerte dans Defender pour Key Vault
Defender pour Key Vault a la nouvelle alerte suivante :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Accès refusé depuis une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccessDenied) |
Un accès au coffre de clés qui a échoué a été tenté par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Malgré l’échec de cette tentative, elle indique que votre infrastructure a peut-être été compromise. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Low |
Vous pouvez voir la liste de tous les alerts disponibles pour Key Vault.
Février 2023
Les mises à jour de février sont les suivantes :
- Amélioration de Cloud Security Explorer
- Defender pour les analyses de vulnérabilité des conteneurs concernant l'exécution d'images Linux désormais en disponibilité générale
- Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
- Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
- La stratégie intégrée [préversion] : le point de terminaison privé doit être configuré pour Key Vault est déconseillé
Amélioration de Cloud Security Explorer
Cette version améliorée de Cloud Security Explorer propose une expérience utilisateur actualisée qui supprime considérablement les frictions de requêtes et ajoute la possibilité d’exécuter des requêtes multiclouds et multiressources, ainsi qu’une documentation incorporée pour chaque option de requête.
Cloud Security Explorer vous permet désormais d’exécuter des requêtes issues du cloud sur les ressources. Vous pouvez utiliser les modèles de requête prédéfinis ou la recherche personnalisée pour appliquer des filtres et créer votre requête. Découvrez comment gérer Cloud Security Explorer.
Defender pour les analyses de vulnérabilité des conteneurs concernant l'exécution d'images Linux désormais en disponibilité générale
Defender pour conteneurs détecte les vulnérabilités dans les conteneurs en cours d’exécution. Les conteneurs Windows et Linux sont pris en charge.
En août 2022, cette fonctionnalité a été publiée en préversion pour Windows et Linux. Nous la publions désormais en disponibilité générale pour Linux.
Lorsque des vulnérabilités sont détectées, Defender for Cloud génère la recommandation de sécurité suivante répertoriant les résultats de l'analyse : les images conteneur Running doivent être résolues.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
Defender for Cloud prend désormais en charge la norme de conformité CIS Amazon Web Services Foundations v1.5.0. La norme peut être ajoutée à votre tableau de bord conformité réglementaire et s’appuie sur les offres existantes de MDC pour les recommandations et normes multicloud.
Cette nouvelle norme inclut des recommandations existantes et nouvelles qui étendent la couverture de Defender for Cloud aux nouveaux services et ressources AWS.
Découvrez comment gérer les évaluations et les standards AWS.
Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
Microsoft Defender pour DevOps a étendu sa préversion et est désormais disponible dans les régions Europe Ouest et Australie Est, lorsque vous intégrez vos ressources Azure DevOps et GitHub.
En savoir plus sur Microsoft Defender pour DevOps.
Stratégie intégrée [préversion] : le point de terminaison privé doit être configuré pour Key Vault est déconseillé.
La stratégie intégrée [Preview]: Private endpoint should be configured for Key Vault est déconseillée et remplacée par la stratégie [Preview]: Azure Key Vaults should use private link.
En savoir plus sur integrating Azure Key Vault avec Azure Policy.
Janvier 2023
Les mises à jour de janvier sont les suivantes :
- Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
- Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
- Cleanup des machines Azure Arc supprimées dans des comptes AWS et GCP connectés
- Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
- Le nom du contrôle de score de sécurisation Protéger vos applications avec Azure solutions réseau avancées a changé
- Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
- Recommendation pour activer les journaux de diagnostic pour Virtual Machine Scale Sets est déconseillé
Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
Pour accéder à Endpoint Protection, accédez aux paramètres de Environment>Defender>Settings et surveillance. À partir de là, vous pouvez définir Endpoint Protection sur Activé. Vous pouvez également voir les autres composants gérés.
En savoir plus sur enabling Microsoft Defender for Endpoint sur vos serveurs avec Defender pour les serveurs.
Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
Vous n’avez plus besoin d’un agent sur vos machines virtuelles Azure et Azure Arc machines pour vous assurer que les machines disposent de toutes les dernières mises à jour système de sécurité ou critiques.
La nouvelle recommandation de mise à jour système, System updates should be installed on your machines (powered by Gestionnaire de mise à jour Azure) dans le contrôle Apply system updates, est basée sur le gestionnaire Update Manager (préversion). La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et Azure Arc machines au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous conduit à une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire des mises à jour.
Pour utiliser la nouvelle recommandation, vous devez :
- Connecter vos machines non Azure à Arc
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updatespour corriger la recommandation.
La recommandation existante « Les mises à jour système doivent être installées sur vos machines », qui s’appuie sur l’agent Log Analytics, est toujours disponible sous le même contrôle.
Nettoyage des machines Azure Arc supprimées dans des comptes AWS et GCP connectés
Une machine connectée à un compte AWS et GCP couvert par Defender pour les serveurs ou Defender pour SQL sur les machines est représentée dans Defender for Cloud en tant qu’ordinateur Azure Arc. Jusqu’à présent, cette machine n’était pas supprimée de l’inventaire lorsque la machine a été supprimée du compte AWS ou GCP. Menant à des ressources Azure Arc inutiles laissées dans Defender for Cloud qui représente les machines supprimées.
Defender for Cloud supprimera automatiquement les machines Azure Arc lorsque ces machines sont supprimées dans un compte AWS ou GCP connecté.
Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
Vous pouvez désormais activer l’exportation continue d’alertes et de recommandations, en tant que service approuvé vers Event Hubs protégés par un pare-feu Azure.
Vous pouvez activer l’exportation continue à mesure que les alertes ou recommandations sont générées. Vous pouvez également définir un calendrier pour envoyer des instantanés périodiques de toutes les nouvelles données.
Découvrez comment activer exportation continue vers un Event Hubs derrière un pare-feu Azure.
Le nom du contrôle De score sécurisé Protéger vos applications avec Azure solutions de mise en réseau avancées est modifié
Le contrôle de score de sécurisation, Protect your applications with Azure advanced networking solutions est remplacé par Protect applications against DDoS attacks.
Le nom mis à jour est reflété sur Azure Resource Graph (ARG), l’API Secure Score Controls et le Download CSV report.
Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
Cette stratégie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports est déconseillée.
Le Defender pour le rapport de messagerie d'évaluation des vulnérabilités SQL est toujours disponible et les configurations de messagerie existantes n'ont pas changé.
Recommandation d’activation des journaux de diagnostic pour Virtual Machine Scale Sets est déconseillée
La recommandation Diagnostic logs in Virtual Machine Scale Sets should be enabled est déconseillée.
La définition de stratégie associée a également été déconseillée des normes affichées dans le tableau de bord de conformité réglementaire.
| Recommendation | Description | Severity |
|---|---|---|
| Les journaux de diagnostic dans Virtual Machine Scale Sets doivent être activés | Activez les journaux et conservez-les pendant un an maximum, ce qui vous permet de recréer les pistes d’activité à des fins d’investigation quand un incident de sécurité se produit ou que votre réseau est compromis. | Low |
Décembre 2022
Les mises à jour en décembre sont les suivantes :
Annonce de la configuration rapide pour l’évaluation des vulnérabilités dans Defender pour SQL
La configuration express pour l’évaluation des vulnérabilités dans Microsoft Defender pour SQL fournit aux équipes de sécurité une expérience de configuration simplifiée sur les bases de données Azure SQL et les pools SQL dédiés en dehors des espaces de travail Synapse.
Avec l’expérience de configuration rapide pour les évaluations des vulnérabilités, les équipes de sécurité peuvent :
- Effectuez la configuration de l’évaluation des vulnérabilités dans la configuration de sécurité de la ressource SQL, sans paramètres ou dépendances en plus sur les comptes de stockage gérés par le client.
- Ajoutez immédiatement les résultats de l’analyse aux lignes de base afin que l’état de la recherche des modifications de l’état non sain à Sain sans réanalyser une base de données.
- Ajoutez plusieurs règles aux lignes de référence à la fois et utilisez les derniers résultats d’analyse.
- Activez l’évaluation des vulnérabilités pour tous les serveurs Azure SQL lorsque vous activez Microsoft Defender pour les bases de données au niveau de l’abonnement.
En savoir plus sur Defender pour l’évaluation des vulnérabilités SQL.
Novembre 2022
Les mises à jour en novembre sont les suivantes :
- Protéger des conteneurs au sein de votre organisation GCP avec Defender pour conteneurs
- Validate Defender pour les protections de conteneurs avec des exemples d’alertes
- Règles de gouvernance à grande échelle (préversion)
- La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
- La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
Protéger les conteneurs au sein de votre organisation GCP avec Defender pour conteneurs
Vous pouvez maintenant activer Defender pour conteneurs pour votre environnement GCP afin de protéger les clusters GKE standard dans toute une organisation GCP. Créez simplement un connecteur GCP avec Defender pour conteneurs activés ou activez Defender pour conteneurs sur un connecteur GCP au niveau de l’organisation existant.
En savoir plus sur connecting GCP projects and organizations to Defender for Cloud.
Valider Defender pour les protections de conteneurs avec des exemples d’alertes
Vous pouvez maintenant créer des exemples d’alertes pour Defender plan Conteneurs. Les nouveaux exemples d’alertes sont présentés comme provenant d’AKS, de clusters connectés à Arc, de ressources EKS et GKE avec différents niveaux de gravité et de tactiques MITRE. Vous pouvez utiliser les exemples d’alertes pour valider les configurations d’alerte de sécurité, telles que les intégrations SIEM, l’automatisation du workflow et les notifications par e-mail.
En savoir plus sur la validation des alertes.
Règles de gouvernance à grande échelle (préversion)
Nous sommes heureux d'annoncer la nouvelle possibilité d'appliquer des règles de gouvernance à grande échelle (préversion) dans Defender for Cloud.
Avec cette nouvelle expérience, les équipes de sécurité sont en mesure de définir des règles de gouvernance en bloc pour différentes étendues (abonnements et connecteurs). Les équipes de sécurité peuvent accomplir cette tâche à l’aide d’étendues de gestion telles que des groupes d’administration Azure, des comptes de niveau supérieur AWS ou des organisations GCP.
En outre, la page Règles de gouvernance (préversion) présente toutes les règles de gouvernance disponibles qui sont efficaces dans les environnements de l’organisation.
Découvrez-en plus sur les nouvelles règles de gouvernance à grande échelle.
Note
Depuis le 1er janvier 2023, pour connaître les fonctionnalités offertes par la gouvernance, vous devez disposer du plan CSPM Defender activé sur votre abonnement ou connecteur.
La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
La possibilité de créer des évaluations personnalisées pour les comptes AWS et les projets GCP, qui était une fonctionnalité en préversion, est déconseillée.
La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
La recommandation Lambda functions should have a dead-letter queue configured est déconseillée.
| Recommendation | Description | Severity |
|---|---|---|
| Une file d’attente de lettres mortes doit être configurée pour les fonctions Lambda | Ce contrôle vérifie si une fonction Lambda est configurée avec une file d’attente de lettres mortes. Le contrôle échoue si la fonction Lambda n’est pas configurée avec une file d’attente de lettres mortes. En guise d’alternative à une destination en cas d’échec, vous pouvez configurer votre fonction avec une file d’attente de lettres mortes pour sauvegarder les événements ignorés en vue d’un traitement ultérieur. Une file d’attente de lettres mortes agit de la même manière qu’une destination en cas d’échec. Elle est utilisée lorsqu’un événement échoue à toutes les tentatives de traitement ou expire sans avoir été traité. Une file d’attente de lettres mortes vous permet de revenir sur les erreurs ou les requêtes adressées à votre fonction Lambda ayant échoué pour déboguer ou identifier un comportement inhabituel. Du point de vue de la sécurité, il est important de comprendre la raison pour laquelle votre fonction a échoué et de vous assurer que votre fonction ne supprime pas de données ni ne compromet la sécurité des données en conséquence. Par exemple, si votre fonction ne peut pas communiquer avec une ressource sous-jacente, cela peut être le symptôme d’une attaque par déni de service (DoS) ailleurs sur le réseau. | Medium |
Octobre 2022
Les mises à jour d’octobre sont les suivantes :
- Announcing the Microsoft cloud security benchmark
- l’analyse des chemins d’accès et les fonctionnalités de sécurité contextuelle dans Defender for Cloud (préversion)
- analyse Agentless pour les machines Azure et AWS (préversion)
- Defender pour DevOps (préversion)
- Tableau de bord de conformité régulatoire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l'état de conformité de Microsoft
- Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
- Defender Cloud Security Posture Management (CSPM) (préversion)
- Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
- Defender pour conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Annonce du benchmark de sécurité cloud Microsoft
Le Microsoft benchmark de sécurité cloud (MCSB) est un nouveau framework définissant des principes fondamentaux de sécurité cloud basés sur des normes et des frameworks de conformité courants du secteur. Avec des conseils techniques détaillés pour l’implémentation de ces meilleures pratiques sur les plateformes cloud. MCSB remplace le benchmark de sécurité Azure. MCSB fournit des détails prescriptifs sur la façon d’implémenter ses recommandations de sécurité indépendantes du cloud sur plusieurs plateformes de service cloud, couvrant initialement Azure et AWS.
Vous pouvez désormais surveiller votre posture de conformité à la sécurité du cloud, par cloud, dans un tableau de bord intégré. Vous pouvez voir MCSB comme norme de conformité par défaut lorsque vous accédez au tableau de bord de conformité réglementaire de Defender for Cloud.
Microsoft benchmark de sécurité cloud est automatiquement attribué à vos abonnements Azure et comptes AWS lorsque vous intégrez Defender for Cloud.
En savoir plus sur le benchmark de sécurité cloud Microsoft.
Analyse des chemins d’attaque et fonctionnalités de sécurité contextuelle dans Defender for Cloud (préversion)
Le nouveau graphique de sécurité cloud, l’analyse des chemins d’attaque et les fonctionnalités de sécurité cloud contextuelles sont désormais disponibles dans Defender for Cloud en préversion.
L’un des principaux défis auxquels les équipes de sécurité sont confrontées aujourd’hui est le nombre de problèmes de sécurité rencontrés quotidiennement. Il y a de nombreux problèmes de sécurité à résoudre et jamais assez de ressources pour les traiter tous.
Defender for Cloud les nouvelles fonctionnalités d'analyse du chemin de sécurité cloud et des chemins d'attaque permettent aux équipes de sécurité d'évaluer le risque derrière chaque problème de sécurité. Les équipes de sécurité peuvent également identifier les problèmes présentant les risques les plus élevés qui doivent être résolus le plus rapidement. Defender for Cloud collabore avec les équipes de sécurité pour réduire le risque d’une violation affectée de leur environnement de manière la plus efficace.
Pour en savoir plus, consultez Graphique de sécurité du cloud, Analyse du chemin d’attaque et Explorateur de sécurité du cloud.
Analyse sans agent des machines Azure et AWS (préversion)
Jusqu’à présent, Defender for Cloud basée sur ses évaluations de posture pour les machines virtuelles sur des solutions basées sur des agents. Pour aider les clients à optimiser la couverture et à réduire les frictions d’intégration et de gestion, nous publions l’analyse sans agent pour les machines virtuelles en préversion.
Grâce à l’analyse sans agent pour les machines virtuelles, vous bénéficiez d’une large visibilité sur les logiciels installés et les CVC logiciels. Vous bénéficiez de la visibilité sans les difficultés liées à l'installation et à la maintenance des agents, aux exigences de connectivité du réseau et à l'impact sur les performances de vos charges de travail. L’analyse est alimentée par Microsoft Defender Vulnerability Management.
L’analyse des vulnérabilités sans agent est disponible dans Defender Cloud Security Posture Management (CSPM) et dans Defender pour les serveurs P2, avec prise en charge native des machines virtuelles AWS et Azure.
- En savoir plus sur l’analyse sans agent.
- Découvrez comment activer l’évaluation des vulnérabilités sans agent.
Defender pour DevOps (préversion)
Microsoft Defender for Cloud permet une visibilité complète, la gestion des postures et la protection contre les menaces dans les environnements hybrides et multiclouds, notamment les ressources Azure, AWS, Google et locales.
À présent, le nouveau plan de Defender pour DevOps intègre des systèmes de gestion du code source, tels que GitHub et Azure DevOps, dans Defender for Cloud. Grâce à cette nouvelle intégration, les équipes de sécurité pourront mieux protéger leurs ressources du code vers le cloud.
Defender pour DevOps vous permet de bénéficier d’une visibilité et d’une gestion de vos environnements de développement connectés et des ressources de code. Actuellement, vous pouvez connecter des systèmes Azure DevOps et GitHub à Defender for Cloud et intégrer des référentiels DevOps à Inventory et à la nouvelle page Sécurité DevOps. Il fournit aux équipes de sécurité une vue d’ensemble des problèmes de sécurité découverts, dans une page de Sécurité DevOps unifiée.
Vous pouvez configurer des annotations sur les demandes de tirage, pour aider les développeurs à résoudre les résultats de l’analyse des secrets dans Azure DevOps directement sur leurs demandes de tirage.
Vous pouvez configurer les outils Sécurité Microsoft DevOps sur Azure Pipelines et les flux de travail GitHub pour activer les analyses de sécurité suivantes :
| Name | Language | License |
|---|---|---|
| Bandit | Python | Licence Apache 2.0 |
| BinSkim | Binaire – Windows, ELF | Licence MIT |
| ESlint | JavaScript | Licence MIT |
| CredScan (Azure DevOps uniquement) | Le scanneur d’informations d’identification (également appelé CredScan) est un outil développé et géré par Microsoft pour identifier les fuites d’informations d’identification telles que celles du code source et des fichiers de configuration courants : mots de passe par défaut, chaînes de connexion SQL, Certificats avec des clés privées | Non open source |
| Template Analyze | Modèle ARM, fichier Bicep | Licence MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licence Apache 2.0 |
| Trivy | Images conteneur, systèmes de fichiers, dépôts Git | Licence Apache 2.0 |
Les nouvelles recommandations suivantes sont désormais disponibles pour DevOps :
| Recommendation | Description | Severity |
|---|---|---|
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse du code résolus | Defender pour DevOps a trouvé des vulnérabilités dans les référentiels de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Medium |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse des secrets résolus | Defender pour DevOps a trouvé un secret dans les référentiels de code. Cela doit être corrigé immédiatement pour éviter une violation de la sécurité. Les secrets détectés dans les dépôts peuvent être divulgués ou découverts par des adversaires, ce qui peut compromettre une application ou d’un service. Pour Azure DevOps, l'outil Sécurité Microsoft DevOps CredScan analyse uniquement les builds sur lesquelles il est configuré pour s'exécuter. Par conséquent, les résultats peuvent ne pas refléter l’état complet des secrets dans vos dépôts. (Aucune stratégie associée) | High |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse Dependabot résolus | Defender pour DevOps a trouvé des vulnérabilités dans les référentiels de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Medium |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | Medium |
| (Préversion) GitHub référentiels doivent activer l’analyse du code | GitHub utilise l’analyse du code pour analyser le code afin de rechercher des vulnérabilités et des erreurs de sécurité dans le code. L’analyse du code peut être utilisée pour rechercher, trier et hiérarchiser les correctifs pour les problèmes existants dans votre code. L’analyse du code peut également empêcher les développeurs d’introduire de nouveaux problèmes. Des analyses peuvent être planifiées pour des jours et heures spécifiques, ou être déclenchées lorsqu’un événement spécifique se produit dans le dépôt, tel qu’un envoi (push). Si l’analyse du code détecte une vulnérabilité ou une erreur potentielle dans le code, GitHub affiche une alerte dans le référentiel. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour endommager la confidentialité, l’intégrité ou la disponibilité du projet. (Aucune stratégie associée) | Medium |
| (Préversion) GitHub référentiels doivent activer l’analyse des secrets | GitHub analyse les référentiels pour les types connus de secrets afin d’empêcher l’utilisation frauduleuse de secrets qui ont été accidentellement validés dans les référentiels. L’analyse des secrets analyse l’intégralité de l’historique Git sur toutes les branches présentes dans le référentiel GitHub pour les secrets. Les jetons et les clés privées qu’un fournisseur de services peut émettre pour l’authentification sont des exemples de secrets. Si un secret est archivé dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut utiliser le secret pour accéder au service externe avec ces privilèges. Les secrets doivent être stockés dans un emplacement dédié et sécurisé en dehors du dépôt du projet. (Aucune stratégie associée) | High |
| (Préversion) GitHub référentiels doivent activer l’analyse Dependabot | GitHub envoie des alertes Dependabot lorsqu’elle détecte les vulnérabilités dans les dépendances de code qui affectent les dépôts. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Quand le code dépend d’un package qui présente une faille de sécurité, cette dépendance vulnérable peut entraîner une série de problèmes. (Aucune stratégie associée) | Medium |
Les recommandations Defender pour DevOps ont remplacé le scanneur de vulnérabilités déconseillé pour les flux de travail CI/CD inclus dans Defender pour les conteneurs.
En savoir plus sur Defender pour DevOps
Le tableau de bord Conformité réglementaire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l'état de conformité de Microsoft
Le tableau de bord de conformité dans Defender for Cloud est un outil clé pour les clients afin de les aider à comprendre et à suivre leur état de conformité. Les clients peuvent surveiller en permanence les environnements conformément aux exigences de nombreuses normes et réglementations.
Désormais, vous pouvez gérer entièrement votre posture de conformité en attestant manuellement des contrôles opérationnels ainsi que d’autres contrôles. Vous pouvez fournir des preuves de conformité pour des contrôles non automatisés. Avec les évaluations automatisées, vous pouvez générer un rapport complet de conformité dans une étendue sélectionnée, en traitant l’ensemble des contrôles d’une norme donnée.
En outre, avec des informations de contrôle plus détaillées et des informations détaillées et des preuves pour l'état de conformité de Microsoft, vous disposez maintenant de toutes les informations requises pour les audits à portée de main.
Voici certains des nouveaux avantages offerts :
Les actions manuelles des clients fournissent un mécanisme permettant d’attester manuellement la conformité avec des contrôles non automatisés. Y compris la possibilité de lier des preuves, ainsi que de définir une date de conformité et une date d’expiration.
Détails de contrôle plus riches pour les normes prises en charge qui présentent des actions Microsoft et manual customer actions en plus des actions client automatisées déjà existantes.
Microsoft actions fournissent une transparence dans l'état de conformité de Microsoft qui inclut les procédures d'évaluation de l'audit, les résultats des tests et les réponses Microsoft aux écarts.
les offres Compliance fournissent un emplacement central pour vérifier les produits Azure, Dynamics 365 et Power Platform ainsi que leurs certifications de conformité réglementaire respectives.
Découvrez comment Improve votre conformité réglementaire avec Defender for Cloud.
Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
Nous avons renommé la page de provisionnement automatique en Paramètres et surveillance.
Le provisionnement automatique était destiné à permettre l'activation à grande échelle des prérequis, qui sont nécessaires par les fonctionnalités et fonctionnalités avancées de Defender for Cloud. Pour mieux prendre en charge nos capacités étendues, nous allons lancer une nouvelle expérience avec les modifications suivantes :
La page des plans de Defender for Cloud inclut désormais :
- Lorsque vous activez un plan de Defender qui nécessite des composants de surveillance, ces composants sont activés pour l’approvisionnement automatique avec les paramètres par défaut. Ces paramètres peuvent être modifiés à tout moment.
- Vous pouvez accéder aux paramètres du composant de surveillance pour chaque plan de Defender à partir de la page Defender plan.
- La page Defender plans indique clairement si tous les composants de surveillance sont en place pour chaque plan de Defender, ou si votre couverture de surveillance est incomplète.
Page Paramètres et surveillance :
- Chaque composant de surveillance indique le Defender plans auxquels il est lié.
Apprenez-en davantage sur la gestion de vos paramètres de surveillance.
Defender Cloud Security Posture Management (CSPM)
L'un des principaux piliers de Microsoft Defender for Cloud pour la sécurité cloud est Cloud Security Posture Management (CSPM). La CSPM fournit des conseils de renforcement qui vous aident à améliorer efficacement et effectivement votre sécurité. La CSPM vous donne également une visibilité de votre situation de sécurité actuelle.
Nous annonçons un nouveau plan de Defender : CSPM Defender. Ce plan améliore les fonctionnalités de sécurité de Defender for Cloud et inclut les fonctionnalités nouvelles et étendues suivantes :
- Évaluation continue de la configuration de sécurité de vos ressources cloud
- Recommandations de sécurité pour corriger les erreurs de configuration et les faiblesses
- Score de sécurité
- Governance
- Conformité réglementaire
- Graphique de sécurité du cloud
- Analyse du chemin d’attaque
- Analyse sans agent des machines
En savoir plus sur le plan CSPM Defender.
Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
Pour les analystes de sécurité, il est essentiel d’identifier les risques potentiels associés aux recommandations de sécurité et de comprendre les vecteurs d’attaque afin qu’ils puissent hiérarchiser efficacement leurs tâches.
Defender for Cloud facilite la hiérarchisation en mappant les recommandations de sécurité Azure, AWS et GCP contre MITRE ATT& Framework CK. Le framework MITRE ATT&CK est une base de connaissances mondialement accessible des tactiques et techniques adversaires basées sur des observations réelles, ce qui permet aux clients de renforcer la configuration sécurisée de leurs environnements.
Le framework MITRE ATT&CK est intégré de trois façons :
- Les recommandations correspondent aux tactiques et techniques MITRE ATT&CK.
- Interroger MITRE ATT& Tactiques et techniques de CK sur les recommandations utilisant le Azure Resource Graph.
Defender pour conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Microsoft Defender pour conteneurs fournit désormais une analyse des vulnérabilités sans agent pour Elastic Container Registry (ERC) dans Amazon AWS. Extension de la couverture des environnements multicloud, dans le prolongement de la publication, plus tôt cette année, d’une protection contre les menaces avancées et d’un renforcement de l’environnement Kubernetes pour AWS et Google GCP. Le modèle sans agent crée des ressources AWS dans vos comptes pour analyser vos images sans extraire d’images de vos comptes AWS et sans empreinte sur votre charge de travail.
L’analyse d’évaluation des vulnérabilités sans agent pour les images dans les référentiels ERC permet de réduire la surface d’attaque de vos ressources conteneurisées en analysant en continu les images afin d’identifier et gérer les vulnérabilités des conteneurs. Avec cette nouvelle version, Defender for Cloud analyse les images conteneur une fois qu'elles sont envoyées au référentiel et réévaluent continuellement les images conteneur DEC dans le Registre. Les résultats sont disponibles dans Microsoft Defender for Cloud en tant que recommandations, et vous pouvez utiliser les flux de travail automatisés intégrés de Defender for Cloud pour prendre des mesures sur les résultats, tels que l'ouverture d'un ticket pour corriger une vulnérabilité de gravité élevée dans une image.
Apprenez-en davantage sur l’évaluation des vulnérabilités des images Amazon ECR.
Septembre 2022
Les mises à jour en septembre sont les suivantes :
- Supprimer les alertes basées sur des entités Container et Kubernetes
- Defender pour les serveurs prend en charge la surveillance de l’intégrité des fichiers avec Azure Monitor Agent
- Dépréciation des API d’évaluations héritées
- Recommandations supplémentaires ajoutées à l’identité
- Alertes de sécurité à distance pour les machines qui signalent des espaces de travail Log Analytics entre locataires
Supprimer les alertes basées sur des entités Container et Kubernetes
- Espace de noms Kubernetes
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Travail Kubernetes
- Kubernetes CronJob
Découvrez-en plus sur les règles de suppression des alertes.
Defender pour les serveurs prend en charge la surveillance de l’intégrité des fichiers avec Azure Monitor Agent
Le monitoring de l’intégrité des fichiers permet d’examiner les fichiers du système d’exploitation et les registres pour déterminer s’ils contiennent des modifications susceptibles d’indiquer une attaque.
FIM est désormais disponible dans une nouvelle version basée sur Azure Monitor Agent (AMA), que vous pouvez deploy via Defender for Cloud.
Dépréciation des API d’évaluations héritées
Les API suivantes sont déconseillées :
- Tâches de sécurité
- États de sécurité
- Résumés de sécurité
Ces trois API ont exposé les anciens formats d’évaluations et sont remplacées par les API Évaluations et les API SubAssessments. Toutes les données exposées par ces API héritées sont également disponibles dans les nouvelles API.
Recommandations supplémentaires ajoutées à l’identité
recommandations de Defender for Cloud pour améliorer la gestion des utilisateurs et des comptes.
Nouvelles recommandations
La nouvelle version inclut les fonctionnalités suivantes :
Extended evaluation scope : la couverture est améliorée pour les comptes d’identité sans MFA et les comptes externes sur les ressources Azure (au lieu des abonnements uniquement) qui permettent à vos administrateurs de sécurité d’afficher les attributions de rôles par compte.
Intervalle d’actualisation amélioré : les recommandations sur l’identité ont désormais un intervalle d’actualisation de 12 heures.
Fonctionnalité d'exemption de compte - Defender for Cloud dispose de nombreuses fonctionnalités que vous pouvez utiliser pour personnaliser votre expérience et garantir que votre score de sécurité reflète les priorités de sécurité de votre organisation. Par exemple, vous pouvez exempter les ressources et les recommandations de votre score de sécurité.
Cette mise à jour vous permet d’exempter des comptes spécifiques de l’évaluation avec les six recommandations listées dans le tableau suivant.
En règle générale, vous exemptez les comptes de « verre de rupture » d’urgence des recommandations de l’authentification multifacteur, car ces comptes sont souvent délibérément exclus des exigences de l’authentification multifacteur d’une organisation. Vous pouvez également disposer de comptes externes auxquels vous souhaitez autoriser l’accès, pour lesquels l’authentification MFA n’est pas activée.
Tip
Quand vous exemptez un compte, il n’est pas affiché comme étant non sain. Il n’indique pas non plus qu’un abonnement n’est pas sain.
Recommendation Clé d’évaluation Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être activés pour l’authentification multifacteur 6240402e-f77c-46fa-9060-a7ce53997754 Les comptes disposant d’autorisations d’écriture sur Azure ressources doivent être activés par MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Les comptes disposant d’autorisations de lecture sur les ressources Azure doivent être activés pour l’authentification multifacteur dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Les comptes invités disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés 20606e75-05c4-48c0-9d97-add6daa2109a Les comptes invités disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Les comptes invités disposant d’autorisations de lecture sur Azure ressources doivent être supprimés fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Les comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés 050ac097-3dda-4d24-ab6d-82568e7a50cf Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Les recommandations, bien qu’en préversion, s’affichent en regard des recommandations actuellement en disponibilité générale.
Suppression d’alertes de sécurité pour les machines qui signalent à des espaces de travail entre locataires Log Analytics
Dans le passé, Defender for Cloud vous permettre de choisir l’espace de travail auquel vos agents de Log Analytics rapportent. Lorsqu’un ordinateur appartient à un locataire (locataire A), mais que son agent Log Analytics a signalé à un espace de travail dans un autre locataire (« Locataire B »), les alertes de sécurité relatives à l’ordinateur ont été signalées au premier locataire (Locataire A).
Avec cette modification, les alertes sur les machines connectées à Log Analytics espace de travail dans un autre locataire n’apparaissent plus dans Defender for Cloud.
Si vous souhaitez continuer à recevoir les alertes dans Defender for Cloud, connectez l’agent Log Analytics des machines pertinentes à l’espace de travail dans le même locataire que l’ordinateur.
En savoir plus sur les alertes de sécurité.
Août 2022
Les mises à jour en août sont les suivantes :
- Vulnerabilities pour l’exécution d’images sont désormais visibles avec Defender pour conteneurs sur vos conteneurs Windows
- intégration de Azure Monitor Agent désormais en préversion
- Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Les vulnérabilités pour l’exécution d’images sont désormais visibles avec Defender pour conteneurs sur vos conteneurs Windows
Defender pour conteneurs affiche désormais des vulnérabilités pour l’exécution de conteneurs Windows.
Lorsque des vulnérabilités sont détectées, Defender for Cloud génère la recommandation de sécurité suivante répertoriant les problèmes détectés : Les images de conteneurRunning doivent être résolues.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
intégration de Azure Monitor Agent maintenant en préversion
Defender for Cloud inclut désormais la prise en charge de la préversion pour l’agent Azure Monitor (AMA). AMA est destiné à remplacer l’agent Log Analytics hérité (également appelé Microsoft Monitoring Agent (MMA)), qui se trouve sur un chemin d’abandon. AMA offre ne nombreux avantages par rapport aux agents hérités.
Dans Defender for Cloud, lorsque vous provisionnement automatique pour AMA, l’agent est déployé sur inexistant et nouveau machines virtuelles et machines Azure Arc activées dans vos abonnements. Si les plans Defender pour cloud sont activés, AMA collecte les informations de configuration et les journaux des événements à partir de machines virtuelles Azure et de machines Azure Arc. L’intégration d’AMA est en préversion. Nous vous recommandons donc de l’utiliser dans les environnements de test plutôt que dans les environnements de production.
Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Le tableau suivant liste les alertes qui ont été dépréciées :
| Nom de l’alerte | Description | Tactics | Severity |
|---|---|---|---|
|
Détection d’une opération de création Docker sur un nœud Kubernetes (VM_ImageBuildOnNode) |
Les journaux de la machine indiquent une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés. | Évasion de défense | Low |
|
Demande suspecte à l’API Kubernetes (VM_KubernetesAPI) |
Les journaux de la machine indiquent qu’une demande suspecte a été adressée à l’API Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis. | LateralMovement | Medium |
|
Le serveur SSH s’exécute à l’intérieur d’un conteneur (VM_ContainerSSH) |
Les journaux de la machine indiquent qu’un serveur SSH est en cours d’exécution dans un conteneur Docker. Bien que ce comportement puisse être intentionnel, il indique fréquemment qu’un conteneur est mal configuré ou a subi une violation. | Execution | Medium |
Ces alertes sont utilisées pour avertir un utilisateur de l’activité suspecte liée à un cluster Kubernetes. Les alertes seront remplacées par des alertes correspondantes qui font partie des alertes de conteneur de Microsoft Defender for Cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI et K8S.NODE_ ContainerSSH) qui fourniront une meilleure fidélité et un contexte complet pour examiner et agir sur les alertes. En savoir plus sur les alertes pour les clusters Kubernetes.
Les vulnérabilités de conteneur incluent désormais des informations détaillées sur les packages
Defender pour l'évaluation des vulnérabilités (VA) de Container inclut désormais des informations détaillées sur les packages pour chaque recherche, notamment : nom du package, type de package, chemin d'accès, version installée et version fixe. Ces informations sur les packages vous permettent d’identifier les packages vulnérables pour que vous puissiez ensuite corriger la vulnérabilité ou supprimer le package.
Ces informations détaillées sur les packages sont disponibles pour les nouvelles analyses d’images.
Juillet 2022
Les mises à jour du mois de juillet incluent :
- Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
- Defender pour le va de Conteneur ajoute la prise en charge de la détection des packages spécifiques au langage (préversion)
- Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
- Intégration à Entra Permissions Management
- Key Vault recommandations ont changé en « audit »
- Déconseiller l’utilisation des stratégies d’application API pour App Service
Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
Nous sommes heureux d’annoncer que l’agent de sécurité natif cloud pour la protection du runtime Kubernetes est désormais disponible en disponibilité générale !
Les déploiements de production de clusters Kubernetes continuent de croître à mesure que les clients continuent à conteneuriser leurs applications. Pour faciliter cette croissance, l’équipe Defender pour conteneurs a développé un agent de sécurité kubernetes natif dans le cloud.
Le nouvel agent de sécurité est un DaemonSet Kubernetes, basé sur la technologie eBPF et entièrement intégré aux clusters AKS dans le cadre du profil de sécurité AKS.
L’activation de l’agent de sécurité est disponible via le provisionnement automatique, le flux de recommandations, AKS RP ou à grande échelle à l’aide de Azure Policy.
Vous pouvez redéployer l’agent Defender aujourd’hui sur vos clusters AKS.
Avec cette annonce, la protection du runtime/la détection des menaces (charge de travail) est désormais également en disponibilité générale.
En savoir plus sur la Defender pour la disponibilité feature du conteneur.
Vous pouvez également passer en revue toutes les alertes disponibles.
Notez que si vous utilisez la version préliminaire, l’indicateur de fonctionnalité AKS-AzureDefender n’est plus nécessaire.
Defender pour l'outil VA de Container ajoute la prise en charge de la détection des packages spécifiques à la langue (préversion)
Defender pour l'évaluation des vulnérabilités (VA) de Container est en mesure de détecter les vulnérabilités dans les packages de système d'exploitation déployés via le gestionnaire de package du système d'exploitation. Nous avons maintenant étendu ces capacités d’évaluation des vulnérabilités pour détecter les vulnérabilités incluses dans des packages spécifiques à la langue.
Cette fonctionnalité est disponible en préversion et uniquement pour les images Linux.
Pour voir tous les packages spécifiques au langage inclus qui ont été ajoutés, consultez Defender pour obtenir la liste complète de features et leur disponibilité.
Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
L’infrastructure Operations Management (OMI) est un regroupement de services informatiques destinés à gérer vos environnements locaux et de cloud depuis une interface unique. Au lieu de déployer et de gérer des ressources locales, les composants OMI sont entièrement hébergés dans Azure.
Log Analytics intégrée à Azure HDInsight exécutant OMI version 13 nécessite un correctif pour corriger CVE-2022-29149. Consultez le rapport sur cette vulnérabilité dans le guide de mise à jour Sécurité Microsoft pour plus d’informations sur la façon d’identifier les ressources affectées par cette vulnérabilité et les étapes de correction.
Si vous avez activé Defender pour les serveurs avec l’évaluation des vulnérabilités, vous pouvez utiliser ce classeur pour identifier les ressources affectées.
Intégration à Entra Permissions Management
Defender for Cloud a intégré Gestion des autorisations Microsoft Entra, une solution de gestion des droits d’utilisation d’infrastructure cloud (CIEM) qui offre une visibilité et un contrôle complets des autorisations pour toutes les identités et toutes les ressources dans Azure, AWS et GCP.
Chaque abonnement Azure, compte AWS et projet GCP que vous intégrez vous affiche maintenant une vue de votre Permission Creep Index (PCI).
En savoir plus sur Entra Permission Management (anciennement Cloudknox)
Key Vault recommandations ont changé en « audit »
L’effet des recommandations de Key Vault répertoriées ici a été remplacé par « audit » :
| Nom de la recommandation | ID de recommandation |
|---|---|
| La période de validité des certificats stockés dans Azure Key Vault ne doit pas dépasser 12 mois | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault secrets doivent avoir une date d’expiration | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault clés doivent avoir une date d’expiration | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Déconseiller l’utilisation des stratégies d’application API pour App Service
Nous déconseillons l’utilisation des stratégies suivantes avec les stratégies correspondantes qui existent déjà pour inclure des applications API :
| Fonctionnalité destinée à être déconseillée | Modification à |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juin 2022
Les mises à jour du mois de juin incluent :
- Disponibilité générale (GA) pour Microsoft Defender pour Azure Cosmos DB
- Disponibilité générale (GA) de Defender pour SQL sur les machines pour les environnements AWS et GCP
- Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
- Filtrer les alertes de sécurité par adresse IP
- Alertes par groupe de ressources
- Autoprovisionnement de Microsoft Defender for Endpoint solution unifiée
- Déprécier la stratégie « L'application API doit uniquement être accessible via HTTPS »
- alertes New Key Vault
Disponibilité générale (GA) pour Microsoft Defender pour Azure Cosmos DB
Microsoft Defender pour Azure Cosmos DB est désormais en disponibilité générale (GA) et prend en charge les types de comptes d’API SQL (core).
Cette nouvelle version en disponibilité générale fait partie de la suite de protection des bases de données Microsoft Defender for Cloud, qui comprend différents types de bases de données SQL et MariaDB. Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB.
En activant ce plan, vous serez alerté des injections SQL potentielles, des mauvais acteurs connus, des schémas d’accès suspects et des explorations potentielles de votre base de données par des identités compromises ou des insiders malveillants.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes fournissent les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
Microsoft Defender pour Azure Cosmos DB analyse en continu le flux de télémétrie généré par les services Azure Cosmos DB et les croise avec Microsoft Informations sur les menaces et les modèles comportementaux pour détecter toute activité suspecte. Defender pour Azure Cosmos DB n'accède pas aux données du compte Azure Cosmos DB et n'a aucun effet sur les performances de votre base de données.
En savoir plus sur Microsoft Defender pour Azure Cosmos DB.
Avec l’ajout de la prise en charge de Azure Cosmos DB, Defender for Cloud offre désormais l’une des offres de protection des charges de travail les plus complètes pour les bases de données basées sur le cloud. Les équipes de sécurité et les propriétaires de base de données peuvent désormais avoir une expérience centralisée pour gérer leur sécurité de base de données de leurs environnements.
Découvrez comment activer des protections pour vos bases de données.
Disponibilité générale de Defender pour SQL sur les machines pour les environnements AWS et GCP
Les fonctionnalités de protection de base de données fournies par Microsoft Defender for Cloud ont ajouté la prise en charge de vos serveurs SQL hébergés dans des environnements AWS ou GCP.
Defender pour SQL, les entreprises peuvent désormais protéger l’ensemble de leur patrimoine de base de données, hébergé dans Azure, AWS, GCP et machines locales.
Microsoft Defender pour SQL offre une expérience multicloud unifiée pour afficher les recommandations de sécurité, les alertes de sécurité et les résultats de l’évaluation des vulnérabilités pour le serveur SQL et le système d’exploitation Windows.
À l’aide de l’expérience d’intégration multicloud, vous pouvez activer et appliquer la protection des bases de données pour les serveurs SQL s’exécutant sur AWS EC2, RDS Custom pour SQL Server et le moteur de calcul GCP. Une fois que vous avez activé l’un de ces plans, toutes les ressources prises en charge qui existent au sein de l’abonnement sont protégées. Les ressources futures créées sur le même abonnement seront également protégées.
Découvrez comment protéger et connecter votre environnement AWS et votre organisation GCP avec Microsoft Defender for Cloud.
Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
Aujourd’hui, les menaces croissantes pour les organisations étendent les limites du personnel de sécurité pour protéger leurs charges de travail en expansion. Les équipes de sécurité sont mises en œuvre pour implémenter les protections définies dans leurs stratégies de sécurité.
À présent, avec l’expérience de gouvernance en préversion, les équipes de sécurité peuvent affecter la correction des recommandations de sécurité aux propriétaires de ressources et exiger une planification de correction. Elles peuvent avoir une transparence totale sur la progression de la correction et être averties lorsque les tâches sont en retard.
En savoir plus sur l’expérience de gouvernance dans Aider votre organisation à corriger les problèmes de sécurité liés à la gouvernance des recommandations.
Filtrer les alertes de sécurité par adresse IP
Dans de nombreux cas d’attaques, vous souhaitez suivre les alertes en fonction de l’adresse IP de l’entité impliquée dans l’attaque. Jusqu’à présent, l’adresse IP apparaissait uniquement dans la section « Entités associées » dans le panneau d’alerte unique. À présent, vous pouvez filtrer les alertes dans la page des alertes de sécurité pour afficher les alertes liées à l’adresse IP, et vous pouvez rechercher une adresse IP spécifique.
Alertes par groupe de ressources
La possibilité de filtrer, trier et regrouper par groupe de ressources est ajoutée à la page Alertes de sécurité.
Une colonne de groupe de ressources est ajoutée à la grille des alertes.
Un nouveau filtre est ajouté, ce qui vous permet d’afficher toutes les alertes pour des groupes de ressources spécifiques.
Vous pouvez désormais également regrouper vos alertes par groupe de ressources pour afficher toutes vos alertes pour chacun de vos groupes de ressources.
Autoprovisionnement d’une solution unifiée Microsoft Defender for Endpoint
Jusqu’à présent, l’intégration avec Microsoft Defender for Endpoint (MDE) incluait l’installation automatique de la nouvelle solution unifiée MDE pour les machines (abonnements Azure et connecteurs multiclouds) avec Defender pour les serveurs Plan 1 activé et pour les connecteurs multiclouds avec Defender pour serveurs Plan 2 activé. Le plan 2 pour les abonnements Azure a activé la solution unifiée pour les machines Linux et les serveurs Windows 2019 et 2022 uniquement. Windows serveurs 2012R2 et 2016 utilisaient la solution héritée MDE dépendante de l’agent Log Analytics.
À présent, la nouvelle solution unifiée est disponible pour toutes les machines des deux plans, pour les abonnements Azure et les connecteurs multiclouds. Pour les abonnements Azure avec serveurs Plan 2 qui ont activé l’intégration MDE after juin 20, 2022, la solution unifiée est activée par défaut pour toutes les machines Azure abonnements avec le Defender pour serveurs Plan 2 activé avec l’intégration MDE before 20 juin 2022 peut désormais activer l’installation de solution unifiée pour Windows serveurs 2012R2 et 2016 via le bouton dédié dans la page Intégrations :
En savoir plus sur l’intégration MDE à Defender pour les serveurs.
Déconseiller la stratégie « L'application API doit uniquement être accessible via HTTPS »
Cette stratégie API App should only be accessible over HTTPS est déconseillée. Cette stratégie est remplacée par la stratégie Web Application should only be accessible over HTTPS, qui est renommée en App Service apps should only be accessible over HTTPS.
Pour en savoir plus sur les définitions de stratégie pour Azure App Service, consultez Azure Policy définitions intégrées pour Azure App Service.
Nouvelles alertes de Key Vault
Pour développer les protections contre les menaces fournies par Microsoft Defender pour Key Vault, nous avons ajouté deux nouvelles alertes.
Ces alertes vous informent d’un accès inhabituel refusé détecté pour l’un de vos coffres de clés.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé (KV_DeniedAccountVolumeAnomaly) |
Un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Discovery | Low |
|
Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés (KV_UserAccessDeniedAnomaly) |
Un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. | Accès initial, découverte | Low |
Mai 2022
Les mises à jour du mois de mai incluent :
- Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
- L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
- Add et supprimez le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
Il existe désormais des paramètres au niveau du connecteur pour Defender pour les serveurs dans plusieursclouds.
Ces nouveaux paramètres au niveau du connecteur fournissent une granularité pour la tarification et la configuration de l’approvisionnement automatique par connecteur, indépendamment de l’abonnement.
Tous les composants de provisionnement automatique disponibles au niveau du connecteur (Azure Arc, MDE et évaluations des vulnérabilités) sont activés par défaut, et la nouvelle configuration prend en charge les niveaux tarifaires Plan 1 et Plan 2.
Les mises à jour de l’interface utilisateur incluent une réflexion sur le niveau tarifaire sélectionné et les composants requis configurés.
Modifications apportées à l’évaluation des vulnérabilités
Defender pour conteneurs affiche désormais des vulnérabilités qui ont des gravités moyennes et faibles qui ne sont pas correctives.
Dans le cadre de cette mise à jour, les vulnérabilités avec des gravités moyennes et faibles sont désormais affichées, que les correctifs soient disponibles ou non. Cette mise à jour offre une visibilité maximale, tout en vous permettant de filtrer les vulnérabilités non souhaitées à l’aide de la règle de désactivation fournie.
En savoir plus sur la gestion des vulnérabilités
L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
Lorsque vous connectez des comptes AWS, JIT évalue automatiquement la configuration réseau des groupes de sécurité de votre instance et recommande les instances qui ont besoin de protection, car leurs ports de gestion sont exposés. Cela est similaire à la façon dont JIT fonctionne avec Azure. Lorsque vous intégrez des instances EC2 non protégées, JIT bloque l’accès public aux ports de gestion et les ouvre uniquement dans le cadre de requêtes autorisées pour un délai limité.
Découvrez comment JIT protège vos instances AWS EC2
Ajouter et supprimer le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
L’agent Defender est requis pour Defender pour les conteneurs afin de fournir les protections d’exécution et de collecter des signaux à partir de nœuds. Vous pouvez maintenant utiliser le Azure CLI pour add et supprimer l’agent Defender pour un cluster AKS.
Note
Cette option est incluse dans Azure CLI 3.7 et versions ultérieures.
Avril 2022
Les mises à jour du mois d’avril incluent :
- New Defender for Servers plans
- Nouvel emplacement des recommandations personnalisées
- Script PowerShell pour diffuser des alertes vers Splunk et QRadar
- Deprecated the Azure Cache pour Redis recommandation
- Variant d’alerteNew pour Microsoft Defender pour le stockage (préversion) afin de détecter l’exposition des données sensibles
- Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
- Consultez les journaux d’activité liés à une alerte de sécurité
Nouvelles Defender pour les plans Serveurs
Microsoft Defender pour les serveurs est désormais proposé dans deux plans incrémentiels :
- Defender pour les serveurs Plan 2, anciennement Defender pour les serveurs
- Defender pour les serveurs Plan 1, fournit uniquement la prise en charge des Microsoft Defender for Endpoint
Bien que Defender pour les serveurs Plan 2 continue de fournir des protections contre les menaces et les vulnérabilités de vos charges de travail cloud et locales, Defender pour les serveurs Plan 1 fournit une protection de point de terminaison uniquement, alimentée par la Defender intégrée en mode natif pour point de terminaison. En savoir plus sur les plans Defender pour les serveurs.
Si vous utilisez Defender pour les serveurs jusqu’à présent, aucune action n’est requise.
En outre, Defender for Cloud commence également la prise en charge progressive du Defender pour l’agent unifié endpoint pour Windows Server 2012 R2 et 2016. Defender for Servers Plan 1 déploie le nouvel agent unifié sur Windows Server 2012 charges de travail R2 et 2016.
Nouvel emplacement des recommandations personnalisées
Les recommandations personnalisées sont celles créées par un utilisateur ; elles n’ont aucun effet sur le niveau de sécurité. Les recommandations personnalisées sont désormais disponibles sous l’onglet Toutes les recommandations.
Utilisez le nouveau filtre « type de recommandation » pour localiser les recommandations personnalisées.
Apprenez-en davantage dans Créer des stratégies et des initiatives de sécurité personnalisées.
Script PowerShell pour diffuser des alertes vers Splunk et QRadar
Nous vous recommandons d’utiliser Event Hubs et un connecteur intégré pour exporter des alertes de sécurité vers Splunk et IBM QRadar. Vous pouvez maintenant utiliser un script PowerShell pour configurer les ressources Azure nécessaires pour exporter des alertes de sécurité pour votre abonnement ou locataire.
Téléchargez et exécutez le script PowerShell. Après avoir fourni quelques détails sur votre environnement, le script configure les ressources pour vous. Le script produit ensuite la sortie que vous utilisez dans la plateforme SIEM pour terminer l’intégration.
Pour plus d’informations, consultez Les alertes Stream à Splunk et QRadar.
Dépréciation de la recommandation Azure Cache pour Redis
La recommandation Azure Cache pour Redis should reside within a virtual network (préversion) est déconseillée. Nous avons modifié nos conseils pour sécuriser les instances de Azure Cache pour Redis. Nous vous recommandons d’utiliser un point de terminaison privé pour restreindre l’accès à votre instance de Azure Cache pour Redis, au lieu d’un réseau virtuel.
Nouvelle variante d’alerte pour Microsoft Defender pour le stockage (préversion) afin de détecter l’exposition des données sensibles
Microsoft Defender pour les alertes du stockage vous avertit lorsque les acteurs de menace tentent d'analyser et d'exposer, correctement ou non, des conteneurs de stockage mal configurés et ouverts publiquement pour essayer d'exfiltrer les informations sensibles.
Pour accélérer le triage et le temps de réponse, lorsque l’exfiltration de données potentiellement sensibles a pu se produire, nous avons publié une nouvelle variante de l’alerte existante Publicly accessible storage containers have been exposed .
La nouvelle alerte, Publicly accessible storage containers with potentially sensitive data have been exposed, est déclenchée avec un niveau de gravité High, une fois une découverte réussie d’un ou plusieurs conteneurs de stockage ouverts publiquement avec des noms qui ont été détectés statistiquement à être exposés publiquement, ce qui suggère qu’ils peuvent contenir des informations sensibles.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Les conteneurs de stockage accessibles publiquement avec des données potentiellement sensibles ont été exposés (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Une personne a analysé votre compte stockage Azure et exposé des conteneurs qui autorisent l’accès public. Un ou plusieurs conteneurs exposés ont des noms qui indiquent qu’ils peuvent contenir des données sensibles. Cela indique généralement la reconnaissance par un acteur de menace qui analyse les conteneurs de stockage accessibles publiquement mal configurés qui peuvent contenir des données sensibles. Une fois qu’un acteur de menace découvre correctement un conteneur, il peut continuer en exfiltrant les données. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
La réputation d’une adresse IP peut indiquer si l’activité d’analyse provient d’un acteur de menace connu ou d’un acteur qui utilise le réseau Tor pour masquer son identité. Ces deux indicateurs suggèrent qu’il existe une intention malveillante. La réputation de l'adresse IP est fournie par Microsoft Renseignement sur les menaces.
L’ajout de la réputation de l’adresse IP au titre de l’alerte permet d’évaluer rapidement l’intention de l’acteur, et ainsi la gravité de la menace.
Les alertes suivantes incluent ces informations :
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Par exemple, les informations ajoutées au titre de l’alerte Publicly accessible storage containers have been exposed ressemblent à ceci :
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Toutes les alertes pour Microsoft Defender pour le stockage continueront d'inclure des informations sur les menaces dans l'entité IP dans la section Entités associées de l'alerte.
Consulter les journaux d’activité liés à une alerte de sécurité
Dans le cadre des actions que vous pouvez effectuer pour évaluer une alerte de sécurité, vous pouvez trouver les journaux de plateforme associés dans Inspecter le contexte de la ressource pour obtenir un contexte sur la ressource affectée. Microsoft Defender for Cloud identifie les journaux de plateforme qui se trouvent dans un jour de l’alerte.
Les journaux de plateforme peuvent vous aider à évaluer la menace de sécurité et à identifier les étapes que vous pouvez effectuer pour atténuer le risque identifié.
mars 2022
Les mises à jour du mois de mars incluent :
- Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
- Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
- Defender pour conteneurs peut désormais rechercher des vulnérabilités dans Windows images (préversion)
- alerte New pour Microsoft Defender pour le stockage (préversion)
- Configurer les paramètres de notifications par e-mail à partir d’une alerte
- Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
- Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
- Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
- L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
- Recommandations relatives aux appareils Microsoft Defender pour IoT Microsoft Defender pour IoT
- alertes d’appareil Deprecated Microsoft Defender pour IoT
- Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
- Enregistry scan for Windows images in ACR a ajouté la prise en charge des clouds nationaux
Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
Les fonctionnalités de gestion de la posture de sécurité cloud fournies par Microsoft Defender for Cloud ont désormais ajouté la prise en charge de vos environnements AWS et GCP au sein de votre degré de sécurisation.
Les entreprises peuvent désormais afficher leur posture de sécurité globale, dans différents environnements, tels que Azure, AWS et GCP.
La page Degré de sécurisation est remplacée par le tableau de bord Posture de sécurité. Le tableau de bord Posture de sécurité vous permet d’afficher un score global pour tous vos environnements, ou une répartition de votre situation de sécurité en fonction de l’ensemble des environnements que vous choisissez.
La page Recommandations a également été repensée pour fournir de nouvelles fonctionnalités, comme la sélection d’un environnement cloud, des filtres avancés basés sur le contenu (groupe de ressources, compte AWS, projet GCP, etc.), une interface utilisateur améliorée pour les faibles résolutions, la prise en charge des requêtes ouvertes dans le graphe des ressources, et bien plus encore. Vous pouvez en savoir plus sur votre posture globale de sécurité et vos recommandations de sécurité.
Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
Les modifications apportées à notre feuille de route et à nos priorités ont supprimé le besoin de l’agent de collecte des données du trafic réseau. Les deux recommandations suivantes et leurs stratégies associées ont été dépréciées.
| Recommendation | Description | Severity |
|---|---|---|
| L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Defender for Cloud utilise Microsoft Dependency Agent pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | Medium |
| L’agent de collecte de données du trafic réseau doit être installé sur Windows machines virtuelles | Defender for Cloud utilise Microsoft Dependency Agent pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau, telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et des menaces réseau spécifiques. | Medium |
Defender pour conteneurs peut désormais rechercher des vulnérabilités dans des images Windows (préversion)
Defender pour l'analyse d'images de Container prend désormais en charge les images Windows hébergées dans Azure Container Registry. Cette fonctionnalité est gratuite en préversion, et elle entraînera un coût lorsqu’elle sera en disponibilité générale.
Pour plus d’informations, consultez Utilisez Microsoft Defender conteneur pour analyser vos images.
Nouvelle alerte pour Microsoft Defender pour le stockage (préversion)
Pour développer les protections contre les menaces fournies par Microsoft Defender pour le stockage, nous avons ajouté une nouvelle alerte en préversion.
Les acteurs des menaces utilisent des applications et des outils pour découvrir et accéder aux comptes de stockage. Microsoft Defender pour le stockage détecte ces applications et outils afin que vous puissiez les bloquer et corriger votre posture.
Cette alerte en préversion se nomme Access from a suspicious application. L’alerte est pertinente pour Stockage Blob Azure et ADLS Gen2 uniquement.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Accès à partir d’une application suspecte (Storage.Blob_SuspiciousApp) |
Indique qu’une application suspecte a réussi à accéder à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2 |
Accès initial | Medium |
Configurer les paramètres de notifications par e-mail à partir d’une alerte
Une nouvelle section a été ajoutée à l’interface utilisateur des alertes ; elle vous permet d’afficher et de changer les destinataires des notifications par e-mail pour les alertes déclenchées sur l’abonnement actuel.
Découvrez comment Configurer des notifications par e-mail pour les alertes de sécurité.
Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
L’alerte en préversion suivante est déconseillée :
| Nom de l’alerte | Description |
|---|---|
|
PRÉVERSION – Activité à partir d’une adresse IP à risque (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Une activité utilisateur depuis une adresse IP qui a été identifiée comme adresse IP de proxy anonyme a été détectée. Ces proxys sont utilisés par des individus souhaitant masquer l’adresse IP de leur appareil et peuvent être utilisés dans un but malveillant. Cette détection utilise un algorithme Machine Learning qui réduit les faux positifs, tels que les adresses IP mal étiquetées qui sont largement utilisées par d’autres utilisateurs de l’organisation. Nécessite une licence Microsoft Defender for Cloud Apps active. |
Une nouvelle alerte a été créée pour fournir ces informations et s’y ajouter. En outre, les alertes plus récentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) ne nécessitent pas de licence pour Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security).
Consultez d’autres alertes pour Resource Manager.
Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
La recommandation Vulnerabilities in container security configurations should be remediated a été déplacée de la section Niveau de sécurité vers la section Bonnes pratiques.
L’expérience utilisateur actuelle fournit uniquement le score lorsque les contrôles de conformité ont réussi. La plupart des clients ont des difficultés à satisfaire tous les contrôles requis. Nous travaillons sur l’amélioration de l’expérience pour cette recommandation et, une fois publiée, celle-ci sera redéplacée vers le niveau de sécurité.
Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
À mesure que les organisations s'éloignent de l'utilisation de certificats de gestion pour gérer leurs abonnements, et 'annonce récente que nous mettons hors service le modèle de déploiement Cloud Services (classique), nous avons déprécié la recommandation Defender for Cloud suivante et sa stratégie associée :
| Recommendation | Description | Severity |
|---|---|---|
| Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion | Les certificats de gestion permettent à toute personne qui les utilise pour s’authentifier de gérer les abonnements auxquels ils sont associés. Pour gérer les abonnements de manière plus sécurisée, l’utilisation de principaux de service avec Resource Manager est recommandée pour limiter le rayon d’explosion en cas de compromission de certificat. Cela automatise également la gestion des ressources. (Stratégie associée : Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion) |
Medium |
Pour en savoir plus:
- Le modèle de déploiement de Cloud Services (Classic) est mis hors service le 31 août 2024
- Overview de Azure Cloud Services (classique)
- Workflow d’architecture de machine virtuelle classique Microsoft Azure, y compris les principes de base du flux de travail RDFE
L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
L'implémentation héritée de la norme ISO 27001 a été supprimée du tableau de bord de conformité réglementaire de Defender for Cloud. Si vous suivez votre conformité ISO 27001 avec Defender for Cloud, intégrez la nouvelle norme ISO 27001:2013 pour tous les groupes d'administration ou abonnements pertinents.
Recommandations relatives aux appareils déconseillées Microsoft Defender pour IoT
Microsoft Defender pour IoT recommandations sur les appareils n’est plus visible dans Microsoft Defender for Cloud. Ces recommandations sont toujours disponibles sur la page Recommandations de Microsoft Defender pour IoT.
Les recommandations suivantes sont dépréciées :
| Clé d’évaluation | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b : appareils IoT | Ports ouverts sur l’appareil |
| ba975338-f956-41e7-a9f2-7614832d382d : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne d’entrée |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c : appareils IoT | Stratégie de pare-feu permissive trouvée dans l’une des chaînes |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne de sortie |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876 : appareils IoT | Échec de validation de la base du système d’exploitation |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879 : appareils IoT | Agent envoyant des messages sous-exploités |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5 : appareils IoT | Mise à niveau de la suite de chiffrement TLS requise |
| d74d2738-2485-4103-9919-69c7e63776ec : appareils IoT |
Auditd processus arrêté d’envoi d’événements |
Alertes d’appareil Microsoft Defender pour IoT déconseillées
Toutes les alertes de Defender Microsoft pour les appareils IoT ne sont plus visibles dans Microsoft Defender for Cloud. Ces alertes sont toujours disponibles sur la page Alerte de Microsoft Defender pour IoT et dans Microsoft Sentinel.
Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
les fonctionnalités CSPM de Defender for Cloud s'étendent à vos ressources AWS et GCP. Ce plan sans agent évalue vos ressources multi-cloud conformément aux recommandations de sécurité propres au cloud. Celles-ci sont incluses dans votre niveau de sécurité. La conformité des ressources est évaluée à l’aide de normes intégrées. la page d'inventaire des ressources de Defender for Cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS en même temps que vos ressources Azure.
Microsoft Defender pour les serveurs apporte la détection des menaces et les défenses avancées à vos instances de calcul dans AWS et GCP. Le plan Defender pour les serveurs comprend une licence intégrée pour Microsoft Defender for Endpoint, l’analyse de l’évaluation des vulnérabilités, etc. Découvrez toutes les fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter votre environnement AWS et GCP avec Microsoft Defender for Cloud.
L’analyse du Registre pour les images Windows dans ACR a ajouté la prise en charge des clouds nationaux
L’analyse du Registre pour les images Windows est désormais prise en charge dans Azure Government et Microsoft Azure exploitées par 21Vianet. Cet ajout est actuellement en préversion.
En savoir plus sur la disponibilité de notre fonctionnalité.
Février 2022
Les mises à jour de février sont les suivantes :
- Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
- CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
- Microsoft Defender pour Azure Cosmos DB plan publié en préversion
- Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
Defender pour les conteneurs précédemment protégés uniquement les charges de travail Kubernetes exécutées dans Azure Kubernetes Service. Nous avons maintenant étendu la couverture de protection pour inclure des clusters Kubernetes compatibles avec Azure Arc.
Découvrez comment configurer votre protection de charge de travail Kubernetes pour akS et Azure Arc clusters Kubernetes activés.
CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
La nouvelle intégration automatisée des environnements GCP vous permet de protéger les charges de travail GCP avec Microsoft Defender for Cloud. Defender for Cloud protège vos ressources avec les plans suivants :
Defender for Cloud les fonctionnalités CSPM s'étendent à vos ressources GCP. Ce plan sans agent évalue vos ressources GCP en fonction des recommandations de sécurité spécifiques à GCP, fournies avec Defender for Cloud. Les recommandations GCP sont incluses dans votre degré de sécurisation, et les ressources sont évaluées pour la conformité à la norme CIS GCP intégrée. la page d'inventaire des ressources de Defender for Cloud est une fonctionnalité multicloud activée pour vous aider à gérer vos ressources dans Azure, AWS et GCP.
Microsoft Defender pour les serveurs apporte la détection des menaces et les défenses avancées à vos instances de calcul GCP. Ce plan inclut la licence intégrée pour Microsoft Defender for Endpoint, l’analyse de l’évaluation des vulnérabilités, etc.
Pour obtenir la liste complète des fonctionnalités disponibles, consultez Fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter vos projets GCP avec Microsoft Defender for Cloud.
Microsoft Defender pour le plan de Azure Cosmos DB publié en préversion
Nous avons étendu la couverture de la base de données de Microsoft Defender for Cloud. Vous pouvez désormais activer la protection pour vos bases de données Azure Cosmos DB.
Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte toute tentative d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Microsoft Defender pour Azure Cosmos DB détecte des injections SQL potentielles, des acteurs malveillants connus basés sur Microsoft Renseignement sur les menaces, des modèles d’accès suspect et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’internes malveillants.
Il analyse en continu le flux de données client généré par les services Azure Cosmos DB.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes sont affichées dans Microsoft Defender for Cloud avec les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions de correction et les recommandations de sécurité pertinentes.
Il n'y a aucun impact sur les performances de la base de données lors de l'activation du service, car Defender pour Azure Cosmos DB n'accède pas aux données du compte Azure Cosmos DB.
En savoir plus sur Overview de Microsoft Defender pour Azure Cosmos DB.
Nous présentons également une nouvelle expérience d’activation pour la sécurité des bases de données. Vous pouvez désormais activer Microsoft Defender for Cloud protection sur votre abonnement pour protéger tous les types de base de données, tels que Azure Cosmos DB, Azure SQL Database, les serveurs Azure SQL sur les machines et Microsoft Defender pour les bases de données relationnelles open source via un processus d’activation. Certains types de ressources peuvent être inclus ou exclus lors de la configuration de votre plan.
Découvrez comment activer la sécurité de votre base de données au niveau de l’abonnement.
Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Suite à notre annonce récente Native CSPM pour GCP et protection contre les menaces pour les instances de calcul GCP, Microsoft Defender pour conteneurs a étendu sa protection contre les menaces Kubernetes, l'analytique comportementale et les stratégies de contrôle d'admission intégrées aux clusters Kubernetes Engine (GKE) Standard de Google. Vous pouvez facilement intégrer tous les clusters standard GKE existants ou nouveaux à votre environnement via nos fonctionnalités d’intégration automatique. Consultez la sécurité Container avec Microsoft Defender for Cloud, pour obtenir la liste complète des fonctionnalités disponibles.
Janvier 2022
Les mises à jour de janvier sont les suivantes :
Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT& Matrice CK® - Recommendations pour activer les plans dans Microsoft Defender sur les espaces de travail (en préversion)
- Avisionner Log Analytics agent sur des machines Azure Arc (préversion)
- Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
- Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
- Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
- Renommage de deux recommandations
- Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
- Ajout du workbook « Alertes actives »
- Ajout de la recommandation « Mise à jour système » au cloud du secteur public
Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT& Matrice CK®
La couche de gestion cloud est un service essentiel, connecté à toutes vos ressources cloud. De ce fait, il est également une cible potentielle pour les attaquants. Nous recommandons aux équipes des opérations de sécurité de surveiller attentivement la couche de gestion des ressources.
Microsoft Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation, qu'elles soient effectuées via le portail Azure, les API REST Azure, les Azure CLI ou d'autres clients programmatiques Azure. Defender for Cloud exécute des analyses de sécurité avancées pour détecter les menaces et vous alerter sur les activités suspectes.
Les protections du plan améliorent considérablement la résilience d'une organisation contre les attaques des acteurs de menace et augmentent considérablement le nombre de ressources Azure protégées par Defender for Cloud.
En décembre 2020, nous avons introduit la préversion de Defender pour Resource Manager et, en mai 2021, le plan a été publié pour la disponibilité générale.
Avec cette mise à jour, nous avons révisé de façon complète l'accent de la Microsoft Defender pour Resource Manager plan. Le plan mis à jour comprend une multitude de nouvelles alertes axées sur l’identification d’un appel suspect d’opérations à haut risque. Ces nouvelles alertes fournissent une surveillance approfondie des attaques dans la matrice MITRE ATT&CK® complète pour les techniques basées sur le cloud.
Cette matrice couvre la plage suivante d’intentions potentielles des acteurs de menace susceptibles de cibler les ressources de votre organisation : accès initial, exécution, persistance, escalade de privilèges, évasion de défense, accès aux informations d’identification, découverte, mouvement latéral, collection, exfiltration et impact.
Les nouvelles alertes pour ce plan Defender couvrent ces intentions, comme indiqué dans le tableau suivant.
Tip
Ces alertes figurent également sur la page de référence des alertes.
| Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | Severity |
|---|---|---|---|
|
Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès initial | Medium |
|
Appel suspect d’une opération d’exécution à haut risque détecté (préversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque sur un ordinateur de votre abonnement, ce qui peut indiquer une tentative d’exécution du code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Execution | Medium |
|
Appel suspect d’une opération de persistance à haut risque détecté (préversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’établissement de persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Persistence | Medium |
|
Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’escalade des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Escalade de privilèges | Medium |
|
Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’évasion des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Évasion de défense | Medium |
|
Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès aux informations d’identification | Medium |
|
Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’exécution de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre des ressources supplémentaires dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Mouvement latéral | Medium |
|
Appel suspect d’une opération de collecte de données à haut risque détecté (préversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Collection | Medium |
|
Appel suspect d’une opération d’impact à haut risque détecté (préversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender pour Resource Manager identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Impact | Medium |
En outre, les deux alertes suivant de ce plan ont été retirées de la préversion :
| Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | Severity |
|---|---|---|---|
|
Azure Resource Manager opération à partir d’une adresse IP suspecte (ARM_OperationFromSuspiciousIP) |
Microsoft Defender pour Resource Manager détecté une opération à partir d’une adresse IP marquée comme suspecte dans les flux de renseignement sur les menaces. | Execution | Medium |
| opération Azure Resource Manager à partir d’une adresse IP proxy suspecte (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender pour Resource Manager détecté une opération de gestion des ressources à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Medium |
Recommandations pour activer les plans Microsoft Defender sur les espaces de travail (en préversion)
Pour tirer parti de toutes les fonctionnalités de sécurité disponibles à partir de Microsoft Defender pour les serveurs et Microsoft Defender pour SQL sur les machines, les plans doivent être activés sur both les niveaux d’abonnement et d’espace de travail.
Lorsqu’une machine fait partie d’un abonnement dans lequel l’un de ces plans est activé, les protections complètes vous sont facturées. Toutefois, si cet ordinateur signale à un espace de travail sans le plan activé, vous ne recevrez pas réellement ces avantages.
Nous avons ajouté deux recommandations qui mettent en évidence les espaces de travail sans que ces plans soient activés, qui ont néanmoins des ordinateurs qui les signalent à partir d’abonnements dont le plan est activé.
Les recommandations, qui offrent toutes les deux une correction automatisée (l’action « Corriger »), sont les suivantes :
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender pour les serveurs doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs offre une détection des menaces et des défenses avancées pour vos machines Windows et Linux. Avec ce plan Defender activé sur vos abonnements, mais pas sur vos espaces de travail, vous payez pour la capacité complète de Microsoft Defender pour les serveurs, mais manquez certains des avantages. Lorsque vous activez Microsoft Defender pour les serveurs sur un espace de travail, tous les ordinateurs signalant à cet espace de travail sont facturés pour Microsoft Defender pour les serveurs, même s'ils sont dans des abonnements sans Defender plans activés. Sauf si vous activez également Microsoft Defender pour les serveurs sur l'abonnement, ces machines ne pourront pas tirer parti de l'accès juste-à-temps aux machines virtuelles, des contrôles d'application adaptatifs et des détections réseau pour les ressources Azure. En savoir plus dans Overview de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Medium |
| Microsoft Defender pour SQL sur les machines doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs offre une détection des menaces et des défenses avancées pour vos machines Windows et Linux. Avec ce plan Defender activé sur vos abonnements, mais pas sur vos espaces de travail, vous payez pour la capacité complète de Microsoft Defender pour les serveurs, mais manquez certains des avantages. Lorsque vous activez Microsoft Defender pour les serveurs sur un espace de travail, tous les ordinateurs signalant à cet espace de travail sont facturés pour Microsoft Defender pour les serveurs, même s'ils sont dans des abonnements sans Defender plans activés. Sauf si vous activez également Microsoft Defender pour les serveurs sur l'abonnement, ces machines ne pourront pas tirer parti de l'accès juste-à-temps aux machines virtuelles, des contrôles d'application adaptatifs et des détections réseau pour les ressources Azure. En savoir plus dans Overview de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Medium |
Approvisionnement automatique Log Analytics agent sur des machines compatibles avec Azure Arc (préversion)
Defender for Cloud utilise l’agent Log Analytics pour collecter des données liées à la sécurité à partir de machines. L’agent lit les configurations et les journaux des événements de sécurité, puis copie les données dans votre espace de travail pour analyse.
Defender for Cloud paramètres de provisionnement automatique a un bouton bascule pour chaque type d'extension prise en charge, y compris l'agent Log Analytics.
Dans une extension supplémentaire de nos fonctionnalités de cloud hybride, nous avons ajouté une option permettant de provisionner automatiquement l'agent Log Analytics sur les machines connectées à Azure Arc.
Tout comme les options d’approvisionnement automatique, elle est configurée au niveau de l’abonnement.
Lorsque vous activez cette option, il vous est demandé d’indiquer l’espace de travail.
Note
Pour cette préversion, vous ne pouvez pas sélectionner l'espace de travail par défaut créé par Defender for Cloud. Pour vous assurer que vous recevez l’ensemble complet des fonctionnalités de sécurité disponibles pour les serveurs compatibles avec les Azure Arc, vérifiez que la solution de sécurité appropriée est installée sur l’espace de travail sélectionné.
Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
Nous avons supprimé la recommandation Les données sensibles dans vos bases de données SQL doivent être classifiées dans le cadre d'une révision de la façon dont Defender for Cloud identifie et protège la date sensible dans vos ressources cloud.
L’avis préalable de cette modification s’est produit au cours des six derniers mois dans la page Important à venir sur Microsoft Defender for Cloud page.
Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
L’alerte suivante était uniquement disponible pour les organisations qui avaient activé le plan Microsoft Defender pour DNS.
Avec cette mise à jour, l’alerte s’affiche également pour les abonnements avec le plan Microsoft Defender pour les serveurs ou Defender pour App Service activé.
En outre, Microsoft Threat Intelligence a développé la liste des domaines malveillants connus pour inclure des domaines associés à l’exploitation des vulnérabilités largement publicisées associées à Log4j.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Communication avec un domaine suspect identifié par le renseignement sur les menaces (AzureDNS_ThreatIntelSuspectDomain) |
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. | Accès initial, persistance, exécution, commande et contrôle, et exploitation | Medium |
Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
Pour aider nos utilisateurs à partager rapidement le détail d’une alerte avec d’autres personnes (par exemple les analystes SOC, les propriétaires des ressources et les développeurs), nous avons ajouté la capacité d’extraire facilement toutes les informations relatives à une alerte spécifique en cliquant sur un bouton du volet d’informations de l’alerte de sécurité.
Le nouveau bouton Copier l’alerte JSON place les détails de l’alerte, au format JSON , dans le Presse-papiers de l’utilisateur.
Renommage de deux recommandations
À des fins de cohérence avec d’autres noms de recommandations, nous avons renommé les deux recommandations suivantes :
Recommandation de résoudre les vulnérabilités découvertes dans les images conteneurs en cours d’exécution
- Ancien nom : Les vulnérabilités des images conteneurs en cours d’exécution doivent être corrigées (optimisé par Qualys)
- Nouveau nom : Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs en cours d’exécution
Recommandation d’activation des journaux de diagnostic pour Azure App Service
- Ancien nom : Les journaux de diagnostic doivent être activés dans App Service
- Nouveau nom : Les journaux de diagnostic d’App Service doivent être activés
Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
Nous avons déprécié la recommandation Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés.
| Nom de stratégie | Description | Effect(s) | Version |
|---|---|---|---|
| Les conteneurs de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des conteneurs aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion du moteur AKS et Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit, refus, désactivé | 6.1.2 |
La recommandation Les services doivent écouter sur les ports autorisés uniquement doit être utilisée pour limiter les ports qu’une application expose sur Internet.
Ajout du workbook « Alertes actives »
Pour aider nos utilisateurs à comprendre les menaces actives dans leurs environnements et à hiérarchiser les alertes actives pendant le processus de correction, nous avons ajouté le workbook Alertes actives.
Le classeur d’alertes actives permet aux utilisateurs d’afficher un tableau de bord unifié de leurs alertes agrégées par gravité, type, balise, tactiques MITRE ATT&CK et emplacement. Pour plus d’informations, consultez Utiliser le workbook « Alertes actives ».
Ajout de la recommandation « Mise à jour système » au cloud du secteur public
La recommandation « Les mises à jour système doivent être installées sur vos machines » est maintenant disponible sur tous les clouds du secteur public.
Il est probable que cette modification aura un impact sur le score de sécurité de votre abonnement au cloud du secteur public. Nous pensons que la modification entraîne un score inférieur, mais il est possible que l’inclusion de la recommandation entraîne une augmentation du score dans certains cas.
Décembre 2021
Les mises à jour en décembre sont les suivantes :
- Microsoft Defender plan conteneurs publié pour la disponibilité générale (GA)
- Alertes nouvelles pour Microsoft Defender pour le stockage publiée pour la disponibilité générale (GA)
- Improvements aux alertes de Microsoft Defender pour le stockage
- Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
Microsoft Defender pour le plan Conteneurs publié pour la disponibilité générale
Il y a deux ans, nous avons introduit Defender pour Kubernetes et Defender pour les registres de conteneurs dans le cadre de l’offre de Azure Defender dans Microsoft Defender for Cloud.
Avec la publication de Microsoft Defender pour conteneurs, nous avons fusionné ces deux plans de Defender existants.
Le nouveau plan :
- combine les fonctionnalités des deux plans existants, notamment la détection des menaces pour les clusters Kubernetes et l’évaluation des vulnérabilités pour les images stockées dans des registres de conteneurs
- offre de nouvelles fonctionnalités et des améliorations, notamment la prise en charge du multicloud, la détection des menaces au niveau de l’hôte avec plus de 60 nouvelles analyses prenant en charge Kubernetes et l’évaluation des vulnérabilités pour les images exécutées
- présente l’intégration native Kubernetes à grande échelle. Par défaut, lorsque vous activez le plan, tous les composants pertinents sont configurés pour être déployés automatiquement
Avec cette version, la disponibilité et la présentation de Defender pour Kubernetes et Defender pour les registres de conteneurs ont changé comme suit :
- Nouveaux abonnements. Les deux plans de conteneurs précédents ne sont plus disponibles
- Abonnements existants - Où qu'ils apparaissent dans le portail Azure, les plans sont affichés sous la forme Deprecated avec des instructions sur la mise à niveau vers le plan plus récent
Le nouveau plan est gratuit pour le mois de décembre 2021. Pour connaître les modifications potentielles apportées à la facturation des anciens plans à Defender pour conteneurs et pour plus d’informations sur les avantages introduits avec ce plan, consultez Présentation de Microsoft Defender pour conteneurs.
Pour plus d'informations, consultez les pages suivantes :
- Overview de Microsoft Defender pour conteneurs
- Enable Microsoft Defender pour conteneurs
- Présentation de Microsoft Defender pour conteneurs - Microsoft Tech Community
- Microsoft Defender pour les conteneurs | Defender for Cloud dans le champ n° 3 - YouTube
Nouvelles alertes pour Microsoft Defender de stockage publiées pour la disponibilité générale (GA)
Les acteurs de menaces utilisent des outils et des scripts pour analyser les conteneurs ouverts publiquement dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés incluant des données sensibles.
Microsoft Defender pour le stockage détecte ces scanneurs afin que vous puissiez les bloquer et corriger votre posture.
L’alerte d’aperçu détectée a été appelée « Analyse anonyme des conteneurs de stockage public ». Pour fournir une plus grande clarté sur les événements suspects découverts, nous avons divisé cela en deux nouvelles alertes. Ces alertes sont pertinentes pour Stockage Blob Azure uniquement.
Nous avons amélioré la logique de détection, mis à jour les métadonnées d’alerte et modifié le nom et le type des alertes.
Les nouvelles alertes sont les suivantes :
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
Des conteneurs de stockage accessibles publiquement ont été découverts (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Une découverte de conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Échec de l’analyse des conteneurs de stockage accessibles publiquement (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Une série de tentatives d’analyse des conteneurs de stockage ouverts publiquement ayant échoué ont été effectuées au cours de la dernière heure. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Overview de Microsoft Defender pour le stockage
- List des alertes fournies par Microsoft Defender pour le stockage
Améliorations apportées aux alertes pour les Microsoft Defender pour le stockage
Les alertes d’accès initiales sont désormais plus précises et comportent davantage de données pour soutenir les enquêtes.
Les acteurs de menaces utilisent diverses techniques dans l’accès initial pour s’introduire dans un réseau. Deux des alertes Microsoft Defender pour le stockage qui détectent les anomalies comportementales dans ce stade ont désormais amélioré la logique de détection et des données supplémentaires pour prendre en charge les enquêtes.
Si vous avez configuré des automatisations ou défini des règles de suppression d’alerte pour ces alertes par le passé, mettez-les à jour conformément à ces modifications.
Détection de l’accès à partir d’un nœud de sortie Tor
L’accès à partir d’un nœud de sortie Tor peut indiquer qu’un acteur de menace tente de masquer son identité.
L’alerte est désormais configurée pour être générée uniquement pour l’accès authentifié, afin d’accroitre la précision et renforcer la confiance quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Un modèle périphérique aura un niveau de gravité élevé, tandis que les modèles moins inhabituels présenteront une gravité moyenne.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès à un compte de stockage à partir d’un nœud de sortie Tor
- Nom de l’alerte (nouveau) : Accès authentifié à partir d’un nœud de sortie Tor
- Types d’alerte : Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Description : un ou plusieurs conteneurs de stockage/partages de fichiers dans votre compte de stockage ont été sollicités avec succès à partir d’une adresse IP connue en tant que nœud de sortie actif de Tor (un proxy d’anonymisation). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
- Tactique MITRE : accès initial
- Gravité : haut/moyen
Accès non authentifié inhabituel
Une modification des modèles d’accès peut indiquer qu’un acteur de menace a pu exploiter l’accès en lecture public aux conteneurs de stockage, soit en exploitant une erreur dans les configurations d’accès, soit en modifiant les autorisations d’accès.
Cette alerte de gravité moyenne est désormais ajustée avec une logique comportementale améliorée, une plus grande précision et une confiance renforcée quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès anonyme à un compte de stockage
- Nom de l’alerte (nouveau) : Accès non authentifié inhabituel à un conteneur de stockage
- Types d’alerte : Storage.Blob_AnonymousAccessAnomaly
- Description : ce compte de stockage a fait l’objet d’un accès sans authentification, ce qui constitue un changement par rapport au modèle d’accès courant. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure
- Tactique MITRE : collection
- Gravité : moyen
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Introduction à Microsoft Defender pour le stockage
- List des alertes fournies par Microsoft Defender pour le stockage
Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
L’alerte suivante a été supprimée de nos alertes de la couche réseau en raison d’un manque d’efficacité :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Détection possible d’une activité analyse des ports sortants (PortSweeping) |
L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis}. Ce trafic peut être le résultat d’une activité d’analyse de port. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Si ce comportement est intentionnel, notez que l’analyse des ports est exécutée sur Azure conditions d’utilisation. Si ce comportement est involontaire, cela peut signifier que votre ressource a été compromise. | Discovery | Medium |
Novembre 2021
Notre version d’Ignite comprend les éléments suivants :
- Azure Security Center et Azure Defender deviennent Microsoft Defender for Cloud
- Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
- Prioritize des actions de sécurité par sensibilité des données (alimentée par Microsoft Purview) (en préversion)
- Expanded security control assessments with Azure Security Benchmark v3
- Microsoft Sentinel synchronisation d'alertes bidirectionnelles facultative publiée pour la disponibilité générale (GA)
- Nouvelle recommandation pour envoyer (push) les journaux d’activité Azure Kubernetes Service (AKS) vers Microsoft Sentinel
- Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Autres changements apportés en novembre :
- Microsoft Gestion des menaces et des vulnérabilités ajoutée en tant que solution d’évaluation des vulnérabilités - publiée pour la disponibilité générale (GA)
- Microsoft Defender for Endpoint pour Linux désormais pris en charge par Microsoft Defender pour les serveurs - publié pour la disponibilité générale (GA)
- Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
- Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
- Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
- Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut – préversion
- L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Azure Security Center et Azure Defender deviennent Microsoft Defender for Cloud
D’après le rapport sur l’état du cloud en 2021, 92 % des organisations ont désormais une stratégie multicloud. À Microsoft, notre objectif est de centraliser la sécurité entre les environnements et d’aider les équipes de sécurité à travailler plus efficacement.
Microsoft Defender for Cloud est une solution CSPM (Cloud Security Posture Management) et Cloud Workload Protection Platform (CWPP) qui détecte les faiblesses de votre configuration cloud, renforce la posture globale de sécurité de votre environnement et protège les charges de travail dans les environnements multiclouds et hybrides.
Chez Ignite 2019, nous avons partagé notre vision de créer l’approche la plus complète pour sécuriser votre patrimoine numérique et intégrer des technologies XDR sous la marque Microsoft Defender. Unifier Azure Security Center et Azure Defender sous le nouveau nom Microsoft Defender for Cloud reflète les fonctionnalités intégrées de notre offre de sécurité et notre capacité à prendre en charge n’importe quelle plateforme cloud.
Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
Une nouvelle page des paramètres d’environnement offre une meilleure visibilité et un meilleur contrôle sur vos groupes d’administration, abonnements et comptes AWS. La page est conçue pour intégrer des comptes AWS à grande échelle : connectez votre compte de gestion AWS et vous intégrerez automatiquement des comptes existants et futurs.
Lorsque vous avez ajouté vos comptes AWS, Defender for Cloud protège vos ressources AWS avec l'un ou l'ensemble des plans suivants :
- les fonctionnalités CSPM de Defender for Cloud s'étendent à vos ressources AWS. Ce plan sans agent évalue vos ressources AWS conformément aux recommandations de sécurité spécifiques à AWS. Celles-ci sont incluses dans votre niveau de sécurité. Les ressources sont également évaluées par rapport à leur conformité aux standards intégrés spécifiques à AWS (AWS CIS, AWS PCI DSS et AWS Foundational Security Best Practices). Defender for Cloud page d'inventaire asset inventory est une fonctionnalité multicloud qui vous aide à gérer vos ressources AWS en même temps que vos ressources Azure.
- Microsoft Defender pour Kubernetes étend sa détection des menaces de conteneur et ses défenses avancées à vos clusters Linux Amazon EKS Linux.
- Microsoft Defender pour les serveurs permet la détection des menaces et les défenses avancées à vos instances EC2 Windows et Linux. Ce plan inclut la licence intégrée pour les Microsoft Defender for Endpoint, les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse des évaluations des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), etc.
En savoir plus sur connectant vos comptes AWS à Microsoft Defender for Cloud.
Hiérarchiser les actions de sécurité par sensibilité des données (alimentée par Microsoft Purview) (en préversion)
Les ressources de données restent une cible populaire pour les auteurs de menaces. Il est donc crucial pour les équipes de sécurité d’identifier, de classer par ordre de priorité et de sécuriser les ressources de données sensibles dans leurs environnements cloud.
Pour relever ce défi, Microsoft Defender for Cloud intègre désormais les informations de confidentialité de Microsoft Purview. Microsoft Purview est un service de gouvernance des données unifié qui fournit des insights complets sur la sensibilité de vos données au sein de charges de travail multiclouds et locales.
L’intégration avec Microsoft Purview étend votre visibilité de sécurité dans Defender for Cloud du niveau de l’infrastructure vers les données, ce qui permet de hiérarchiser les ressources et les activités de sécurité pour vos équipes de sécurité.
Découvrez davantage d’informations dans Classer par ordre de priorité les actions de sécurité en fonction du degré de sensibilité des données.
Évaluations de contrôle de sécurité étendues avec Azure Benchmark de sécurité v3
Les recommandations de sécurité dans Defender for Cloud sont prises en charge par le benchmark de sécurité Azure.
Azure Benchmark de sécurité est l’ensemble Microsoft Azure de recommandations spécifiques à la sécurité et à la conformité en fonction des infrastructures de conformité courantes. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
À partir d'Ignite 2021, Azure v3 est disponible dans le tableau de bord de conformité réglementaire de Defender for Cloud et activé comme nouvelle initiative par défaut pour tous les abonnements Azure protégés par Microsoft Defender for Cloud.
Les améliorations de la version v3 incluent les éléments suivants :
Mappages supplémentaires aux frameworks du secteur PCI-DSS v3.2.1 et ciS Controls v8.
Conseils plus précis et actionnables pour les contrôles grâce à l’introduction des éléments suivants :
- Principes de sécurité : fournir un aperçu des objectifs de sécurité globaux qui constituent la base de nos recommandations.
- Azure Conseils - Guide technique pour atteindre ces objectifs.
Les nouveaux contrôles incluent la sécurité DevOps pour les problèmes tels que la modélisation des menaces et la sécurité de la chaîne d’approvisionnement logicielle, ainsi que la gestion des clés et des certificats pour les meilleures pratiques dans Azure.
En savoir plus dans Introduction pour Azure benchmark de sécurité.
Microsoft Sentinel synchronisation facultative d'alerte bidirectionnelle publiée pour la disponibilité générale (GA) du connecteur
En juillet, we a annoncé une fonctionnalité en préversion, bi-directionnelle de synchronisation des alertes, pour le connecteur intégré dans Microsoft Sentinel (solution SIEM native cloud et SOAR de Microsoft). Cette fonctionnalité est désormais en disponibilité générale (GA).
Lorsque vous connectez Microsoft Defender for Cloud à Microsoft Sentinel, l’état des alertes de sécurité est synchronisé entre les deux services. Par exemple, lorsqu’une alerte est fermée dans Defender for Cloud, cette alerte s’affiche également comme fermée dans Microsoft Sentinel. La modification de l'état d'une alerte dans Defender for Cloud n'affecte pas l'état des Microsoft Sentinel incidents qui contiennent l'alerte de Microsoft Sentinel synchronisée, uniquement celle de l'alerte synchronisée elle-même.
Lorsque vous activez synchronisation d'alertes bidirectionnelles vous synchronisez automatiquement l'état des alertes de Defender for Cloud d'origine avec des incidents Microsoft Sentinel contenant les copies de ces alertes. Par exemple, lorsqu’un incident Microsoft Sentinel contenant une alerte de Defender for Cloud est fermé, Defender for Cloud ferme automatiquement l’alerte d’origine correspondante.
En savoir plus sur les alertes Connect Azure Defender de Azure Security Center et Stream à Microsoft Sentinel.
Nouvelle recommandation pour envoyer (push) des journaux d’activité Azure Kubernetes Service (AKS) vers Microsoft Sentinel
Dans une amélioration supplémentaire de la valeur combinée de Defender for Cloud et de Microsoft Sentinel, nous allons maintenant mettre en évidence Azure Kubernetes Service instances qui n'envoient pas de données de journal à Microsoft Sentinel.
Les équipes SecOps peuvent choisir l’espace de travail Microsoft Sentinel approprié directement à partir de la page des détails de la recommandation et activer immédiatement la diffusion en continu des journaux bruts. Cette connexion transparente entre les deux produits permet aux équipes de sécurité de garantir une couverture complète de la journalisation des charges de travail pour rester maîtres de l’ensemble de leur environnement.
La nouvelle recommandation « Les journaux de diagnostic du service Kubernetes doivent être activés » comprend l’option « Corriger » pour une correction plus rapide.
Nous avons également amélioré la recommandation « L'audit sur SQL Server doit être activé » avec les mêmes fonctionnalités de diffusion en continu Microsoft Sentinel.
Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Nous avons amélioré les recommandations de sécurité de Defender for Cloud pour montrer leur position sur mitre ATT& Framework CK®. Cette base de connaissances mondialement accessible recense les tactiques et techniques des acteurs de menaces basées sur des observations réelles. Elle fournit davantage de contexte pour vous aider à comprendre les risques associés aux recommandations pour votre environnement.
Vous trouverez ces tactiques là où vous accédez aux informations de recommandation :
Azure Resource Graph résultats de requête pour les recommandations pertinentes incluent MITRE ATT& Tactiques et techniques CK®.Les pages de détails des recommandations affichent le mappage de toutes les recommandations pertinentes :
La page recommandations de Defender for Cloud a un nouveau filtre
pour sélectionner des recommandations en fonction de leur tactique associée :
Apprenez-en davantage dans Consulter vos recommandations de sécurité.
Microsoft Gestion des menaces et des vulnérabilités ajoutée en tant que solution d’évaluation des vulnérabilités - publiée pour la disponibilité générale
En octobre, we a annoncé une extension à l’intégration entre Microsoft Defender pour les serveurs et Microsoft Defender for Endpoint, afin de prendre en charge un nouveau fournisseur d’évaluation des vulnérabilités pour vos machines : Microsoft gestion des menaces et des vulnérabilités. Cette fonctionnalité est désormais en disponibilité générale (GA).
Utilisez threat et gestion des vulnérabilités pour détecter des vulnérabilités et des configurations incorrectes en quasi-temps réel avec la intégration avec Microsoft Defender for Endpoint activée, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus sur les faiblesses de Investigate avec la gestion des menaces et des vulnérabilités de Microsoft Defender for Endpoint.
Microsoft Defender for Endpoint pour Linux désormais pris en charge par Microsoft Defender pour les serveurs - publié pour la disponibilité générale
En août, we a annoncé prise en charge de la préversion pour le déploiement du capteur Defender pour point de terminaison pour Linux sur les machines Linux prises en charge. Cette fonctionnalité est désormais en disponibilité générale (GA).
Microsoft Defender pour les serveurs inclut une licence intégrée pour Microsoft Defender for Endpoint. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Defender pour point de terminaison détecte une menace, elle déclenche une alerte. L’alerte s’affiche dans Defender for Cloud. À partir de Defender for Cloud, vous pouvez également basculer vers la Defender pour la console de point de terminaison et effectuer une investigation détaillée pour découvrir l’étendue de l’attaque.
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
Defender for Cloud génère des alertes et des recommandations de sécurité détaillées. Vous pouvez les afficher dans le portail ou au moyen d’outils de programmation. Si nécessaire, vous pouvez également exporter en partie ou en totalité ces informations à des fins de suivi avec d’autres outils de supervision dans votre environnement.
Defender for Cloud fonctionnalité d'exportation continueuse vous permet de personnaliser entièrement quoi sera exportée, et partout il sera exporté. Pour en savoir plus, consultez Exportez continuellement des données Microsoft Defender for Cloud.
Même si la fonctionnalité est appelée continue, il existe également une option pour exporter des instantanés hebdomadaires. Jusqu’à présent, ces captures instantanées hebdomadaires se limitaient aux données liées au niveau de sécurité et à la conformité réglementaire. Nous avons ajouté la possibilité d’exporter les recommandations et résultats de sécurité.
Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
En octobre, we a annoncé l'ajout de solutions d'évaluation des vulnérabilités à la page d'approvisionnement automatique de Defender for Cloud. Cela concerne Azure machines virtuelles et les machines Azure Arc sur les abonnements protégés par Azure Defender pour les serveurs. Cette fonctionnalité est désormais en disponibilité générale (GA).
Si la integration avec Microsoft Defender for Endpoint est activée, Defender for Cloud propose un choix de solutions d’évaluation des vulnérabilités :
- (NEW) Le module de gestion des menaces et des vulnérabilités Microsoft de Microsoft Defender for Endpoint (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
En octobre, nous avons annoncé de nouveaux filtres pour la page d’inventaire des ressources pour sélectionner les machines exécutant des logiciels spécifiques, et même spécifier les versions d’intérêt. Cette fonctionnalité est désormais en disponibilité générale (GA).
Vous pouvez interroger les données d’inventaire logiciel dans Azure Resource Graph Explorer.
Pour utiliser ces fonctionnalités, vous devez activer la integration avec Microsoft Defender for Endpoint.
Pour plus d’informations, notamment des exemples de requêtes Kusto pour Azure Resource Graph, consultez Access a software inventory.
Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Defender for Cloud inclut des stratégies de niveau Kubernetes et des recommandations de renforcement, notamment les options d’application avec le contrôle d’admission Kubernetes.
Dans le cadre de ce projet, nous avons ajouté une stratégie et une recommandation (désactivées par défaut) pour limiter le déploiement sur les clusters Kubernetes. La stratégie se trouve dans l’initiative par défaut, mais elle s’applique uniquement aux organisations qui s’inscrivent à la préversion associée.
Vous pouvez ignorer sans problème les stratégies ainsi que la recommandation (« Les clusters Kubernetes doivent limiter le déploiement d’images vulnérables »). Cela n’a aucun impact sur votre environnement.
Si vous souhaitez participer à la préversion, vous devez être membre de l’anneau d’aperçu. Si vous n’êtes pas déjà membre, envoyez une demande ici. Les membres sont notifiés au lancement de la préversion.
L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Pour améliorer la présentation des ressources dans l’inventaire des ressources, nous avons supprimé l’élément « source-computer-IP » du modèle pour nommer des machines locales.
-
Format précédent :
machine-name_source-computer-id_VMUUID -
À partir de cette mise à jour :
machine-name_VMUUID
Octobre 2021
Les mises à jour d’octobre sont les suivantes :
- Microsoft Threat and Vulnerability Management ajouté en tant que solution d’évaluation des vulnérabilités (en préversion)
- Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
- Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
- Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
- Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
- Les pages de détails sur les recommandations affichent maintenant les recommandations associées
- Nouvelles alertes pour Azure Defender pour Kubernetes (en préversion)
Microsoft Gestion des menaces et des vulnérabilités ajoutée en tant que solution d’évaluation des vulnérabilités (en préversion)
Nous avons étendu l'intégration entre Azure Defender pour les serveurs et Microsoft Defender for Endpoint, afin de prendre en charge un nouveau fournisseur d'évaluation des vulnérabilités pour vos machines : Microsoft gestion des menaces et des vulnérabilités.
Utilisez threat et gestion des vulnérabilités pour détecter des vulnérabilités et des configurations incorrectes en quasi-temps réel avec la intégration avec Microsoft Defender for Endpoint activée, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus sur les faiblesses de Investigate avec la gestion des menaces et des vulnérabilités de Microsoft Defender for Endpoint.
Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
La page de provisionnement automatique de Security Center inclut désormais la possibilité d'activer automatiquement une solution d'évaluation des vulnérabilités pour Azure les machines virtuelles et les machines Azure Arc sur les abonnements protégés par Azure Defender pour les serveurs.
Si la integration avec Microsoft Defender for Endpoint est activée, Defender for Cloud propose un choix de solutions d’évaluation des vulnérabilités :
- (NEW) Le module de gestion des menaces et des vulnérabilités Microsoft de Microsoft Defender for Endpoint (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
La page inventaire des ressources inclut désormais un filtre pour sélectionner des machines exécutant des logiciels spécifiques, et même spécifier les versions d’intérêt.
En outre, vous pouvez interroger les données d’inventaire logiciel dans Azure Resource Graph Explorer.
Pour utiliser ces nouvelles fonctionnalités, vous devez activer la integration avec Microsoft Defender for Endpoint.
Pour plus d’informations, notamment des exemples de requêtes Kusto pour Azure Resource Graph, consultez Access a software inventory.
Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
En juillet 2021, nous avons annoncé une réorganisation ologique de Azure Defender pour les alertes Resource Manager
Lors de la réorganisation des plans de Defender, nous avons déplacé les alertes de Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Avec cette mise à jour, nous avons modifié les préfixes de ces alertes pour qu’elles correspondent à cette réaffectation et remplacé « ARM_ » par « VM_ », comme indiqué dans le tableau suivant :
| Nom d’origine | À partir de cette modification |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
En savoir plus sur les plans Azure Defender pour les plans Resource Manager et Azure Defender pour les serveurs.
Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
La recommandation « Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut » empêche l’utilisation de l’espace de noms par défaut pour une plage de types de ressource. Deux des types de ressource inclus dans cette recommandation ont été supprimés : ConfigMap et Secret.
En savoir plus sur cette recommandation et renforcer vos clusters Kubernetes dans Understand Azure Policy pour les clusters Kubernetes.
Les pages de détails sur les recommandations affichent maintenant les recommandations associées
Pour clarifier les relations entre différentes recommandations, nous avons ajouté une zone de recommandations connexes aux pages de détails de nombreuses recommandations.
Les trois types de relations qui sont affichés sur ces pages sont les suivants :
- Prérequis : recommandation qui doit être effectuée avant la recommandation sélectionnée
- Alternative - Une autre recommandation qui offre une autre façon d’atteindre les objectifs de la recommandation sélectionnée
- Dépendant : recommandation pour laquelle la recommandation sélectionnée est une condition préalable
Pour chaque recommandation associée, le nombre de ressources non saines est indiqué dans la colonne « Ressources affectées ».
Tip
Si une recommandation associée est grisée, sa dépendance n’est pas encore terminée et n’est donc pas disponible.
Voici un exemple de recommandations associées :
Security Center vérifie la présence de solutions d’évaluation des vulnérabilités prises en charge sur vos ordinateurs :
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuellesSi une vulnérabilité est détectée, vous serez informé des vulnérabilités découvertes :
Les vulnérabilités de vos machines virtuelles doivent être corrigées
Bien entendu, Security Center ne peut pas vous notifier les vulnérabilités découvertes, sauf s’il trouve une solution d’évaluation des vulnérabilités prise en charge.
Therefore:
- Recommandation #1 est une condition préalable à la recommandation #2
- La recommandation #2 dépend de la recommandation #1
Nouvelles alertes pour Azure Defender pour Kubernetes (en préversion)
Pour développer les protections contre les menaces fournies par Azure Defender pour Kubernetes, nous avons ajouté deux alertes en préversion.
Ces alertes sont générées en fonction d’un nouveau modèle Machine Learning et d’une analytique avancée Kubernetes, qui mesurent plusieurs attributs de déploiement et d’attribution de rôle sur les activités précédentes du cluster et sur tous les clusters surveillés par Azure Defender.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
Déploiement anormal d’un pod (préversion) (K8S_AnomalousPodDeployment) |
L’analyse des journaux d’audit Kubernetes a détecté un déploiement anormal de pods en fonction de l’activité de déploiement précédente. Cette activité est considérée comme anormale lors de l’examen de la façon dont les différentes fonctionnalités de l’opération de déploiement se rapportent les unes aux autres. Les fonctionnalités surveillées incluent le registre d’images conteneur utilisé, le compte de déploiement, le jour de la semaine, la fréquence de déploiement de ce compte, l’agent utilisateur utilisé, les modèles de déploiement d’espace de noms et d’autres caractéristiques. Les propriétés étendues de l’alerte détaillent les principales raisons de l’identification de cette activité anormale. | Execution | Medium |
|
Autorisations de rôle excessives affectées dans le cluster Kubernetes (préversion) (K8S_ServiceAcountPermissionAnomaly) |
L’analyse des journaux d’audit Kubernetes a détecté une attribution de rôle d’autorisations excessive à votre cluster. D’après l’examen des attributions de rôles, les autorisations répertoriées sont rares pour le compte de service spécifique. Cette détection considère les attributions de rôles précédentes au même compte de service sur les clusters surveillés par Azure, le volume par autorisation et l’impact de l’autorisation spécifique. Le modèle de détection d’anomalie utilisé pour cette alerte prend en compte la façon dont cette autorisation est utilisée sur tous les clusters surveillés par Azure Defender. | Escalade de privilèges | Low |
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Septembre 2021
En septembre, la mise à jour suivante a été publiée :
Deux nouvelles recommandations pour auditer les configurations de système d’exploitation pour Azure conformité de la base de référence de sécurité (en préversion)
Les deux recommandations suivantes ont été publiées pour évaluer la conformité de vos machines avec la base de référence de sécurité Windows et la base de référence de sécurité Linux :
- Pour les machines Windows, Vulnerabilities dans la configuration de sécurité sur vos machines Windows doivent être corrigées (alimentées par Guest Configuration)
- Pour les machines Linux, les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)
Ces recommandations utilisent la fonctionnalité de configuration invité de Azure Policy pour comparer la configuration du système d’exploitation d’un ordinateur avec la ligne de base définie dans le Azure Benchmark de sécurité.
Pour en savoir plus sur l’utilisation de ces recommandations, consultez Renforcer la configuration du système d’exploitation d’une machine à l’aide de la configuration d’invité.
Août 2021
Les mises à jour en août sont les suivantes :
- Microsoft Defender for Endpoint pour Linux est désormais pris en charge par Azure Defender pour les serveurs (en préversion)
- Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
- Dépannage et conseils intégrés pour la résolution des problèmes courants
- Les rapports d'audit Azure du tableau de bord de conformité Azure publiés pour la disponibilité générale (GA)
Recommandation « Log Analytics problèmes d'intégrité de l'agent doivent être résolus sur les - Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés par Azure Private Link
- Security Center peut désormais configurer automatiquement l'extension Guest Configuration de Azure Policy (en préversion)
- Les recommandations prennent désormais en charge « Appliquer ».
- Exportations CSV de données de recommandation désormais limitées à 20 Mo
- La page des recommandations compte désormais plusieurs vues
Microsoft Defender for Endpoint pour Linux désormais pris en charge par Azure Defender pour les serveurs (en préversion)
Azure Defender pour les serveurs inclut une licence intégrée pour Microsoft Defender for Endpoint. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Defender pour point de terminaison détecte une menace, elle déclenche une alerte. L’alerte s’affiche dans Security Center. À partir de Security Center, vous pouvez également basculer vers la Defender pour la console de point de terminaison et effectuer une investigation détaillée pour découvrir l’étendue de l’attaque.
Pendant la période de préversion, vous allez déployer le capteur Defender pour point de terminaison pour Linux sur des machines Linux prises en charge de deux façons, selon que vous l'avez déjà déployé sur vos machines Windows :
- Utilisateurs inexistants avec les fonctionnalités de sécurité améliorées de Defender for Cloud activées et Microsoft Defender for Endpoint pour Windows
- Nouveaux utilisateurs qui n’ont jamais activé l’intégration avec Microsoft Defender for Endpoint pour Windows
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
Nous avons ajouté deux recommandations en préversion pour déployer et gérer les solutions de protection des points de terminaison sur vos machines. Ces deux recommandations incluent la prise en charge de Azure machines virtuelles et des machines connectées à des serveurs Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge.
En savoir plus sur la façon dont est évalué Endpoint Protection pour les machines (Stratégie associée : Monitor missing Endpoint Protection in Azure Security Center) |
High |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Azure Security Center solutions de protection des points de terminaison prises en charge sont documentées here. L’évaluation endpoint protection est documentée ici. (Stratégie associée : Monitor missing Endpoint Protection in Azure Security Center) |
Medium |
Note
Les recommandations indiquent un intervalle d’actualisation de 8 heures, mais dans certains scénarios, cela peut prendre beaucoup plus de temps. Par exemple, lorsqu’un ordinateur local est supprimé, il faut 24 heures pour que Security Center identifie la suppression. Ensuite, l’évaluation prend jusqu’à 8 heures pour renvoyer les informations. Dans cette situation spécifique, la suppression de l’ordinateur peut prendre 32 heures dans la liste des ressources affectées.
Dépannage et conseils intégrés pour la résolution des problèmes courants
Une nouvelle zone dédiée des pages Security Center dans le portail Azure fournit un ensemble croissant de documents d’auto-assistance pour résoudre les défis courants avec Security Center et Azure Defender.
Lorsque vous êtes confronté à un problème ou que vous recherchez des conseils auprès de notre équipe de support technique, la page Diagnostiquer et résoudre les problèmes peut vous aider à trouver la solution :
Rapports d'audit Azure du tableau de bord de conformité réglementaire publiés pour la disponibilité générale
La barre d'outils du tableau de bord de conformité réglementaire offre Azure et Dynamics rapports de certification pour les normes appliquées à vos abonnements.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
Pour plus d’informations, consultez Générer des rapports d’état de conformité et des certificats.
Recommandation déconseillée « Log Analytics problèmes d'intégrité de l'agent doivent être résolus sur vos machines »
Nous avons constaté que les problèmes d'intégrité de l'agent Log Analytics devraient être résolus sur vos machines ont un impact sur les scores sécurisés de manière incompatible avec le focus CSPM (Cloud Security Posture Management) de Security Center. En règle générale, CSPM est associé à l’identification des erreurs de configuration de sécurité. Les problèmes d’intégrité de l’agent n’entrent pas dans cette catégorie de problèmes.
En outre, la recommandation est une anomalie par rapport aux autres agents liés à Security Center : il s’agit du seul agent présentant une recommandation relative aux problèmes d’intégrité.
La recommandation a été déconseillée.
Suite à cette dépréciation, nous avons également apporté des modifications mineures aux recommandations d'installation de l'agent Log Analytics (Log Analytics agent doit être installé sur... ).
Il est probable que cette modification influe sur vos scores de sécurité. Pour la plupart des abonnements, nous pensons que cette modification se traduira par un score plus élevé, mais il est possible que les mises à jour apportées à la recommandation d’installation se traduisent par un score moins élevé dans certains cas.
Tip
La page d’inventaire des ressources a également été affectée par cette modification, car elle affiche l’état surveillé pour les machines (surveillé, non surveillé ou partiellement surveillé , état qui fait référence à un agent présentant des problèmes d’intégrité).
Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés par Azure Private Link
Azure Defender pour les registres de conteneurs inclut un scanneur de vulnérabilité pour analyser des images dans vos registres de Azure Container Registry. Découvrez comment analyser vos registres et corriger les résultats dans Utilisez Azure Defender pour que les registres de conteneurs analysent vos images pour détecter les vulnérabilités.
Pour limiter l’accès à un registre hébergé dans Azure Container Registry, affectez des adresses IP privées de réseau virtuel aux points de terminaison du Registre et utilisez Azure Private Link comme expliqué dans Connect en privé à un Azure container registry à l’aide de Azure Private Link.
Dans le cadre de nos efforts continus pour prendre en charge d’autres environnements et cas d’usage, Azure Defender analyse désormais également les registres de conteneurs protégés par Azure Private Link.
Security Center peut désormais approvisionner automatiquement l'extension Guest Configuration de l'Azure Policy (en préversion)
Azure Policy pouvez auditer les paramètres à l’intérieur d’une machine, à la fois pour les machines exécutées dans Azure et les machines connectées à Arc. La validation est effectuée par le client et l’extension de configuration d’invité. En savoir plus dans Understand Azure Policy's Guest Configuration.
Avec cette mise à jour, vous pouvez désormais configurer Security Center pour provisionner automatiquement l’extension sur toutes les machines prises en charge.
Apprenez-en davantage sur le fonctionnement de l’approvisionnement automatique dans Configurer l’approvisionnement automatique d’agents et d’extensions.
Les recommandations prennent désormais en charge « Appliquer »
Security Center inclut deux fonctionnalités qui permettent de s’assurer que les ressources nouvellement créées sont approvisionnées de manière sécurisée : appliquer et refuser. Lorsqu’une recommandation offre ces options, vous pouvez vous assurer que vos exigences en matière de sécurité sont satisfaites chaque fois qu’un utilisateur tente de créer une ressource :
- Refuser empêche la création de ressources non saines
- Appliquer automatiquement la correction des ressources non conformes lorsqu’elles sont créées
Avec cette mise à jour, l’option d’application est désormais disponible sur les recommandations permettant d’activer les plans Azure Defender (par exemple, Azure Defender pour App Service, Azure Defender pour Key Vault doivent être activés, Azure Defender de stockage doit être activé).
Pour plus d’informations sur ces options, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Exportations CSV de données de recommandation désormais limitées à 20 Mo
Nous créons une limite de 20 Mo lors de l’exportation des données de recommandations Security Center .
S’il vous faut exporter de plus grands volumes de données, utilisez les filtres disponibles avant sélection ou sélectionnez des sous-ensembles de vos abonnements et téléchargez les données par lots.
abonnements 
Apprenez-en davantage sur l’exécution d’une exportation CSV de vos recommandations de sécurité.
La page des recommandations compte désormais plusieurs vues
La page des recommandations compte désormais deux onglets vous permettant d’afficher les recommandations relatives à vos ressources :
- Recommandations relatives aux scores de sécurité : utilisez cet onglet pour afficher la liste des recommandations regroupées par contrôle de sécurité. Pour plus d’informations sur ces contrôles, consultez Contrôles de sécurité et recommandations.
- Toutes les recommandations : utilisez cet onglet pour afficher la liste des recommandations en tant que liste plate. Cet onglet permet également de comprendre l’initiative (y compris les normes de conformité réglementaire) qui a généré la recommandation. Pour plus d’informations sur les initiatives et leurs relations avec les recommandations, consultez Présentation des stratégies de sécurité, des initiatives et des recommandations.
Juillet 2021
Les mises à jour du mois de juillet incluent :
- Microsoft Sentinel connecteur inclut désormais la synchronisation d’alertes bidirectionnelles facultative (en préversion)
- Organisation logique de Azure Defender pour les alertes Resource Manager
- Enhancements à la recommandation d’activer Azure Disk Encryption (ADE)
- Exportation continue du score de sécurité et des données de conformité réglementaire publiées pour la disponibilité générale (GA)
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
- Le champ API Évaluations « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
- modèle de classeur 'Conformité au fil du temps ajouté à Azure Monitor galerie Classeurs
Microsoft Sentinel connecteur inclut désormais la synchronisation facultative des alertes bidirectionnelles (en préversion)
Security Center s'intègre en mode natif avec Microsoft Sentinel, la solution SIEM et SOAR native cloud de Azure.
Microsoft Sentinel inclut des connecteurs intégrés pour Azure Security Center aux niveaux de l’abonnement et du locataire. En savoir plus sur les alertes Stream pour Microsoft Sentinel.
Lorsque vous connectez Azure Defender à Microsoft Sentinel, l’état des alertes Azure Defender qui sont ingérées dans Microsoft Sentinel est synchronisé entre les deux services. Par exemple, lorsqu’une alerte est fermée dans Azure Defender, cette alerte s’affiche également dans Microsoft Sentinel. La modification de l'état d'une alerte dans Azure Defender « n'affecte pas » l'état des Microsoft Sentinel incidents qui contiennent l'alerte de Microsoft Sentinel synchronisée, uniquement celle de l'alerte synchronisée elle-même.
Lorsque vous activez la fonctionnalité d’aperçu synchronisation d’alertes bidirectionnelles, elle synchronise automatiquement l’état des alertes de Azure Defender d’origine avec des incidents Microsoft Sentinel contenant des copies de ces alertes Azure Defender. Par exemple, lorsqu’un incident Microsoft Sentinel contenant une alerte de Azure Defender est fermé, Azure Defender ferme automatiquement l’alerte d’origine correspondante.
En savoir plus sur les alertes Connect Azure Defender de Azure Security Center.
Réorganisation logique des Azure Defender pour les alertes de Resource Manager
Les alertes répertoriées ci-dessous ont été fournies dans le cadre du plan Azure Defender pour Resource Manager.
Dans le cadre d'une réorganisation logique de certains plans de Azure Defender, nous avons déplacé certaines alertes de Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Les alertes sont organisées en fonction de deux principes essentiels :
- Les alertes qui fournissent une protection de plan de contrôle - sur de nombreux types de ressources Azure - font partie de Azure Defender pour Resource Manager
- Les alertes qui protègent des charges de travail spécifiques se trouvent dans le plan de Azure Defender qui concerne la charge de travail correspondante
Il s’agit des alertes qui faisaient partie de Azure Defender pour Resource Manager et qui, à la suite de cette modification, font désormais partie de Azure Defender pour les serveurs :
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
En savoir plus sur les plans Azure Defender pour les plans Resource Manager et Azure Defender pour les serveurs.
Améliorations apportées à la recommandation pour activer Azure Disk Encryption (ADE)
Suite aux commentaires des utilisateurs, nous avons renommé la recommandation Le chiffrement de disque doit être appliqué sur les machines virtuelles.
La nouvelle recommandation utilise le même ID d’évaluation et est appelée Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage.
La description a également été mise à jour pour mieux expliquer l’objectif de cette recommandation de sécurisation renforcée :
| Recommendation | Description | Severity |
|---|---|---|
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Pour plus d’informations, consultez la comparison de différentes technologies de chiffrement de disque dans Azure. Utilisez Azure Disk Encryption pour chiffrer toutes ces données. Ignorez cette recommandation si : (1) vous utilisez la fonctionnalité de chiffrement au niveau de l'hôte ou (2) le chiffrement côté serveur sur Disques managés répond à vos exigences de sécurité. En savoir plus sur le chiffrement côté serveur de Stockage sur disque Azure. |
High |
Exportation continue du score de sécurité et des données de conformité aux réglementations publiées pour la disponibilité générale (GA)
L’exportation continue fournit le mécanisme permettant d’exporter vos alertes de sécurité et recommandations pour le suivi avec d’autres outils de surveillance dans votre environnement.
Lorsque vous configurez l’exportation continue, vous configurez les éléments exportés ainsi que leur emplacement. Apprenez-en davantage dans la présentation de l’exportation continue.
Nous avons amélioré et développé cette fonctionnalité au fil du temps :
En novembre 2020, nous avons ajouté l’option d’aperçu pour diffuser en continu les modifications apportées à votre score sécurisé.
En décembre 2020, nous avons ajouté l’option d’aperçu pour diffuser en continu les modifications apportées à vos données d’évaluation de conformité réglementaire.
Avec cette mise à jour, ces deux options sont en disponibilité générale (GA).
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
En février 2021, nous avons ajouté un troisième type de données en préversion aux options de déclencheur pour vos automatisations de flux de travail : modifications apportées aux évaluations de conformité réglementaire. Pour plus d’informations, consultez Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire.
Avec cette mise à jour, cette option de déclencheur est disponible en disponibilité générale.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Le champ d’API d’évaluation « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
En mai 2021, nous avons mis à jour l’API Assessment avec deux nouveaux champs, FirstEvaluationDate et StatusChangeDate. Pour plus d’informations, consultez Développement de l’API Évaluations avec deux nouveaux champs.
Ces champs étaient accessibles via l’API REST, Azure Resource Graph, l’exportation continue et dans les exportations CSV.
Avec cette modification, nous rendons les informations disponibles dans le schéma de l'espace de travail Log Analytics et à partir d'applications logiques.
Modèle de classeur « Conformité au fil du temps » ajouté à Azure Monitor galerie classeurs
En mars, nous avons annoncé l’expérience intégrée Azure Monitor Workbooks dans Security Center (voir Azure Monitor Classeurs intégrés à Security Center et trois modèles fournis).
La version initiale comprenait trois modèles pour générer des rapports dynamiques et visuels relatifs à la posture de sécurité de votre organisation.
Nous avons maintenant ajouté un classeur dédié au suivi de la conformité d’un abonnement avec les normes réglementaires ou sectorielles qui s’y appliquent.
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Juin 2021
Les mises à jour du mois de juin incluent :
- alerte New pour Azure Defender pour Key Vault
- Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
- Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Nouvelle alerte pour Azure Defender pour Key Vault
Pour développer les protections contre les menaces fournies par Azure Defender pour Key Vault, nous avons ajouté l'alerte suivante :
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
| Accès à partir d’une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccess) |
Un coffre de clés a été correctement accessible par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. | Accès aux informations d’identification | Medium |
Pour plus d'informations, consultez les pages suivantes :
- Introduction Azure Defender pour Key Vault
- Respond à Azure Defender pour les alertes Key Vault
- List des alertes fournies par Azure Defender pour Key Vault
Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
Security Center comprend plusieurs recommandations pour chiffrer les données au repos avec des clés gérées par le client, telles que :
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client (CMK)
Les données de Azure sont chiffrées automatiquement à l’aide de clés gérées par la plateforme. L’utilisation de clés gérées par le client ne doit donc être appliquée que si nécessaire pour la conformité à une stratégie spécifique que votre organisation choisit d’appliquer.
Avec cette modification, les recommandations d’utilisation de clés CMK sont désormais désactivées par défaut. En cas de pertinence pour votre organisation, vous pouvez les activer en modifiant le paramètre Effect de la stratégie de sécurité correspondante en AuditIfNotExists ou En appliquant. En savoir plus dans Activer une recommandation de sécurité.
Cette modification est reflétée dans le nom de la recommandation avec un nouveau préfixe, [Activer si nécessaire] , comme indiqué dans les exemples suivants :
- [Activer si nécessaire] Les comptes de stockage doivent utiliser une clé gérée par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos
Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
Azure Defender pour Kubernetes récemment développé pour protéger les clusters Kubernetes hébergés localement et dans des environnements multiclouds. En savoir plus dans Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion).
Pour refléter le fait que les alertes de sécurité fournies par Azure Defender pour Kubernetes ne sont plus limitées aux clusters sur Azure Kubernetes Service, nous avons également modifié le préfixe des types d'alertes de « AKS_ » en « K8S_ ». Si nécessaire, les noms et descriptions ont également été mis à jour. Par exemple, cette alerte :
| Alerte (type d’alerte) | Description |
|---|---|
| Détection d’un outil de test d’intrusion Kubernetes (AKS_PenTestToolsKubeHunter) |
L’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS . Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Modification de cette alerte :
| Alerte (type d’alerte) | Description |
|---|---|
| Détection d’un outil de test d’intrusion Kubernetes (K8S_PenTestToolsKubeHunter) |
L’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster Kubernetes . Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Toutes les règles de suppression qui font référence à des alertes commençant par « AKS_ » ont été automatiquement converties. Si vous avez configuré des exportations SIEM ou des scripts d’automatisation personnalisés qui font référence à des alertes Kubernetes par type d’alerte, vous avez besoin de les mettre à jour avec les nouveaux types d’alerte.
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Les deux recommandations suivantes ont été dépréciées :
- OS doit être mise à jour pour vos rôles de service cloud : par défaut, Azure met régulièrement à jour votre système d'exploitation invité vers la dernière image prise en charge dans la famille de systèmes d'exploitation que vous avez spécifiée dans votre configuration de service (.cscfg), comme Windows Server 2016.
- Les services Kubernetes doivent être mis à niveau vers une version Kubernetes non vulnérable. Les évaluations de cette recommandation ne sont pas aussi étendues que nous le voulions. Nous prévoyons de remplacer la recommandation par une version améliorée qui est mieux adaptée à vos besoins en matière de sécurité.
Mai 2021
Les mises à jour du mois de mai incluent :
- Azure Defender pour DNS et Azure Defender pour Resource Manager publiée pour la disponibilité générale (GA)
- Azure Defender pour les bases de données relationnelles open source publiées pour la disponibilité générale (GA)
- Nouvelles alertes pour Azure Defender pour Resource Manager
- CI/CD analyse des vulnérabilités des images conteneur avec des flux de travail GitHub et Azure Defender (préversion)
- Plus de requêtes Resource Graph disponibles pour certaines recommandations
- Changement de la gravité de la recommandation de classification des données SQL
- Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
- Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
- Développement de l’API Évaluations avec deux nouveaux champs
- L’inventaire des ressources obtient un filtre d’environnement cloud
Azure Defender pour DNS et Azure Defender pour Resource Manager publiée pour la disponibilité générale
Ces deux plans de protection contre les menaces au niveau cloud natif sont désormais en disponibilité générale.
Ces nouvelles protections améliorent considérablement votre résilience contre les attaques contre les acteurs de menace, et augmentent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Resource Manager : surveille automatiquement toutes les opérations de gestion des ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS : surveille en permanence toutes les requêtes DNS à partir de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Pour simplifier le processus d’activation de ces plans, utilisez les recommandations suivantes :
- Azure Defender pour Resource Manager doit être activé
- Azure Defender pour DNS doit être activé
Note
L’activation de Azure Defender plans entraîne des frais. Découvrez les détails de tarification par région dans la page de tarification de Security Center.
Azure Defender pour les bases de données relationnelles open source publiées pour la disponibilité générale
Azure Security Center étend son offre de protection SQL avec un nouveau bundle pour couvrir vos bases de données relationnelles open source :
- Azure Defender pour les serveurs de base de données Azure SQL - défend vos serveurs SQL natifs Azure
- Azure Defender pour les serveurs SQL sur des machines - étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux
- Azure Defender pour les bases de données relationnelles open source : défend vos bases de données Azure pour MySQL, PostgreSQL et MariaDB sur des serveurs uniques
Azure Defender pour les bases de données relationnelles open source surveille constamment vos serveurs pour détecter les menaces de sécurité et détecte les activités anormales de base de données indiquant les menaces potentielles pour Azure Database pour MySQL, PostgreSQL et MariaDB. Quelques exemples :
- Détection des attaques par force brute - Azure Defender pour les bases de données relationnelles open source fournit des informations détaillées sur les attaques par force brute tentées et réussies. Cela vous permet d’investiguer et de répondre avec une meilleure compréhension de la nature et de l’état de l’attaque sur votre environnement.
- Détection des alertesbehaviorales - Azure Defender pour les bases de données relationnelles open source vous avertit de comportements suspects et inattendus sur vos serveurs, tels que les modifications apportées au modèle d’accès à votre base de données.
- Détection basée sur le renseignement - Azure Defender applique le renseignement sur les menaces de Microsoft et une vaste base de connaissances pour détecter les alertes de menace afin de pouvoir agir contre eux.
En savoir plus dans Introduction pour Azure Defender pour les bases de données relationnelles open source.
Nouvelles alertes pour Azure Defender pour Resource Manager
Pour développer les protections contre les menaces fournies par Azure Defender pour Resource Manager, nous avons ajouté les alertes suivantes :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Permissions accordées pour un rôle RBAC de manière inhabituelle pour votre environnement de Azure (préversion) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender pour Resource Manager détecté une attribution de rôle RBAC inhabituelle par rapport aux autres attributions effectuées par le même assigneur / effectuée pour le même assigneur / dans votre locataire en raison des anomalies suivantes : heure d'affectation, emplacement de l'assigneur, assigneur, méthode d'authentification, entités affectées, logiciel client utilisé, étendue d'affectation. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente d’accorder des autorisations à un autre compte d’utilisateur dont il est propriétaire. | Mouvement latéral, évasion de la défense | Medium |
|
Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégiée dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection. | Mouvement latéral, évasion de la défense | Low |
| opération Azure Resource Manager à partir d’une adresse IP suspecte (préversion) (ARM_OperationFromSuspiciousIP) |
Azure Defender pour Resource Manager détecté une opération à partir d’une adresse IP marquée comme suspecte dans les flux de renseignement sur les menaces. | Execution | Medium |
| opération Azure Resource Manager à partir d’une adresse IP proxy suspecte (préversion) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender pour Resource Manager détecté une opération de gestion des ressources à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Medium |
Pour plus d'informations, consultez les pages suivantes :
- Introduction Azure Defender pour Resource Manager
- Respond à Azure Defender pour les alertes Resource Manager
- List des alertes fournies par Azure Defender pour Resource Manager
Analyse des vulnérabilités CI/CD des images conteneur avec des flux de travail GitHub et des Azure Defender (préversion)
Azure Defender pour les registres de conteneurs fournit désormais l’observabilité des équipes DevSecOps dans GitHub Actions flux de travail.
La nouvelle fonctionnalité d’analyse des vulnérabilités pour les images conteneur, utilisant Trivy, vous permet d’analyser les vulnérabilités courantes dans leurs images conteneur avant d’envoyer des images à des registres de conteneurs.
Les rapports d’analyse de conteneur sont résumés dans Azure Security Center, ce qui permet aux équipes de sécurité de mieux comprendre la source d’images conteneur vulnérables et les flux de travail et les référentiels d’où ils proviennent.
Apprenez-en davantage dans Identifier les images conteneur vulnérables dans vos workflows CI/CD.
Plus de requêtes Resource Graph disponibles pour certaines recommandations
Toutes les recommandations de Security Center ont la possibilité d'afficher les informations sur l'état des ressources affectées à l'aide de Azure Resource Graph à partir de la requête Open. Pour plus d’informations sur cette fonctionnalité puissante, consultez les données de recommandation Review dans Azure Resource Graph Explorer.
Security Center comporte des analyseurs de vulnérabilités intégrés pour analyser vos machines virtuelles, vos serveurs SQL et leurs hôtes ainsi que les registres de conteneurs pour les vulnérabilités de sécurité. Les résultats sont retournés sous forme de recommandations avec toutes les découvertes individuelles pour chaque type de ressource rassemblées dans une vue unique. Les recommandations sont les suivantes :
- Les vulnérabilités dans les images Azure Container Registry doivent être corrigées (alimentées par Qualys)
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
- Les résultats des vulnérabilités des bases de données SQL doivent être résolus
- Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
Avec cette modification, vous pouvez utiliser le bouton Ouvrir la requête pour ouvrir également la requête montrant les résultats de sécurité.
Le bouton Ouvrir la requête offre des options supplémentaires pour d’autres recommandations, le cas échéant.
Découvrez plus d’informations sur les analyseurs de vulnérabilités de Security Center :
- Azure Defender'analyseur de vulnérabilité Qualys intégré pour les machines Azure et hybrides
- Azure Defender scanneur intégré d'évaluation des vulnérabilités pour les serveurs SQL
- Azure Defender scanneur intégré d'évaluation des vulnérabilités pour les registres de conteneurs
Changement de la gravité de la recommandation de classification des données SQL
La gravité de la recommandation Les données sensibles de vos bases de données SQL doivent être classifiées est passée d’élevé à un niveau faible.
Cela fait partie d’une modification en cours de cette recommandation annoncée dans notre prochaine page de modifications.
Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
Azure offre un lancement approuvé pour améliorer la sécurité des machines virtuelles génération 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Pour en savoir plus, consultez Lancement approuvé pour Azure machines virtuelles.
Important
Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
Le lancement fiable est actuellement disponible en préversion publique. La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge.
La recommandation de Security Center, vTPM doit être activée sur les machines virtuelles prises en charge, garantit que vos machines virtuelles Azure utilisent un vTPM. Cette version virtualisée d’un module de plateforme sécurisée matériel permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Lorsque le vTPM est activé, l’extension Attestation d’invité peut valider à distance le démarrage sécurisé. Les recommandations suivantes garantissent le déploiement de cette extension :
- Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge
- L’extension AttestationGuest doit être installée sur des machines virtuelles Windows prises en charge
- l’extension
Guest Attestation doit être installée sur les Windows Virtual Machine Scale Sets - L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge
- l’extension
Guest Attestation doit être installée sur le Virtual Machine Scale Sets
Pour en savoir plus, consultez Lancement approuvé pour Azure machines virtuelles.
Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
Les recommandations suivantes vous permettent de renforcer davantage vos clusters Kubernetes
- Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut : pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount, empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes.
- Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API : pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes API sur des clusters Kubernetes, désactivez le montage automatique des informations d’identification de l’API.
- Les clusters Kubernetes ne doivent pas octroyer de fonctionnalités de sécurité CAPSYSADMIN
Découvrez comment Security Center peut protéger vos environnements conteneurisés dans Sécurité des conteneurs dans Security Center.
Développement de l’API Évaluations avec deux nouveaux champs
Nous avons ajouté les deux champs suivants à l’API REST Évaluations :
- FirstEvaluationDate : heure à laquelle la recommandation a été créée et évaluée pour la première fois. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
- StatusChangeDate : heure à laquelle l’état de la recommandation a changé pour la dernière fois. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
La valeur initiale par défaut de ces champs (pour toutes les recommandations) est 2021-03-14T00:00:00+0000000Z.
Pour accéder à ces informations, vous pouvez utiliser l’une des méthodes indiquées dans le tableau ci-dessous.
| Tool | Details |
|---|---|
| Appel d’API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Exportation continue | Les deux champs dédiés seront disponibles pour les données de l’espace de travail Log Analytics |
| Exportation CSV | Les deux champs sont inclus dans les fichiers CSV. |
Découvrez-en plus sur l’API REST Évaluations.
L’inventaire des ressources obtient un filtre d’environnement cloud
La page d’inventaire des ressources de Security Center propose de nombreux filtres pour affiner rapidement la liste des ressources affichées. Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Un nouveau filtre offre la possibilité d’affiner la liste en fonction des comptes cloud que vous avez connectés à la fonctionnalité multicloud de Security Center.
Découvrez plus d’informations sur les fonctionnalités multiclouds :
Avril 2021
Les mises à jour du mois d’avril incluent :
- Actualisation de la page d’intégrité des ressources (en préversion)
- Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
- Use Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
- Microsoft Defender for Endpoint l’intégration à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop publié pour la disponibilité générale (GA)
- Recommendations pour activer Azure Defender pour DNS et Resource Manager (en préversion)
- Three les normes de conformité réglementaire ajoutées : Azure CIS 1.3.0, CMMC Level 3 et New Zealand ISM Restricted
- Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
- Recommandations CMK déplacées dans le contrôle de sécurité des bonnes pratiques
- Eleven Azure Defender alertes déconseillées
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
- Azure Defender pour SQL sur la vignette de l’ordinateur supprimée du tableau de bord Azure Defender
- 21 recommandations ont été déplacé entre les contrôles de sécurité
Actualisation de la page d’intégrité des ressources (en préversion)
L’intégrité des ressources a été développée, améliorée et perfectionnée pour fournir une vue instantanée de l’état d’intégrité global d’une ressource unique.
Vous pouvez consulter des informations détaillées sur la ressource et toutes les recommandations qui s’y appliquent. En outre, si vous utilisez les plans de protection avancés de Microsoft Defender, vous pouvez également voir des alertes de sécurité exceptionnelles pour cette ressource spécifique.
Pour ouvrir la page d’intégrité des ressources pour une ressource, sélectionnez n’importe quelle ressource dans la page d’inventaire des ressources.
Cette page d’aperçu dans les pages du portail de Security Center affiche les éléments suivants :
- Informations sur les ressources : groupe de ressources et abonnement auquel il est attaché, emplacement géographique, etc.
- fonctionnalité de sécurité Applied : indique si Azure Defender est activé pour la ressource.
- Counts de recommandations et d’alertes en attente : nombre de recommandations de sécurité et d’alertes Azure Defender en attente.
- Recommandations et alertes actionnables : deux onglets listent les recommandations et les alertes qui s’appliquent à la ressource.
Découvrez-en plus dans le Tutoriel : Examiner l’intégrité de vos ressources.
Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
Azure Defender pour les registres de conteneurs comprend un scanneur de vulnérabilité intégré. Cet analyseur analyse immédiatement toute image que vous envoyez à votre registre et toute image extraite au cours des 30 derniers jours.
De nouvelles vulnérabilités sont découvertes tous les jours. Avec cette mise à jour, les images conteneur extraites de vos registres au cours des 30 derniers jours seront réanalysées chaque semaine. Procéder ainsi permet de s’assurer que les vulnérabilités nouvellement découvertes sont identifiées dans vos images.
L’analyse est facturée par image, aucuns frais supplémentaires ne sont donc facturés pour ces analyses.
En savoir plus sur ce scanneur dans Utilisez Azure Defender pour les registres de conteneurs afin d’analyser vos images pour détecter les vulnérabilités.
Utilisez Azure Defender pour Kubernetes pour protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
Azure Defender pour Kubernetes étend ses fonctionnalités de protection contre les menaces pour défendre vos clusters où qu'ils soient déployés. Cela a été activé en intégrant Kubernetes Azure Arc et ses nouvelles fonctionnalités extensions.
Lorsque vous avez activé Azure Arc sur vos clusters Kubernetes non Azure, une nouvelle recommandation de Azure Security Center offre de déployer l'agent Azure Defender sur eux en quelques clics seulement.
Utilisez la recommandation (Azure Arc clusters Kubernetes compatibles avec Azure Defender doit avoir installé l'extension de Azure Defender) et l'extension pour protéger les clusters Kubernetes déployés dans d'autres fournisseurs de cloud, mais pas sur leurs services Kubernetes managés.
Cette intégration entre Azure Security Center, Azure Defender et Kubernetes compatible avec Azure Arc apporte :
- Approvisionnement facile de l’agent Azure Defender pour des clusters Kubernetes sans protection Azure Arc (manuellement et à grande échelle)
- Surveillance de l’agent Azure Defender et de son état d’approvisionnement à partir du portail Azure Arc
- Les recommandations de sécurité de Security Center sont signalées dans la nouvelle page Sécurité du portail Azure Arc
- Les menaces de sécurité identifiées à partir de Azure Defender sont signalées dans la nouvelle page Sécurité du portail Azure Arc
- Les clusters Kubernetes compatibles avec Azure Arc sont intégrés à la plateforme et à l’expérience Azure Security Center
En savoir plus dans Utilisez Azure Defender pour Kubernetes avec vos clusters Kubernetes locaux et multiclouds.
Microsoft Defender for Endpoint intégration avec Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop publié pour la disponibilité générale (GA)
Microsoft Defender for Endpoint est une solution globale de sécurité de point de terminaison fournie par le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l'utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Lorsque vous activez Azure Defender pour les serveurs exécutant Windows Server, une licence pour Defender pour point de terminaison est incluse dans le plan. Si vous avez déjà activé Azure Defender pour les serveurs et que vous avez Windows Server 2019 serveurs dans votre abonnement, ils recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
Le support a été étendu pour inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Note
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez qu'il répond aux conditions préalables décrites dans Enable l'intégration Microsoft Defender for Endpoint.
Recommandations pour activer Azure Defender pour DNS et Resource Manager (en préversion)
Deux nouvelles recommandations ont été ajoutées pour simplifier le processus d’activation de Azure Defender pour Resource Manager et Azure Defender pour DNS :
- Azure Defender pour Resource Manager doit être activé - Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes.
- Azure Defender pour DNS doit être activé - Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS de vos ressources Azure. Azure Defender vous avertit de l’activité suspecte au niveau de la couche DNS.
L’activation de Azure Defender plans entraîne des frais. Découvrez les détails de tarification par région dans la page de tarification de Security Center.
Tip
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. En savoir plus sur la façon de répondre à ces recommandations dans Remediate recommandations dans Azure Security Center.
Trois normes de conformité réglementaire ont été ajoutées : Azure CIS 1.3.0, CMMC Level 3 et New Zealand ISM Restricted
Nous avons ajouté trois normes à utiliser avec Azure Security Center. À l’aide du tableau de bord de conformité réglementaire, vous pouvez désormais suivre votre conformité avec :
Vous pouvez les attribuer à vos abonnements comme décrit dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour en savoir plus :
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
- Tutoriel : Améliorer votre conformité aux normes
- Questions fréquentes (FAQ) - Tableau de bord de conformité réglementaire
Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
Azure'extension configuration Guest Configuration de Security Center pour vous assurer que les paramètres invités de vos machines virtuelles sont renforcés. L'extension n'est pas nécessaire pour les serveurs avec Arc car elle est incluse dans l’Agent de la machine connectée Arc. L'extension nécessite une identité gérée par le système sur la machine.
Nous avons ajouté quatre nouvelles recommandations à Security Center pour tirer le meilleur parti de cette extension.
Deux recommandations vous invitent à installer l'extension et l'identité gérée par le système correspondante :
- L’extension Guest Configuration doit être installée sur vos machines
- L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
Une fois l'extension installée et exécutée, elle commence l'audit de vos machines et vous êtes invité à renforcer les paramètres tels que la configuration du système d'exploitation et les paramètres d'environnement. Ces deux recommandations vous invitent à renforcer vos machines Windows et Linux, comme décrit :
- Microsoft Defender Exploit Guard doit être activé sur vos machines
- L’authentification auprès des machines Linux doit exiger des clés SSH
En savoir plus dans Understand Azure Policy's Guest Configuration.
Les recommandations CMK ont été déplacées dans le contrôle de sécurité des bonnes pratiques
Le programme de sécurité de chaque organisation comprend des exigences en matière de chiffrement de données. Par défaut, Azure données des clients sont chiffrées au repos avec des clés gérées par le service. Toutefois, les clés gérées par le client (CMK) sont généralement nécessaires pour répondre aux normes de conformité réglementaire. Les clés CMK vous permettent de chiffrer vos données avec une clé Azure Key Vault créée et détenue par vous. Ainsi, le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion, vous sont donnés.
les contrôles de sécurité de Azure Security Center sont des groupes logiques de recommandations de sécurité connexes et reflètent vos surfaces d'attaque vulnérables. Chaque contrôle comprend un nombre maximal de points que vous pouvez ajouter à votre degré de sécurisation si vous appliquez toutes les recommandations indiquées dans le contrôle, pour toutes vos ressources. Le contrôle de sécurité Implémenter les bonnes pratiques de sécurité vaut zéro point. Les recommandations de ce contrôle n’ont donc pas d’incidence sur votre degré de sécurisation.
Les recommandations listées ci-dessous sont en cours de déplacement vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité pour mieux refléter leur nature facultative. Ce déplacement garantit que ces recommandations se trouvent dans le contrôle le plus approprié pour atteindre leur objectif.
- Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client (CMK)
- Azure AI services comptes doivent activer le chiffrement des données avec une clé gérée par le client (CMK)
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
11 alertes Azure Defender déconseillées
Les onze alertes Azure Defender répertoriées ci-dessous ont été déconseillées.
Ces deux alertes seront remplacées par de nouvelles alertes offrant une meilleure couverture :
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PRÉVERSION - Détection de l’exécution de la fonction « Get-AzureDomainInfo » du kit de ressources MicroBurst ARM_MicroBurstRunbook PRÉVERSION - Détection de l’exécution de la fonction « Get-AzurePasswords » du kit de ressources MicroBurst Ces neuf alertes concernent un connecteur Microsoft Entra Identity Protection (IPC) qui a déjà été déconseillé :
AlertType AlertDisplayName UnfamiliarLocation Propriétés de connexion inhabituelles AnonymousLogin Adresse IP anonyme InfectedDeviceLogin Adresse IP liée à un programme malveillant ImpossibleTravel Atypical travel MaliciousIP Adresse IP malveillante LeakedCredentials Leaked credentials PasswordSpray Pulvérisation de mot de passe LeakedCredentials Microsoft Entra ID renseignement sur les menaces AADAI IA Microsoft Entra ID Tip
Ces neuf alertes IPC n'ont jamais été des alertes Security Center. Ils font partie du connecteur Microsoft Entra Identity Protection (IPC) qui les envoyait à Security Center. Au cours des deux dernières années, les seuls clients qui ont vu ces alertes sont des organisations qui ont configuré l’exportation (depuis le connecteur vers ASC) en 2019 ou une version antérieure. Microsoft Entra ID IPC a continué de les montrer dans ses propres systèmes d'alertes et ils ont continué d'être disponibles dans Microsoft Sentinel. La seule modification est qu’elles n’apparaissent plus dans Security Center.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
Les deux recommandations suivantes sont désormais déconseillées et les changements peuvent avoir un léger impact sur votre niveau de sécurité :
- Vos machines doivent être redémarrées pour appliquer les mises à jour système
- L’agent de surveillance doit être installé sur vos machines. Cette recommandation concerne uniquement les ordinateurs locaux et une partie de sa logique sera transférée vers une autre recommandation, Log Analytics problèmes d’intégrité de l’agent doivent être résolus sur vos machines
Nous vous recommandons de vérifier vos configurations d’exportation continue et d’automatisation du workflow pour voir si ces recommandations y sont incluses. En outre, tous les tableaux de bord et autres outils de supervision susceptibles de les utiliser doivent être mis à jour en conséquence.
Azure Defender pour SQL sur la vignette de l’ordinateur supprimée du tableau de bord Azure Defender
La zone de couverture du tableau de bord Azure Defender inclut des vignettes pour les plans de Azure Defender pertinents pour votre environnement. En raison d'un problème lié au signalement du nombre de ressources protégées et non protégées, nous avons décidé de supprimer temporairement l'état de couverture des ressources pour Azure Defender pour SQL sur les machines jusqu'à ce que le problème soit résolu.
Recommandations déplacées entre les contrôles de sécurité
Les recommandations suivantes ont été déplacées vers d’autres contrôles de sécurité. Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées, qui reflète les surfaces d’attaque vulnérables. Ce déplacement garantit que toutes ces recommandations sont dans le contrôle le plus approprié pour atteindre son objectif.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
| Recommendation | Modification et impact |
|---|---|
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL L’évaluation des vulnérabilités doit être activée sur vos instances managées SQL Les vulnérabilités de vos bases de données SQL doivent être corrigées Les vulnérabilités sur vos bases de données SQL dans les machines virtuelles doivent être corrigées |
Déplacement de Corriger les vulnérabilités (d’une valeur de 6 points) vers Corriger les configurations de sécurité (d’une valeur de 4 points). Ces recommandations ont un impact réduit sur votre score, en fonction de votre environnement. |
| Plusieurs propriétaires doivent être affectés à votre abonnement Les variables de compte Automation doivent être chiffrées Appareils IoT – Le processus audité a arrêté d’envoyer des événements Appareils IoT – Échec de la validation de la base du système d’exploitation Appareils IoT – Mise à niveau de la suite de chiffrement TLS requise Appareils IoT – Ports ouverts sur l’appareil Appareils IoT – Stratégie de pare-feu permissive trouvée dans l’une des chaînes Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne d’entrée Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne de sortie Les journaux de diagnostic dans IoT Hub doivent être activés Appareils IoT – Agent envoyant des messages sous-exploités Appareils IoT : la stratégie de filtre IP par défaut devrait être refusée Appareils IoT : plage d’adresses IP large pour la règle de filtre IP Appareils IoT : les intervalles et la taille des messages des agents doivent être ajustés Appareils IoT : informations d’identification et d’authentification identiques Appareils IoT : le processus audité a arrêté d’envoyer des événements Appareils IoT : la configuration de ligne de base du système d’exploitation doit être corrigée |
Déplacement vers Implémenter les meilleures pratiques de sécurité. Lorsqu’une recommandation se déplace vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité, ce qui n’est pas du tout judicieux, la recommandation n’affecte plus votre score sécurisé. |
mars 2021
Les mises à jour du mois de mars incluent :
- Pare-feu Azure gestion intégrée à Security Center
- L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
- Azure Monitor Classeurs intégrés à Security Center et trois modèles fournis
- Tableau de bord de conformité régulatoire inclut désormais Azure rapports d’audit (préversion)
- les données Recommendation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
- Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
- Awo recommandations héritées n’écrivent plus de données directement dans Azure journal d’activité
- Améliorations de la page Suggestions
gestion Pare-feu Azure intégrée à Security Center
Lorsque vous ouvrez Azure Security Center, la première page à afficher est la page de vue d’ensemble.
Ce tableau de bord interactif fournit une vue unifiée de la posture de sécurité de vos charges de travail cloud hybrides. En outre, elle affiche des alertes de sécurité, des informations de couverture, etc.
Dans le cadre de l’affichage de votre état de sécurité à partir d’une expérience centrale, nous avons intégré les Azure Firewall Manager dans ce tableau de bord. Vous pouvez maintenant vérifier l’état de couverture du pare-feu sur tous les réseaux et gérer de manière centralisée les stratégies de Pare-feu Azure à partir de Security Center.
En savoir plus sur ce tableau de bord dans la page de présentation de Azure Security Center.
tableau de bord de vue d'ensemble de 
L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
Security Center comprend un analyseur de vulnérabilités intégré pour vous aider à découvrir, suivre et corriger les vulnérabilités potentielles des bases de données. Les résultats de vos analyses d’évaluation fournissent une vue d’ensemble de l’état de sécurité de vos machines SQL ainsi que des détails sur les éventuels problèmes de sécurité découverts.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Pour plus d’informations, consultez Désactiver des découvertes spécifiques.
Azure Monitor classeurs intégrés à Security Center et trois modèles fournis
Dans le cadre de Ignite Spring 2021, nous avons annoncé une expérience intégrée Azure Monitor Workbooks dans Security Center.
Vous pouvez utiliser la nouvelle intégration pour commencer à utiliser les modèles prêtes à l’emploi à partir de la galerie de Security Center. À l’aide de modèles de classeur, vous pouvez accéder à des rapports dynamiques et visuels et créer des rapports visuels pour suivre la posture de sécurité de votre organisation. En outre, vous pouvez créer des classeurs basés sur des données Security Center ou d'autres types de données pris en charge et déployer rapidement des classeurs de communauté à partir de la communauté GitHub security Center.
Trois modèles de rapport sont fournis :
- Évolution du degré de sécurisation : suivez les scores de vos abonnements et les modifications apportées aux recommandations pour vos ressources
- Mises à jour système : afficher les mises à jour système manquantes par ressources, système d’exploitation, gravité, etc.
- Résultats de l’évaluation de la vulnérabilité - Afficher les résultats des analyses des vulnérabilités de vos ressources Azure
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Le tableau de bord de conformité réglementaire inclut désormais Azure rapports d’audit (préversion)
Dans la barre d'outils du tableau de bord de conformité réglementaire, vous pouvez désormais télécharger Azure et Dynamics rapports de certification.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
En savoir plus sur la Gestion des normes dans votre tableau de bord de conformité réglementaire.
Les données de recommandation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
Les pages de détails de recommandation incluent désormais le bouton de barre d’outils « Explorer dans ARG ». Utilisez ce bouton pour ouvrir une requête Azure Resource Graph et explorer, exporter et partager les données de la recommandation.
Azure Resource Graph (ARG) fournit un accès instantané aux informations de ressources dans vos environnements cloud avec des fonctionnalités de filtrage, de regroupement et de tri robustes. Il s'agit d'un moyen rapide et efficace d'interroger des informations sur les abonnements Azure par programmation ou à partir du portail Azure.
En savoir plus sur Azure Resource Graph.
Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Nous fournissons trois Azure Policy stratégies « DeployIfNotExist » qui créent et configurent des procédures d'automatisation de flux de travail afin de pouvoir déployer vos automatisations au sein de votre organisation :
| Goal | Policy | ID de stratégie |
|---|---|---|
| Automatisation du flux de travail pour les alertes de sécurité | Deploy Workflow Automation pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatisation du flux de travail pour les recommandations de sécurité | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automatisation des workflows pour les modifications de conformité réglementaire | Deploy Workflow Automation pour Azure Security Center conformité réglementaire | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Il existe deux mises à jour des fonctionnalités de ces stratégies :
- Quand elles sont affectées, leur activation reste appliquée.
- Vous pouvez maintenant personnaliser ces stratégies et mettre à jour les paramètres, même s’ils ont déjà été déployés. Par exemple, vous pouvez ajouter ou modifier une clé d’évaluation.
Prise en main des modèles d’automatisation workflow.
En savoir plus sur la façon d’Automatiser les réponses aux déclencheurs Security Center.
Deux recommandations héritées n’écrivent plus de données directement dans Azure journal d’activité
Security Center transmet les données pour presque toutes les recommandations de sécurité à Azure Advisor, qui, à son tour, l’écrit dans Azure journal d’activité.
Pour deux recommandations, les données sont écrites simultanément dans Azure journal d’activité. Avec cette modification, Security Center cesse d’écrire des données pour ces recommandations de sécurité héritées directement dans le journal d’activité. Au lieu de cela, nous exportons les données vers Azure Advisor comme nous le faisons pour toutes les autres recommandations.
Les deux recommandations héritées sont les suivantes :
- Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines
- Les vulnérabilités de la configuration de sécurité sur vos machines doivent être corrigées
Si vous accédiez à des informations pour ces deux recommandations dans la catégorie « Recommandation de type TaskDiscovery » du journal d’activité, ces informations ne sont plus disponibles.
Améliorations de la page Suggestions
Nous avons publié une version améliorée de la liste des suggestions pour présenter plus d’informations en un clin d’œil.
Sur cette page, vous verrez désormais :
- Score maximal et score actuel pour chaque contrôle de sécurité.
- Icônes remplaçant des balises telles que Correctif et Aperçu.
- Nouvelle colonne montrant l’initiative de stratégie liée à chaque recommandation : visible lorsque « Grouper par contrôles » est désactivé.
En savoir plus sur les recommandations Security dans Azure Security Center.
Février 2021
Les mises à jour de février sont les suivantes :
- Page Alertes de sécurité nouvelles dans le portail Azure publié pour la disponibilité générale (GA)
- Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
- Microsoft Defender for Endpoint l’intégration à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
- Lien direct vers la stratégie dans la page des détails de la recommandation
- La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
- Améliorations de la page d’inventaire des ressources
Nouvelle page alertes de sécurité dans le portail Azure publiée pour la disponibilité générale
La page des alertes de sécurité de Azure Security Center a été repensée pour fournir :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Button pour créer des exemples d’alertes pour évaluer Azure Defender fonctionnalités et tester vos alertes. configuration (pour l’intégration SIEM, les notifications par e-mail et les automatisations de flux de travail), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender.
- Alignment avec l'expérience d'incident de Azure Sentinel - pour les clients qui utilisent les deux produits, le basculement entre eux est maintenant une expérience plus simple et il est facile d'apprendre l'un des autres.
- Meilleures performances pour les listes d’alertes volumineuses.
- Navigation au clavier via la liste des alertes.
- Alerts de Azure Resource Graph : vous pouvez interroger des alertes dans Azure Resource Graph, l’API kusto-like pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Learn plus sur Azure Resource Graph.
- fonctionnalité d’exemples d’alertes Create : pour créer des exemples d’alertes à partir de la nouvelle expérience d’alertes, consultez Générer des exemples d’alertes Azure Defender.
Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
Nous sommes heureux d’annoncer la disponibilité générale de l’ensemble des recommandations prévues pour la protection des charges de travail Kubernetes.
Afin de garantir la sécurisation par défaut des charges de travail Kubernetes, Security Center a ajouté des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Lorsque Azure Policy pour Kubernetes est installé sur votre cluster Azure Kubernetes Service (AKS), chaque requête adressée au serveur d’API Kubernetes est surveillée par rapport à l’ensemble prédéfini de bonnes pratiques ( affichées sous la forme de 13 recommandations de sécurité) avant d’être conservée sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Note
Lorsque les recommandations étaient en préversion, elles ne portaient pas atteinte à l’intégrité des ressources de cluster AKS, et n’étaient pas incluses dans les calculs de votre niveau de sécurité. Avec cette annonce en disponibilité générale, celles-ci seront incluses dans le calcul du score. Si vous ne les avez pas encore corrigé, cela peut avoir un léger impact sur votre niveau de sécurité. Corrigez-les dans la mesure du possible, comme décrit dans Recommandations en matière de Azure Security Center.
Microsoft Defender for Endpoint intégration à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
Microsoft Defender for Endpoint est une solution globale de sécurité de point de terminaison fournie par le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l'utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Lorsque vous activez Azure Defender pour les serveurs exécutant Windows Server, une licence pour Defender pour point de terminaison est incluse dans le plan. Si vous avez déjà activé Azure Defender pour les serveurs et que vous avez Windows Server 2019 serveurs dans votre abonnement, ils recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
Le support a été étendu pour inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Note
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez qu'il répond aux conditions préalables décrites dans Enable l'intégration Microsoft Defender for Endpoint.
Lien direct vers la stratégie dans la page des détails de la recommandation
Lorsque vous examinez les détails d’une recommandation, il est souvent utile de pouvoir consulter la stratégie sous-jacente. Pour chaque recommandation prise en charge par une stratégie, il existe un nouveau lien dans la page des détails de la recommandation :
Utilisez ce lien pour afficher la définition de stratégie et passer en revue la logique d’évaluation.
La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
La recommandation Les données sensibles de vos bases de données SQL doivent être classifiées n’a plus d’incidence sur votre niveau de sécurité. Le contrôle de sécurité Appliquer la classification des données qui le contient a maintenant une valeur de score sécurisé de 0.
Pour obtenir la liste complète de tous les contrôles de sécurité, ainsi que leurs scores et une liste des recommandations dans chacun d’eux, consultez les contrôles de sécurité et leurs recommandations.
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
Nous avons ajouté un troisième type de données aux options de déclencheur de vos automatisations de workflow : les modifications apportées aux évaluations de conformité réglementaire.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Améliorations de la page d’inventaire des ressources
La page d’inventaire des ressources de Security Center a été améliorée :
Les résumés en haut de la page incluent désormais des abonnements non inscrits, affichant le nombre d’abonnements sans Security Center activé.
Des filtres ont été développés et améliorés pour inclure les éléments suivants :
Nombres : chaque filtre présente le nombre de ressources qui répondent aux critères de chaque catégorie
Contient des filtres d’exemptions (facultatif) - limitez les résultats aux ressources qui ont ou non des exemptions. Ce filtre n’est pas affiché par défaut, mais est accessible à partir du bouton Ajouter un filtre .
En savoir plus sur la façon d’Explorer et gérer vos ressources avec l’inventaire des ressources.
Janvier 2021
Les mises à jour de janvier sont les suivantes :
- Azure Security Benchmark est désormais l’initiative de stratégie par défaut pour Azure Security Center
- L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
- Le degré de sécurisation pour les groupes d’administration est désormais disponible en préversion
- L’API Degré de sécurisation est en disponibilité générale
- protections DNS Dangling ajoutées à Azure Defender pour App Service
- Les connecteurs multiclouds sont en disponibilité générale (GA)
- Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
- Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
- 35 recommandations en préversion ajoutées pour augmenter la couverture du benchmark de sécurité Azure
- Exportation CSV de la liste filtrée de recommandations
- Les ressources « Non applicables » sont désormais signalées comme « Conformes » dans Azure Policy évaluations
- Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Azure Security Benchmark est désormais l’initiative de stratégie par défaut pour Azure Security Center
Azure Benchmark de sécurité est l’ensemble de recommandations Microsoft, Azure propres à la sécurité et à la conformité, basées sur des frameworks de conformité courants. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
Au cours des derniers mois, la liste des recommandations de sécurité intégrée Security Center a été considérablement allongée en vue d’étendre la couverture de ce benchmark.
À partir de cette version, le benchmark est la base des recommandations de Security Center et entièrement intégré en tant qu’initiative de stratégie par défaut.
Tous les services Azure ont une page de base de référence de sécurité dans leur documentation. Ces bases de référence sont basées sur Azure benchmark de sécurité.
Si vous utilisez le tableau de bord de conformité réglementaire de Security Center, vous verrez deux instances du benchmark pendant une période de transition :
Les recommandations existantes ne sont pas affectées, et les modifications sont automatiquement reflétées dans Security Center à mesure que le benchmark se développe.
Pour en savoir plus, consultez les pages suivantes :
- Learn plus sur Azure benchmark de sécurité
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
En octobre, nous avons annoncé une préversion pour l'analyse des serveurs compatibles avec Azure Arc avec Azure Defender pour les serveurs'analyseur intégré d'évaluation des vulnérabilités (optimisé par Qualys).
Celle-ci est maintenant en disponibilité générale.
Lorsque vous avez activé Azure Arc sur vos ordinateurs non Azure, Security Center propose de déployer le scanneur de vulnérabilités intégré sur eux - manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance de Azure Defender pour les serveurs pour consolider votre programme de gestion des vulnérabilités sur toutes vos ressources Azure et non Azure.
Fonctionnalités principales :
- Surveillance de l’état d’approvisionnement du scanneur VA (évaluation des vulnérabilités) sur les machines Azure Arc
- Approvisionnement de l’agent VA intégré sur des machines Windows et Linux Azure Arc non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et les machines Azure Arc
Learn plus sur les serveurs compatibles avec Azure Arc.
Le degré de sécurisation pour les groupes d’administration est maintenant disponible en préversion
La page Degré de sécurisation affiche désormais les degrés de sécurisation agrégés de vos groupes d’administration, en plus du niveau d’abonnement. Vous pouvez maintenant voir la liste des groupes d’administration de votre organisation, ainsi que le degré de sécurisation de chaque groupe d’administration.
En savoir plus sur le score et les contrôles de sécurité sécurisés dans Azure Security Center.
L’API Degré de sécurisation est en disponibilité générale
Vous pouvez désormais accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation. Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple:
- utiliser l’API Scores sécurisés pour obtenir le score d’un abonnement spécifique
- Utiliser l’API Contrôles du niveau de sécurité pour lister les contrôles de sécurité et le niveau actuel de vos abonnements.
Découvrez les outils externes disponibles avec l’API de score sécurisé dans la zone de score de sécurisation de notre communauté GitHub.
En savoir plus sur le score et les contrôles de sécurité sécurisés dans Azure Security Center.
Protections DNS déanglantes ajoutées à Azure Defender pour App Service
La prise de contrôle des sous-domaines constitue une menace grave et courante pour les organisations. Une prise de contrôle de sous-domaine peut se produire quand un enregistrement DNS pointe vers un site web déprovisionné. Ces enregistrements DNS sont également appelés entrées « DNS non résolues ». Les enregistrements CNAME sont particulièrement vulnérables à cette menace.
Les prises de contrôle des sous-domaines permettent aux acteurs de menace de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante.
Azure Defender pour App Service détecte désormais les entrées DNS en cas de désactivation d’un site web App Service. C’est à ce moment-là que l’entrée DNS pointe vers une ressource qui n’existe pas et que votre site web devient vulnérable à la prise de contrôle de sous-domaine. Ces protections sont disponibles, que vos domaines soient gérés avec Azure DNS ou un bureau d’enregistrement de domaines externe et s’appliquent à App Service sur Windows et App Service sur Linux.
Pour en savoir plus:
- Table de référence d’alerteApp Service : inclut deux nouvelles alertes de Azure Defender qui se déclenchent lorsqu’une entrée DNS délimitante est détectée
- Empêcher les entrées DNS non résolues et la prise de contrôle des sous-domaines : découvrez la menace que constitue la prise de sous-domaine et les entrées DNS non résolues
- Introduction à Azure Defender pour App Service
Les connecteurs multiclouds sont en disponibilité générale (GA)
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
La connexion de vos projets AWS ou GCP intègre leurs outils de sécurité natifs comme AWS Security Hub et GCP Security Command Center dans Azure Security Center.
Cette fonctionnalité Security Center fournit une visibilité et une protection pour l’ensemble des environnements cloud principaux. Voici quelques-uns des avantages de cette intégration :
- Approvisionnement automatique d’agents : Security Center utilise Azure Arc pour déployer l’agent Log Analytics sur vos instances AWS
- Gestion des stratégies
- Gestion des vulnérabilités
- Détection de point de terminaison et réponse incorporée (EDR)
- Détection des erreurs de configuration de sécurité
- Vue montrant les recommandations de sécurité de tous les fournisseurs de cloud
- Incorporer toutes vos ressources dans les calculs du degré de sécurisation de Security Center
- Évaluations de conformité réglementaire de vos ressources AWS et GCP
Dans le menu de Defender for Cloud, sélectionnez ConnecteursMulticloud et vous verrez les options de création de nouveaux connecteurs :
Pour en savoir plus :
Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
Nous sommes en train d’étendre la fonctionnalité d’exemption afin de pouvoir y inclure des recommandations entières. Pour cela, nous ajoutons des options permettant d’affiner les recommandations de sécurité que Security Center fournit concernant vos abonnements, vos groupes d’administration ou vos ressources.
Il arrive parfois qu’une ressource soit signalée comme non saine alors que le problème est résolu par un outil tiers, ce que Security Center n’a pas détecté. D’autres fois, il arrive qu’une recommandation s’affiche dans une étendue à laquelle elle n’est pas censée appartenir. La recommandation peut ne pas convenir à un abonnement. Ou encore, il est possible que votre organisation ait décidé d’accepter les risques liés à une ressource ou à une recommandation précise.
Avec cette fonctionnalité en préversion, vous pouvez désormais créer une exemption pour une recommandation dans les buts suivants :
Exempter une ressource pour qu’elle ne soit plus listée parmi les ressources non saines et n’impacte pas votre degré de sécurisation. La ressource sera listée comme non applicable, avec le motif « exemptée » et la justification de votre choix.
Exempter un abonnement ou un groupe d’administration pour que la recommandation n’impacte pas votre degré de sécurisation et ne s’affiche plus pour l’abonnement ou le groupe d’administration. Cela concerne les ressources existantes et futures. La recommandation sera signalée avec la justification que vous avez choisie pour l’étendue sélectionnée.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
Si un utilisateur ne dispose pas des autorisations pour voir les données Security Center, il verra un lien lui permettant de demander des autorisations à l’administrateur général de son organisation. Sa demande doit comprendre le rôle dont il souhaite les autorisations, ainsi que la raison pour laquelle il en a besoin.
Pour plus d’informations, consultez Demander des autorisations à l’échelle du locataire quand les vôtres sont insuffisantes.
35 recommandations en préversion ajoutées pour augmenter la couverture de Azure Benchmark de sécurité
Azure Benchmark de sécurité est l’initiative de stratégie par défaut dans Azure Security Center.
Pour étendre la couverture de ce benchmark, les 35 recommandations suivantes (en préversion) ont été ajoutées à Security Center.
Tip
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. En savoir plus sur la façon de répondre à ces recommandations dans Remediate recommandations dans Azure Security Center.
| Contrôle de sécurité | Nouvelles recommandations |
|---|---|
| Activer le chiffrement des données au repos | - Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client (CMK) - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs MySQL - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs PostgreSQL - Azure AI services comptes doivent activer le chiffrement des données avec une clé gérée par le client (CMK) - Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK) - Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement |
| Implémenter les bonnes pratiques de sécurité | - Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité - Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement - La notification par e-mail pour les alertes à gravité élevée doit être activée - La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée - La protection contre la suppression définitive doit être activée sur les coffres de clés - La suppression réversible doit être activée sur les coffres de clés |
| Gérer l’accès et les autorisations | - Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée |
| Protéger les applications contre les attaques DDoS | - Web Application Firewall (WAF) doit être activé pour Application Gateway - Web Application Firewall (WAF) doit être activé pour Azure Front Door Service service |
| Restreindre l’accès réseau non autorisé | - Le pare-feu doit être activé sur Key Vault - Le point de terminaison privé doit être configuré pour Key Vault - App Configuration doit utiliser une liaison privée - Azure Cache pour Redis doit résider dans un réseau virtuel - les domaines Azure Event Grid doivent utiliser une liaison privée - Azure Event Grid rubriques doivent utiliser une liaison privée - Azure Machine Learning espaces de travail doivent utiliser une liaison privée - Azure SignalR Service devez utiliser une liaison privée - Azure Spring Cloud doit utiliser l’injection de réseau - Les registres de conteneurs ne doivent pas autoriser un accès réseau sans restriction - Les registres de conteneurs doivent utiliser une liaison privée - L’accès au réseau public doit être désactivé pour les serveurs MariaDB - L’accès au réseau public doit être désactivé pour les serveurs MySQL - L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL - Le compte de stockage doit utiliser une connexion de liaison privée - Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau - Les modèles VM Image Builder doivent utiliser une liaison privée |
Liens connexes :
- Learn plus sur Azure benchmark de sécurité
- Learn plus sur Azure Database for MariaDB
- Learn plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Exportation CSV de la liste filtrée de recommandations
En novembre 2020, nous avons ajouté des filtres à la page recommandations.
Avec cette annonce, nous changeons le comportement du bouton Télécharger au format CSV afin que l’exportation CSV inclue uniquement les recommandations actuellement affichées dans la liste filtrée.
Par exemple, dans l’image ci-dessous vous pouvez constater que la liste est filtrée sur deux recommandations. Le fichier CSV généré comprend les détails de l’état de chaque ressource affectée par ces deux recommandations.
En savoir plus sur les recommandations Security dans Azure Security Center.
Les ressources « Non applicables » sont désormais signalées comme « Conformes » dans les évaluations Azure Policy
Auparavant, les ressources évaluées pour une recommandation et considérées comme étant non applicables apparaissent dans Azure Policy comme étant « non conformes ». Aucune action de l’utilisateur ne pouvait les faire passer à l’état « Conforme ». Depuis ce changement, ces ressources s’affichent comme étant « Conformes » par souci de clarté.
Le seul impact sera observé dans Azure Policy où le nombre de ressources conformes augmentera. Il n’y aura aucun impact sur votre score de sécurisation dans Azure Security Center.
Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Nous avons ajouté une nouvelle fonctionnalité de préversion aux outils d’exportation continue pour exporter des instantanés hebdomadaires de données de niveau de sécurité et de conformité réglementaire.
Quand vous définissez une exportation continue, définissez la fréquence d’exportation :
- Streaming : les évaluations sont envoyées lorsque l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour ne se produit, aucune donnée n’est envoyée).
- Captures instantanées : un instantané de l’état actuel de toutes les évaluations de conformité réglementaire sera envoyé chaque semaine (il s’agit d’une fonctionnalité en préversion pour les instantanés hebdomadaires des scores sécurisés et des données de conformité réglementaire).
Pour plus d’informations sur toutes les possibilités de cette fonctionnalité, consultez Exporter en continu des données Security Center.
Décembre 2020
Les mises à jour en décembre sont les suivantes :
- Azure Defender pour les serveurs SQL sur les machines est généralement disponible
- Azure Defender pour la prise en charge de SQL pour Azure Synapse Analytics pool SQL dédié est généralement disponible
- Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
- Azure Defender nouveaux plans de Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
- Page Alertes de sécuriténew dans le portail Azure (préversion)
- expérience security Center
Revitalized dans Azure SQL Database & SQL Managed Instance - Outils et filtres d’inventaire des ressources mis à jour
- Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
- La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
- L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
Azure Defender pour les serveurs SQL sur les machines est généralement disponible
Azure Security Center offre deux plans de Azure Defender pour SQL Server :
- Azure Defender pour les serveurs de base de données Azure SQL - défend vos serveurs SQL natifs Azure
- Azure Defender pour les serveurs SQL sur des machines - étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux
Avec cette annonce, Azure Defender pour SQL protège désormais vos bases de données et leurs données où qu'elles se trouvent.
Azure Defender pour SQL inclut des fonctionnalités d’évaluation des vulnérabilités. L’outil d’évaluation des vulnérabilités comprend les fonctionnalités avancées suivantes :
- Configuration de la base de référence (Nouveau !) pour affiner intelligemment les résultats des analyses de vulnérabilité à ceux qui peuvent représenter des problèmes de sécurité réels. Une fois que vous avez établi votre état de sécurité de base de référence, l’outil d’évaluation des vulnérabilités signale uniquement les écarts par rapport à cet état de base de référence. Les résultats correspondant à la base de référence sont considérés comme corrects lors des analyses ultérieures. Cela vous permet, à vous et à vos analystes, de concentrer votre attention sur ce qui est le plus important.
- Informations de référence détaillées pour vous aider à comprendre les résultats découverts et en quoi ils concernent vos ressources.
- Scripts de correction pour vous aider à atténuer les risques identifiés.
En savoir plus sur Azure Defender pour SQL.
Azure Defender pour la prise en charge de SQL pour Azure Synapse Analytics pool SQL dédié est généralement disponible
Azure Synapse Analytics (anciennement SQL DW) est un service d’analytique qui combine l’entreposage de données d’entreprise et l’analytique big data. Les pools SQL dédiés sont les fonctionnalités d’entreposage de données d’entreprise de Azure Synapse. En savoir plus dans Qu’est-ce que Azure Synapse Analytics (anciennement SQL DW) ?.
Azure Defender pour SQL protège vos pools SQL dédiés avec :
- Protection avancée contre les menaces pour détecter les menaces et les attaques
- Fonctionnalités d’évaluation des vulnérabilités pour identifier et corriger les problèmes de configuration de la sécurité
Azure Defender pour la prise en charge de SQL pour Azure Synapse Analytics pools SQL est automatiquement ajouté à Azure SQL bundle de bases de données dans Azure Security Center. Il existe un nouvel onglet Azure Defender pour SQL dans votre page d'espace de travail Synapse dans le portail Azure.
En savoir plus sur Azure Defender pour SQL.
Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
Un utilisateur disposant du rôle Microsoft Entra ID d’administrateur Global Administrator peut avoir des responsabilités à l’échelle du locataire, mais il n’a pas les autorisations de Azure pour afficher ces informations à l’échelle de l’organisation dans Azure Security Center.
Pour vous attribuer des autorisations de niveau locataire, suivez les instructions fournies dans S’accorder des autorisations à l’échelle du locataire.
Deux nouveaux plans de Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
Nous avons ajouté deux nouvelles fonctionnalités de protection contre les menaces natives cloud pour votre environnement Azure.
Ces nouvelles protections améliorent considérablement votre résilience contre les attaques contre les acteurs de menace, et augmentent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Resource Manager : surveille automatiquement toutes les opérations de gestion des ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS : surveille en permanence toutes les requêtes DNS à partir de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Page Nouvelles alertes de sécurité dans le portail Azure (préversion)
La page des alertes de sécurité de Azure Security Center a été repensée pour fournir :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Button pour créer des exemples d’alertes pour évaluer Azure Defender fonctionnalités et tester votre configuration des alertes (pour l’intégration SIEM, les notifications par e-mail et les automatisations de flux de travail), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender
- Alignment avec l'expérience d'incident de Azure Sentinel - pour les clients qui utilisent les deux produits, le basculement entre eux est maintenant une expérience plus simple et il est facile d'en apprendre un à partir de l'autre
- Meilleures performances pour les listes d’alertes volumineuses
- Navigation au clavier via la liste des alertes
- Alerts de Azure Resource Graph : vous pouvez interroger des alertes dans Azure Resource Graph, l’API kusto-like pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Learn plus sur Azure Resource Graph.
Pour accéder à la nouvelle expérience, utilisez le lien « Essayer maintenant » dans la bannière en haut de la page des alertes de sécurité.
Pour créer des exemples d’alertes à partir de la nouvelle expérience d’alertes, consultez Générer des exemples d’alertes Azure Defender.
Expérience de Security Center redynamisée dans Azure SQL Database & SQL Managed Instance
L’expérience Security Center au sein de SQL fournit l’accès au Centre de sécurité et aux Azure Defender suivants pour les fonctionnalités SQL :
- recommandations Security – Security Center analyse régulièrement l’état de sécurité de toutes les ressources de Azure connectées pour identifier les configurations incorrectes de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités et d’améliorer la posture de sécurité des organisations.
- alertes Security : service de détection qui surveille en permanence les activités de Azure SQL des menaces telles que l’injection SQL, les attaques par force brute et les abus de privilèges. Ce service déclenche des alertes de sécurité détaillées et orientées action dans Security Center et fournit des options pour poursuivre les enquêtes avec Microsoft Sentinel, la solution SIEM Azure native de Microsoft Microsoft.
- Findings : un service d’évaluation des vulnérabilités qui surveille en permanence les configurations de Azure SQL et aide à corriger les vulnérabilités. Les analyses d’évaluation fournissent une vue d’ensemble des états de sécurité Azure SQL ainsi que des résultats de sécurité détaillés.
Outils et filtres d’inventaire des ressources mis à jour
La page d’inventaire de Azure Security Center a été actualisée avec les modifications suivantes :
Guides et commentaires ajoutés à la barre d’outils. Un volet contenant des liens vers des informations et des outils connexes s’ouvre.
Filtre d’abonnements ajouté aux filtres par défaut disponibles pour vos ressources.
_requêteOpen lien permettant d’ouvrir les options de filtre actuelles en tant que requête Azure Resource Graph (anciennement appelée « Affichage dans l’Explorateur de graphiques de ressources »).
Options d’opérateur pour chaque filtre. Vous pouvez désormais choisir un autre opérateur logique que « = ». Par exemple, vous souhaiterez peut-être rechercher toutes les ressources avec des recommandations actives dont les titres incluent la chaîne « chiffrer ».
Apprenez-en davantage sur l’inventaire dans Explorer et gérer vos ressources avec l’inventaire des ressources.
Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
La recommandation « Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes » a été déplacée du contrôle de sécurité Gérer l’accès et les autorisations (valeur de 4 points au maximum) dans Implémenter les bonnes pratiques de sécurité (qui ne vaut aucun point).
La garantie qu’une application web demande un certificat renforce certainement sa sécurité. Toutefois, ce n’est pas pertinent pour les applications web publiques. si vous accédez à votre site sur HTTP et non HTTPS, vous ne recevez pas de certificat client. Ainsi, si votre application nécessite des certificats clients, vous ne devez pas autoriser les requêtes adressées à votre application via HTTP. En savoir plus dans Configure de l’authentification mutuelle TLS pour Azure App Service.
Avec ce changement, la recommandation est désormais une bonne pratique qui n’impacte pas votre degré de sécurisation.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
Azure Security Center surveille toutes les ressources connectées et génère des recommandations de sécurité. Utilisez ces recommandations pour renforcer l’état de votre cloud hybride et effectuer le suivi de la conformité aux stratégies et normes pertinentes pour vos organisation, secteur d’activité et pays/région.
Comme Security Center continue d’étendre sa couverture et de développer ses fonctionnalités, la liste des recommandations de sécurité augmente chaque mois. Par exemple, consultez Twenty neuf recommandations en préversion ajoutées pour augmenter la couverture du benchmark de sécurité Azure.
Avec cette liste qui ne cesse de s’allonger, un filtrage des recommandations est nécessaire pour trouver celles qui présentent le plus grand intérêt. En novembre, nous avons ajouté des filtres à la page Recommandations (consultez La liste des recommandations comprend désormais des filtres).
Les filtres ajoutés ce mois-ci fournissent des options pour affiner la liste des recommandations en fonction des éléments suivants :
Environment - Afficher des recommandations pour vos ressources AWS, GCP ou Azure (ou toute combinaison)
Gravité : afficher les recommandations en fonction de la classification de gravité définie par Security Center
Actions de réponse - Afficher les recommandations en fonction de la disponibilité des options de réponse security Center : Corriger, Refuser et Appliquer
Tip
Le filtre d’actions de réponse remplace le filtre Correctif rapide disponible (Oui/Non) .
Apprenez-en davantage sur chacune de ces options de réponse :
L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
les outils d'exportation continue de Azure Security Center vous permettent d'exporter les recommandations et les alertes de Security Center à utiliser avec d'autres outils de surveillance dans votre environnement.
L’exportation continue vous permet de personnaliser entièrement ce qui sera exporté et où cela sera exporté. Pour plus d’informations, consultez Exporter en continu des données Security Center.
Ces outils ont été améliorés et développés de différentes manières :
Amélioration des stratégies deployifnotexist de l’exportation continue. À présent, les stratégies :
Vérifient si la configuration est activée. Si ce n’est pas le cas, la stratégie s’affiche comme non conforme et crée une ressource conforme. En savoir plus sur les modèles de Azure Policy fournis dans l’onglet « Déployer à l’échelle avec Azure Policy » dans Configurer une exportation continue.
Prennent en charge l’exportation des résultats de sécurité. Lorsque vous utilisez les modèles Azure Policy, vous pouvez configurer votre exportation continue pour inclure les résultats. Cela s’applique lorsque vous exportez des recommandations avec des « sous-recommandations », telles que les résultats des analyseurs d’évaluation des vulnérabilités ou des mises à jour système spécifiques pour la recommandation « parent », « Des mises à jour système doivent être installées sur vos machines ».
Prennent en charge l’exportation des données du degré de sécurisation.
Ajout de données d’évaluation de conformité réglementaire (en préversion). Vous pouvez désormais exporter en continu des mises à jour vers des évaluations de conformité réglementaire, notamment pour toutes les initiatives personnalisées, vers un espace de travail Log Analytics ou Event Hubs. Cette fonctionnalité n’est pas disponible sur les clouds nationaux.
Novembre 2020
Les mises à jour en novembre sont les suivantes :
- 29 recommandations en préversion ajoutées pour augmenter la couverture du benchmark de sécurité Azure
- Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
- La liste des recommandations comprend désormais des filtres
- Amélioration et développement de l’expérience de provisionnement automatique
- Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
- La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
- Page de gestionPolicy dans le portail Azure affiche désormais l’état des attributions de stratégie par défaut
29 recommandations en préversion ajoutées pour augmenter la couverture de Azure benchmark de sécurité
Azure Benchmark de sécurité est le Microsoft-créé, spécifique à Azure, ensemble de directives pour les bonnes pratiques de sécurité et de conformité basées sur des frameworks de conformité courants. Learn plus sur Azure benchmark de sécurité.
Les 29 recommandations suivantes (préversion) ont été ajoutées à Security Center pour mieux détailler ce benchmark.
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. En savoir plus sur la façon de répondre à ces recommandations dans Remediate recommandations dans Azure Security Center.
| Contrôle de sécurité | Nouvelles recommandations |
|---|---|
| Chiffrer les données en transit | - L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL - L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL - TLS doit être mis à jour vers la dernière version pour votre application API - TLS doit être mis à jour vers la dernière version pour votre application de fonction - TLS doit être mis à jour vers la dernière version pour votre application web - FTPS doit être exigé dans votre application API - FTPS doit être exigé dans votre application de fonction - FTPS doit être exigé dans votre application web |
| Gérer l’accès et les autorisations | - Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes - Une identité managée doit être utilisée dans votre application API - Une identité managée doit être utilisée dans votre application de fonction - Une identité managée doit être utilisée dans votre application web |
| Restreindre l’accès réseau non autorisé | - Le point de terminaison privé doit être activé pour les serveurs PostgreSQL - Le point de terminaison privé doit être activé pour les serveurs MariaDB - Le point de terminaison privé doit être activé pour les serveurs MySQL |
| Activer l’audit et la journalisation | - Les journaux de diagnostic d’App Services doivent être activés |
| Implémenter les bonnes pratiques de sécurité | - Sauvegarde Azure doit être activé pour les machines virtuelles - La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB - La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL - La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL - PHP doit être mis à jour vers la dernière version pour votre application API - PHP doit être mis à jour vers la dernière version pour votre application web - Java devez être mis à jour vers la dernière version de votre application API - Java devez être mis à jour vers la dernière version de votre application de fonction - Java devez être mis à jour vers la dernière version de votre application web - Python devez être mis à jour vers la dernière version de votre application API - Python devez être mis à jour vers la dernière version de votre application de fonction - Python devez être mis à jour vers la dernière version de votre application web - La conservation des audits pour les serveurs SQL Server doit être définie sur au moins 90 jours |
Liens connexes :
- Learn plus sur Azure benchmark de sécurité
- Learn plus sur les applications API Azure
- En savoir plus sur les applications de fonction Azure
- Learn plus sur les applications web Azure
- Learn plus sur Azure Database for MariaDB
- Learn plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
La norme NIST SP 800-171 R2 est désormais disponible en tant qu'initiative intégrée à utiliser avec le tableau de bord de conformité réglementaire de Azure Security Center. Les mappages des contrôles sont décrits dans Détails de l’initiative intégrée de conformité réglementaire NIST SP 800-171 R2.
Pour appliquer le standard à vos abonnements et superviser votre état de conformité en permanence, suivez les instructions fournies dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
La liste des recommandations comprend désormais des filtres
Vous pouvez maintenant filtrer la liste des recommandations de sécurité en fonction d’une plage de critères. Dans l’exemple suivant, la liste des recommandations est filtrée pour afficher celles qui :
- sont généralement disponibles (c’est-à-dire, pas en préversion)
- sont pour les comptes de stockage
- Prise en charge de la correction rapide des correctifs
Amélioration et développement de l’expérience de provisionnement automatique
La fonctionnalité de provisionnement automatique permet de réduire la surcharge de gestion en installant les extensions requises sur les machines virtuelles nouvelles et existantes Azure afin qu'elles puissent bénéficier des protections de Security Center.
À mesure que Azure Security Center augmente, d’autres extensions ont été développées et Security Center peut surveiller une plus grande liste de types de ressources. Les outils de provisionnement automatique ont maintenant été développés pour prendre en charge d’autres extensions et types de ressources en tirant parti des fonctionnalités de Azure Policy.
Vous pouvez maintenant configurer le provisionnement automatique des éléments suivants :
- agent Log Analytics
- (Nouveau) Azure Policy pour Kubernetes
- (Nouveau) Microsoft Dependency Agent
Pour plus d’informations, consultez Autoprovisioning agents et extensions à partir de Azure Security Center.
Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
Avec l’exportation continue du score sécurisé, vous pouvez diffuser en continu des modifications vers votre score en temps réel pour Azure Event Hubs ou un espace de travail Log Analytics. Utilisez cette fonctionnalité pour :
- effectuer le suivi de votre score sécurisé au fur et à mesure avec des rapports dynamiques
- exporter des données de score sécurisé vers Microsoft Sentinel (ou tout autre SIEM)
- intégrer ces données à tous les processus que vous utilisez peut-être déjà pour surveiller le score sécurisé dans votre organisation
Apprenez-en plus sur la façon d’exporter en continu des données Security Center.
La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
La recommandation Les mises à jour système doivent être installées sur vos machines a été améliorée. La nouvelle version inclut des sous-recommandations pour chaque mise à jour manquante et apporte les améliorations suivantes :
Expérience repensée dans les pages Azure Security Center du portail Azure. La page Détails de la recommandation pour Les mises à jour système doivent être installées sur vos machines comprend la liste des résultats, comme illustré ci-dessous. Lorsque vous sélectionnez une recherche unique, le volet d’informations s’ouvre avec un lien vers des informations de correction et une liste de ressources affectées.
Données enrichies pour la recommandation de Azure Resource Graph (ARG). ARG est un service Azure conçu pour fournir une exploration efficace des ressources. Vous pouvez utiliser ARG pour effectuer une requête à grande échelle sur un ensemble d’abonnements donné, et ainsi gérer de façon optimale votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le Kusto Query Language (KQL) pour interroger un large éventail de données de posture de sécurité.
Avant, si vous interrogiez cette recommandation dans ARG, les seules informations disponibles étaient que la recommandation devait être corrigée sur une machine. La requête suivante de la version améliorée retournera toutes les mises à jour système manquantes, regroupées par machine.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
La page de gestion des stratégies dans le portail Azure affiche désormais l’état des attributions de stratégie par défaut
Vous pouvez maintenant voir si vos abonnements disposent de la stratégie Security Center par défaut affectée, dans la page écurisation de Security Center du portail Azure.
Octobre 2020
Les mises à jour d’octobre sont les suivantes :
- Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
- Pare-feu Azure recommandation ajoutée (préversion)
- Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
- Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
- Microsoft. Table Security/securityStatuses supprimée de Azure Resource Graph
Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
Azure Defender pour les serveurs'analyseur intégré d'évaluation des vulnérabilités (alimenté par Qualys) analyse désormais les serveurs compatibles avec Azure Arc.
Lorsque vous avez activé Azure Arc sur vos ordinateurs non Azure, Security Center propose de déployer le scanneur de vulnérabilités intégré sur eux - manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance de Azure Defender pour les serveurs pour consolider votre programme de gestion des vulnérabilités sur toutes vos ressources Azure et non Azure.
Fonctionnalités principales :
- Surveillance de l’état d’approvisionnement du scanneur VA (évaluation des vulnérabilités) sur les machines Azure Arc
- Approvisionnement de l’agent VA intégré sur des machines Windows et Linux Azure Arc non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et les machines Azure Arc
Learn plus sur les serveurs compatibles avec Azure Arc.
Pare-feu Azure recommandation ajoutée (préversion)
Une nouvelle recommandation a été ajoutée pour protéger tous vos réseaux virtuels avec Pare-feu Azure.
La recommandation, Les réseaux virtuels doivent être protégés par Pare-feu Azure vous conseille de restreindre l’accès à vos réseaux virtuels et d’empêcher les menaces potentielles à l’aide de Pare-feu Azure.
En savoir plus sur Pare-feu Azure.
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
La recommandation Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes a maintenant une option de correctif rapide.
Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
Le tableau de bord de conformité réglementaire fournit des insights sur votre posture de conformité d’après la façon dont vous répondez à des exigences et contrôles de conformité spécifiques.
Le tableau de bord comprend un ensemble de normes réglementaires par défaut. Si certaines des normes fournies ne sont pas pertinentes pour votre organisation, il est désormais facile de les supprimer de l’interface utilisateur d’un abonnement. Les normes ne peuvent être supprimées qu’au niveau de l’abonnement ; pas l’étendue du groupe d’administration.
Pour plus d’informations, consultez Supprimer une norme de votre tableau de bord.
Microsoft. Table Security/securityStatuses supprimée de Azure Resource Graph (ARG)
Azure Resource Graph est un service dans Azure conçu pour fournir une exploration efficace des ressources avec la possibilité d’interroger à grande échelle sur un ensemble donné d’abonnements afin de pouvoir régir efficacement votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le Kusto Query Language (KQL) pour interroger un large éventail de données de posture de sécurité. Par exemple:
- L’inventaire des ressources utilise ARG
- Nous avons documenté un exemple de requête ARG pour savoir comment identifier les comptes sans authentification multifacteur (MFA) activée
Dans ARG, il existe des tables de données que vous pouvez utiliser dans vos requêtes.
Tip
La documentation ARG répertorie toutes les tables disponibles dans Azure Resource Graph référence de type de table et de ressource.
À partir de cette mise à jour, le Microsoft. La table Security/securityStatuses a été supprimée. L’API securityStatuses est toujours disponible.
Le remplacement des données peut être utilisé par Microsoft. Table Sécurité/Évaluations.
La principale différence entre Microsoft. Security/securityStatuses et Microsoft. La sécurité/évaluations est que, tandis que la première affiche l’agrégation des évaluations, les secondes contiennent un enregistrement unique pour chacun d’eux.
Par exemple, Microsoft. Security/securityStatuses retourne un résultat avec un tableau de deux policyAssessments :
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Alors que Microsoft. La sécurité/évaluations conserve un enregistrement pour chaque évaluation de stratégie comme suit :
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemple de conversion d’une requête ARG existante à l’aide de securityStatuses pour utiliser à présent la table des évaluations (Assessments) :
Requête qui référence securityStatuses :
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Requête de remplacement pour la table Assessments :
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Pour en savoir plus, consultez les liens suivants :
Septembre 2020
Les mises à jour en septembre sont les suivantes :
- Security Center fait peau neuve !
- Azure Defender publié
- Azure Defender pour Key Vault est généralement disponible
- Azure Defender pour la protection du stockage pour les fichiers et ADLS Gen2 est généralement disponible
- Les outils d’inventaire des ressources sont désormais mis à la disposition générale
- Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
- Exempter une ressource d’une recommandation
- Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
- Bundle Kubernetes de recommandations sur la protection des charges de travail
- Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
- Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
- Recommandations de groupe de sécurité réseau améliorées
- Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
- notifications Email de Azure Security Center améliorée
- Le degré de sécurisation n’inclut pas de recommandations sur la préversion
- Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
Security Center fait peau neuve
Nous avons publié une interface utilisateur actualisée pour les pages du portail de Security Center. Les nouvelles pages incluent une nouvelle page de vue d’ensemble et des tableaux de bord pour le score sécurisé, l’inventaire des ressources et les Azure Defender.
La page vue d’ensemble repensée dispose désormais d’une vignette permettant d’accéder au score sécurisé, à l’inventaire des ressources et aux tableaux de bord Azure Defender. Elle comporte également une vignette qui renvoie au tableau de bord de conformité réglementaire.
En savoir plus sur la page vue d’ensemble.
Azure Defender publiée
Azure Defender est la plateforme de protection des charges de travail cloud (CWPP) intégrée à Security Center pour une protection avancée, intelligente et intelligente de vos charges de travail Azure et hybrides. Elle remplace l’option de niveau tarifaire standard de Security Center.
Lorsque vous activez Azure Defender à partir de la zone Pricisation et paramètres de Azure Security Center, les plans de Defender suivants sont tous activés simultanément et fournissent des défenses complètes pour les couches de calcul, de données et de service de votre environnement :
- Azure Defender pour les serveurs
- Azure Defender pour App Service
- Azure Defender pour le stockage
- Azure Defender pour SQL
- Azure Defender pour Key Vault
- Azure Defender pour Kubernetes
- Azure Defender pour les registres de conteneurs
Chacun de ces plans est expliqué séparément dans la documentation relative à Security Center.
Avec son tableau de bord dédié, Azure Defender fournit des alertes de sécurité et une protection avancée contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, votre réseau, etc.
Azure Defender pour Key Vault est généralement disponible
Azure Key Vault est un service cloud qui protège les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe.
Azure Defender pour Key Vault fournit une protection contre les menaces Azure native et avancée pour Azure Key Vault, fournissant une couche supplémentaire de renseignement sur la sécurité. Par extension, Azure Defender pour Key Vault protège par conséquent de nombreuses ressources dépendantes de vos comptes Key Vault.
Le plan facultatif est désormais en disponibilité générale. Cette fonctionnalité était en préversion en tant que « protection avancée contre les menaces pour Azure Key Vault ».
En outre, les pages Key Vault du portail Azure incluent désormais une page dédiée Security pour Security Center recommandations et alertes.
En savoir plus dans Azure Defender pour Key Vault.
Azure Defender pour la protection du stockage pour les fichiers et ADLS Gen2 est généralement disponible
Azure Defender pour le stockage détecte les activités potentiellement dangereuses sur vos comptes stockage Azure. Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
La prise en charge de Azure Files et Azure Data Lake Storage Gen2 est désormais en disponibilité générale.
À partir du 1er octobre 2020, nous commencerons à facturer la protection des ressources présentes dans ces services.
En savoir plus dans Azure Defender pour le stockage.
Les outils d’inventaire des ressources sont désormais mis à la disposition générale
La page d'inventaire des ressources de Azure Security Center fournit une page unique pour afficher la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse régulièrement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités.
Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
Azure Defender inclut des scanneurs de vulnérabilité pour analyser des images dans vos Azure Container Registry et vos machines virtuelles.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Lorsqu’un résultat correspondra aux critères que vous avez définis dans vos règles de désactivation, il n’apparaîtra plus dans la liste des résultats.
Cette option est disponible dans les pages « Détails des recommandations » pour :
- Vulnerabilities dans Azure Container Registry images doivent être corrigées
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
Exempter une ressource d’une recommandation
Il peut arriver qu’une ressource soit signalée comme non saine en ce qui concerne une recommandation spécifique (faisant baisser par conséquent le degré de sécurisation), même si vous estimez qu’elle ne devrait pas l’être. Elle a peut-être été corrigée par un processus non suivi par Security Center. Ou bien votre organisation a décidé d’accepter le risque pour cette ressource spécifique.
Dans ce cas, vous pouvez créer une règle d’exemption et veiller à ce que la ressource ne figure plus parmi les ressources non saines à l’avenir. Ces règles peuvent contenir des justifications documentées comme décrit ci-dessous.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège désormais les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Lorsque vous intégrez des projets AWS et GCP à Security Center, il intègre AWS Security Hub, GCP Security Command et Azure Security Center.
En savoir plus dans Connectez vos comptes AWS à Azure Security Center et Connectez vos projets GCP à Azure Security Center.
Bundle Kubernetes de recommandations sur la protection des charges de travail
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Une fois que vous avez installé Azure Policy pour Kubernetes sur votre cluster AKS, chaque requête adressée au serveur d'API Kubernetes sera surveillée par rapport à l'ensemble prédéfini de bonnes pratiques avant d'être conservée sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
Utilisez l’exportation continue pour diffuser en continu vos alertes et recommandations pour Azure Event Hubs, Log Analytics espaces de travail ou Azure Monitor. À partir de là, vous pouvez intégrer ces données à des SIEMs, telles que Microsoft Sentinel, Power BI, Azure Data Explorer, etc.
Les outils d’évaluation des vulnérabilités intégrés à Security Center renvoient des résultats sur vos ressources comme recommandations exploitables dans le cadre d’une recommandation « parent », telle que « les vulnérabilités de vos machines virtuelles doivent être corrigées ».
Les résultats de sécurité sont désormais disponibles pour l’exportation via l’exportation continue lorsque vous sélectionnez recommandations et activez l’option Inclure les résultats de sécurité.
Pages connexes :
- solution d'évaluation des vulnérabilités qualys intégrée de Security Center pour les machines virtuelles Azure
- solution d'évaluation des vulnérabilités intégrée de Security Center pour les images Azure Container Registry
- Exportation continue
Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
Les erreurs de configuration de la sécurité sont à l’origine de la plupart des incidents. Security Center a désormais la possibilité d’empêcher les configurations incorrectes des nouvelles ressources en ce qui concerne des recommandations spécifiques.
Cette fonctionnalité peut vous aider à sécuriser vos charges de travail et à stabiliser votre degré de sécurisation.
Vous pouvez appliquer une configuration sécurisée, basée sur une recommandation spécifique, est proposée en deux modes :
À l’aide du mode refusé de Azure Policy, vous pouvez empêcher la création de ressources non saines
À l'aide de l'option appliquée, vous pouvez tirer parti de l'effet Azure Policy'DeployIfNotExist et corriger automatiquement les ressources non conformes lors de la création
Cette option est disponible pour les recommandations de sécurité sélectionnées et se trouve en haut de la page Détails de la ressource.
Pour plus d’informations, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Recommandations de groupe de sécurité réseau améliorées
Les recommandations de sécurité suivantes relatives aux groupes de sécurité réseau ont été améliorées pour réduire certaines instances de faux positifs.
- Tous les ports réseau doivent être limités sur le groupe de sécurité réseau associé à votre machine virtuelle
- Les ports de gestion doivent être fermés sur vos machines virtuelles
- Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau
- Les sous-réseaux doivent être associés à un groupe de sécurité réseau
Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
La recommandation en préversion « Les stratégies de sécurité des pods doivent être définies sur Kubernetes Services » est déconseillée comme décrit dans la documentation Azure Kubernetes Service.
La fonctionnalité de stratégie de sécurité de pod (préversion) est définie pour la dépréciation et ne sera plus disponible après le 15 octobre 2020 en faveur de Azure Policy pour AKS.
Une fois que la stratégie de sécurité des pods (préversion) est déconseillée, vous devez désactiver la fonctionnalité sur tous les clusters existants à l’aide de la fonctionnalité déconseillée pour effectuer les futures mises à niveau de cluster et rester dans support Azure.
Amélioration des notifications par e-mail de Azure Security Center
Les zones suivantes des e-mails concernant les alertes de sécurité ont été améliorées :
- ajout de la possibilité d’envoyer des notifications par e-mail concernant les alertes pour tous les niveaux de gravité
- Ajout de la possibilité d’informer les utilisateurs avec différents rôles Azure sur l’abonnement
- Nous avertissons de manière proactive les propriétaires d’abonnements par défaut sur les alertes de gravité élevée (qui ont une probabilité élevée d’être des violations authentiques)
- Nous avons supprimé le champ du numéro de téléphone de la page de configuration des notifications par e-mail
Consultez Configurer les notifications par e-mail pour les alertes de sécurité pour en savoir plus.
Le degré de sécurisation n’inclut pas de recommandations sur la préversion
Security Center évalue continuellement vos ressources, vos abonnements et votre organisation en recherchant d’éventuels problèmes de sécurité. Il agrège ensuite toutes ses découvertes sous la forme d’un score qui vous permet de déterminer d’un coup d’œil votre niveau de sécurité actuel : plus le score est élevé, plus le niveau de risque identifié est faible.
À mesure que de nouvelles menaces sont découvertes, de nouveaux conseils en matière de sécurité sont mis à disposition dans Security Center via la création de recommandations. Pour éviter les modifications surprises de votre score de sécurisation et pour fournir une période de grâce dans laquelle vous pouvez explorer de nouvelles recommandations avant qu’elles n’affectent vos scores, les recommandations marquées comme préversion ne sont plus incluses dans les calculs de votre score de sécurisation. Elles doivent tout de même être corrigées dans la mesure du possible, ainsi lorsque la période de préversion se termine, elles seront prises en compte dans le calcul.
En outre, les recommandations en préversion ne restituent pas une ressource « Non saine ».
Exemple de recommandation de préversion :
En savoir plus sur le degré de sécurisation.
Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
La page de détails des recommandations comprend désormais un indicateur d’intervalle d’actualisation (le cas échéant) et affiche clairement la gravité de la recommandation.
Août 2020
Les mises à jour en août sont les suivantes :
- Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
- prise en charge Added pour les valeurs par défaut de sécurité Microsoft Entra ID (pour l’authentification multifacteur)
- Ajout d’une recommandation en faveur des principaux de service
- Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
- Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
L’inventaire des ressources de Security Center (actuellement en préversion) permet de visualiser la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse régulièrement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités. Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Vous pouvez utiliser la vue et ses filtres pour explorer les données relatives à votre posture de sécurité et prendre d’autres mesures en fonction de vos conclusions.
En savoir plus sur l’inventaire des ressources.
Ajout de la prise en charge des valeurs par défaut de sécurité Microsoft Entra ID (pour l’authentification multifacteur)
Security Center a ajouté une prise en charge complète des valeurs par défaut de sécurité , des protections de sécurité d'identité gratuites de Microsoft.
Les paramètres de sécurité par défaut fournissent des paramètres de sécurité d’identité préconfigurés pour défendre votre organisation contre les attaques courantes liées aux identités. Les paramètres de sécurité par défaut protègent déjà plus de 5 millions de locataires ; 50 000 locataires sont également protégés par Security Center.
Security Center fournit désormais une recommandation de sécurité chaque fois qu’il identifie un abonnement Azure sans les paramètres de sécurité par défaut activés. Jusqu’à présent, Security Center a recommandé d’activer l’authentification multifacteur à l’aide de l’accès conditionnel, qui fait partie de la licence Microsoft Entra ID Premium. Pour les clients utilisant Microsoft Entra ID gratuit, nous vous recommandons maintenant d’activer les paramètres de sécurité par défaut.
Notre objectif est d’encourager davantage de clients à sécuriser leurs environnements cloud avec l’authentification multifacteur et à atténuer l’un des risques les plus élevés qui est également le plus impactant pour votre score de sécurisation.
En savoir plus sur les valeurs par défaut de sécurité.
Ajout d’une recommandation en faveur des principaux de service
Une nouvelle recommandation a été ajoutée pour recommander aux clients de Security Center qui utilisent des certificats de gestion pour gérer leurs abonnements de basculer vers des principaux de service.
La recommandation, Principaux de service doivent être utilisés pour protéger vos abonnements au lieu des certificats de gestion vous conseille d’utiliser des principaux de service ou des Azure Resource Manager pour gérer vos abonnements de manière plus sécurisée.
En savoir plus sur les objets Application et principal de service dans Microsoft Entra ID.
Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
Security Center inspecte vos machines virtuelles pour vérifier si elles exécutent une solution d’évaluation des vulnérabilités. Si aucune solution d’évaluation des vulnérabilités n’est trouvée, Security Center fournit une recommandation pour simplifier le déploiement.
Lorsque des vulnérabilités sont détectées, Security Center fournit une recommandation résumant les résultats à examiner et à corriger si nécessaire.
Pour garantir une expérience cohérente pour tous les utilisateurs, quel que soit le type d’analyse utilisé, nous avons unifié quatre recommandations dans les deux cas suivants :
| Recommandation unifiée | Description de la modification |
|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Remplace les deux recommandations suivantes : ***** Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) (désormais déconseillée) (incluse avec le niveau standard) ***** La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles (désormais déconseillée) (niveaux standard et gratuits) |
| Les vulnérabilités de vos machines virtuelles doivent être corrigées | Remplace les deux recommandations suivantes : ***** Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) (à présent déconseillée) ***** Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités (à présent déconseillée) |
Vous allez maintenant utiliser la même recommandation pour déployer l’extension d’évaluation de la vulnérabilité de Security Center ou une solution sous licence privée (« BYOL ») d’un partenaire tel que Qualys ou Rapid7.
De plus, lorsque des vulnérabilités sont détectées et signalées à Security Center, une recommandation unique vous avertit des conclusions, quelle que soit la solution d’évaluation des vulnérabilités qui les a identifiées.
Mise à jour des dépendances
Si vous avez des scripts, des requêtes ou des automations qui font référence aux recommandations ou aux clés/noms de stratégie précédents, utilisez les tableaux ci-dessous pour mettre à jour les références :
Avant août 2020
| Recommendation | Scope |
|---|---|
|
Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) Clé : 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) Clé : 1195afff-c881-495e-9bc5-148621ae03f |
Built-in |
|
La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles Clé : 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités Clé : 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités ID de stratégie : 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
À partir d’août 2020
| Recommendation | Scope |
|---|---|
|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Clé : ffff0522-1e88-47fc-8382-2a80ba848f5d |
Intégré + BYOL |
|
Les vulnérabilités de vos machines virtuelles doivent être corrigées Clé : 1195afff-c881-495e-9bc5-148621ae03f |
Intégré + BYOL |
| Policy | Scope |
|---|---|
|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Intégré + BYOL |
Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des stratégies de niveau Kubernetes et des suggestions de renforcement, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
La première phase de ce projet comprend une préversion et l’ajout de nouvelles stratégies (désactivées par défaut) à l’initiative de ASC_default.
Vous pouvez ignorer ces stratégies en toute sécurité et il n’y aura aucun impact sur votre environnement. Si vous souhaitez les activer, inscrivez-vous à la préversion via la communauté privée de sécurité Microsoft Cloud Security Private Community et sélectionnez les options suivantes :
- Préversion unique : pour joindre uniquement cette préversion. Mentionnez explicitement « Analyse continu ASC » comme préversion que vous souhaitez rejoindre.
- Programme en cours : à ajouter à ces préversions futures. Vous devrez remplir un profil et une déclaration de confidentialité.
Juillet 2020
Les mises à jour du mois de juillet incluent :
- L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images qui ne sont pas dans le marketplace
- protection Threat pour stockage Azure développée afin d’inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
- Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
- Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
- Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
- Dépréciation de six stratégies pour la sécurité avancée des données SQL
L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images non-Place de marché
Lorsque vous déployez une solution d’évaluation des vulnérabilités, Security Center effectuait un contrôle de validation avec le déploiement. Le contrôle visait à vérifier une référence (SKU) de la Place de marché sur la machine virtuelle de destination.
À partir de cette mise à jour, la vérification est supprimée et vous pouvez désormais déployer des outils d'évaluation des vulnérabilités sur des machines « personnalisées » Windows et Linux. Les images personnalisées sont celles que vous avez modifiées à partir des images par défaut de la Place de marché.
Bien que vous puissiez désormais déployer l’extension d’évaluation des vulnérabilités intégrée (optimisée par Qualys) sur de nombreuses autres machines, le support n’est disponible que si vous utilisez un système d’exploitation répertorié dans Déployer l’analyseur de vulnérabilité intégré sur des machines virtuelles de niveau Standard.
En savoir plus sur le scanneur de vulnérabilités integrated pour les machines virtuelles (nécessite Azure Defender).
En savoir plus sur l’utilisation de votre propre solution d’évaluation des vulnérabilités sous licence privée à partir de Qualys ou Rapid7 dans le déploiement d’une solution d’analyse des vulnérabilités partenaire.
Protection contre les menaces pour stockage Azure développée pour inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
La protection contre les menaces pour stockage Azure détecte les activités potentiellement dangereuses sur vos comptes stockage Azure. Security Center affiche des alertes lorsqu’il détecte des tentatives d’accès ou d’exploitation de vos comptes de stockage.
Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
Huit nouvelles recommandations ont été ajoutées pour fournir un moyen simple d'activer les fonctionnalités de protection contre les menaces de Azure Security Center pour les types de ressources suivants : machines virtuelles, plans App Service, serveurs AZURE SQL DATABASE, serveurs SQL sur les machines, comptes stockage Azure, Azure Kubernetes Service clusters, registres Azure Container Registry et coffres Azure Key Vault.
Les nouvelles recommandations sont les suivantes :
- Sécurité des donnéesadvanced doit être activée sur les serveurs Azure SQL Database
- Advanced Data Security doit être activé sur les serveurs SQL sur les machines
- Protection contre les menacesadvanced doit être activée sur Azure App Service plans
- Protection contre les menacesadvanced doit être activée sur Azure Container Registry registres
- Protection contre les menacesadvanced doit être activée sur des coffres Azure Key Vault
- Protection contre les menacesadvanced doit être activée sur des clusters Azure Kubernetes Service
- Protection contre les menacesadvanced doit être activée sur des comptes stockage Azure
- Advanced Threat Protection doit être activé sur les machines virtuelles
Les recommandations incluent également la fonctionnalité de correction rapide.
Important
L’application de n’importe laquelle de ces recommandations entraîne des frais pour la protection des ressources pertinentes. Ces frais s’appliquent immédiatement si vous avez des ressources associées dans l’abonnement actuel. Ou ils s’appliqueront à l’avenir si vous les ajoutez à une date ultérieure.
Par exemple, si vous n'avez pas de clusters Azure Kubernetes Service dans votre abonnement et que vous activez la protection contre les menaces, aucun frais n'est facturé. Si, à l’avenir, vous ajoutez un cluster sur le même abonnement, il sera automatiquement protégé et des frais seront facturés à ce moment-là.
En savoir plus sur la protection threat dans Azure Security Center.
Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
Dans le cadre des investissements continus dans le domaine de la sécurité des conteneurs, nous sommes heureux de partager une amélioration significative des performances dans les analyses dynamiques des images conteneur stockées dans Azure Container Registry. Désormais, les analyses prennent généralement environ en deux minutes. Dans certains cas, elles peuvent prendre jusqu’à 15 minutes.
Pour améliorer la clarté et les conseils relatifs aux fonctionnalités de sécurité des conteneurs de Azure Security Center, nous avons également actualisé les pages de documentation sur la sécurité des conteneurs.
Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
La fonctionnalité de contrôles d’application adaptatifs a fait l’objet de deux mises à jour importantes :
Une nouvelle recommandation identifie les comportements potentiellement légitimes qui n’étaient pas autorisés auparavant. La nouvelle recommandation, intitulée Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour, vous invite à ajouter de nouvelles règles à la stratégie existante afin de réduire le nombre de faux positifs dans les alertes de violation des contrôles d’application adaptatifs.
Les règles de chemin d’accès prennent désormais en charge les caractères génériques. À compter de cette mise à jour, vous pouvez configurer des règles de chemin d’accès autorisé avec des caractères génériques. Il existe deux scénarios pris en charge :
Utilisation d’un caractère générique à la fin d’un chemin d’accès pour autoriser tous les exécutables dans ce dossier et ses sous-dossiers.
Utilisation d’un caractère générique au milieu d’un chemin pour activer un nom d’exécutable connu avec un nom de dossier variable (par exemple, des dossiers utilisateur personnels avec un exécutable connu, des noms de dossiers générés automatiquement, etc.).
Dépréciation de six stratégies pour la sécurité avancée des données SQL
Six stratégies relatives à la sécurité avancée des données pour les machines SQL sont déconseillées :
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données de l’instance gérée SQL.
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données du serveur SQL.
- Les paramètres Advanced Data Security pour l’instance gérée SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les paramètres Advanced Data Security pour le serveur SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security de l’instance managée SQL
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security SQL Server
En savoir plus sur les stratégies intégrées.
Juin 2020
Les mises à jour du mois de juin incluent :
- API Degré de sécurisation (préversion)
- Sécurité des donnéesadvanced pour les machines SQL (Azure, autres clouds et locaux) (préversion)
- Les nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
- Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
- Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
- Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
API Degré de sécurisation (préversion)
Vous pouvez maintenant accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation (actuellement en préversion). Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple, vous pouvez utiliser l’API Scores sécurisés pour obtenir le score d’un abonnement spécifique. En outre, vous pouvez utiliser l’API Contrôles du degré de sécurisation pour répertorier les contrôles de sécurité et le degré de sécurisation actuel de vos abonnements.
Pour obtenir des exemples d’outils externes rendus possibles avec l’API score sécurisé, consultez la zone de score sécurisé de notre communauté GitHub.
En savoir plus sur le score et les contrôles de sécurité sécurisés dans Azure Security Center.
Sécurité avancée des données pour les machines SQL (Azure, autres clouds et locaux) (préversion)
la sécurité avancée des données de Azure Security Center pour les machines SQL protège désormais les serveurs SQL hébergés dans Azure, sur d'autres environnements cloud et même sur des machines locales. Cela étend les protections de vos serveurs SQL natifs Azure pour prendre entièrement en charge les environnements hybrides.
La sécurité avancée des données fournit une évaluation des vulnérabilités et une protection avancée contre les menaces pour vos machines SQL où qu’elles soient.
La configuration se fait en deux étapes :
Déploiement de l'agent Log Analytics sur l'ordinateur hôte de votre SQL Server pour fournir la connexion à Azure compte.
Activation du bundle facultatif dans la page de tarification et des paramètres de Security Center.
En savoir plus sur la sécurité avancée des données pour les machines SQL.
Deux nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
Deux nouvelles recommandations ont été ajoutées pour vous aider à déployer l'agent Log Analytics sur vos machines Azure Arc et vous assurer qu'elles sont protégées par Azure Security Center :
- Log Analytics agent doit être installé sur vos machines Azure Arc basées sur Windows (préversion)
- Log Analytics agent doit être installé sur vos machines Azure Arc Linux (préversion)
Ces nouvelles recommandations s’affichent dans les quatre mêmes contrôles de sécurité que la recommandation existante (associée), L’agent d’analyse doit être installé sur vos machines : corriger les configurations de sécurité, appliquer le contrôle d’application adaptatif, appliquer les mises à jour système et activer la protection de point de terminaison.
Les recommandations incluent également la fonctionnalité de correction rapide pour accélérer le processus de déploiement.
Découvrez comment Azure Security Center utilise l’agent dans Quel est le Log Analytics agent ?.
En savoir plus sur les extensions pour les machines Azure Arc.
Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Pour déployer vos configurations d'automatisation au sein de votre organisation, utilisez ces stratégies intégrées « DeployIfdNotExist Azure » pour créer et configurer des procédures d'exportation continueuse et workflow automation :
Les définitions de stratégie sont disponibles dans Azure Policy :
| Goal | Policy | ID de stratégie |
|---|---|---|
| Exportation continue vers Event Hubs | Deploy export to Event Hubs for Azure Security Center alerts and recommendations | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportation continue vers Log Analytics espace de travail | Deploy export to Log Analytics workspace for Azure Security Center alerts and recommendations | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automatisation du flux de travail pour les alertes de sécurité | Deploy Workflow Automation pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatisation du flux de travail pour les recommandations de sécurité | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Prise en main des modèles d’automatisation workflow.
Apprenez-en davantage sur l’utilisation des deux stratégies d’exportation dans Configurer l’automatisation du workflow à grande échelle à l’aide des stratégies fournies et Configurer une exportation continue.
Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
Le contrôle de sécurité « implémenter les meilleures pratiques de sécurité » comprend désormais la nouvelle recommandation suivante :
- Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau
Une recommandation existante, Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau, ne fait pas la distinction entre les machines virtuelles accessibles sur Internet et celles qui ne le sont pas. Pour les deux types de machines virtuelles, une recommandation à gravité élevée était générée si une machine virtuelle n’était pas affectée à un groupe de sécurité réseau. Cette nouvelle recommandation sépare les machines non accessibles à partir d’Internet pour réduire les faux positifs et éviter les alertes à gravité élevée inutiles.
Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
Les nouvelles définitions de stratégie ci-dessous ont été ajoutées à l’initiative ASC par défaut et sont conçues pour aider à activer la protection contre les menaces ou la sécurité avancée des données pour les types de ressources appropriés.
Les définitions de stratégie sont disponibles dans Azure Policy :
En savoir plus sur la protection Threat dans Azure Security Center.
Mai 2020
Les mises à jour du mois de mai incluent :
- Règles de suppression d’alerte (préversion)
- Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
- Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
- Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
- Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
- Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
- Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
- Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Règles de suppression d’alerte (préversion)
Cette nouvelle fonctionnalité (actuellement en préversion) permet de réduire la fréquence des alertes. Utilisez des règles pour masquer automatiquement les alertes connues pour être anodines ou liées à des activités normales au sein votre organisation. Cela vous permet de vous concentrer sur les menaces les plus pertinentes.
Les alertes correspondant à vos règles de suppression activées sont toujours générées, mais leur état est défini sur ignoré. Vous pouvez voir l’état dans le portail Azure ou toutefois vous accédez à vos alertes de sécurité Security Center.
Les règles de suppression définissent les critères en vertu desquels les alertes doivent être automatiquement ignorées. En règle générale, vous utilisez une règle de suppression pour effectuer les opérations suivantes :
supprimer des alertes identifiées comme faux positifs ;
supprimer des alertes déclenchées trop souvent pour être utiles.
En savoir plus sur les alertes suppresseurs à partir de la protection contre les menaces de Azure Security Center.
Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
Le niveau standard de Security Center intègre désormais l’évaluation des vulnérabilités des machines virtuelles sans frais supplémentaires. Cette extension est fournie par Qualys mais renvoie ses résultats directement à Security Center. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center.
La nouvelle solution peut analyser en continu vos machines virtuelles pour trouver des vulnérabilités et présenter les résultats au Security Center.
Pour déployer la solution, suivez la nouvelle recommandation de sécurité :
« Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (optimisées par Qualys) (Préversion)
Apprenez-en davantage sur l’évaluation des vulnérabilités des machines virtuelles intégrée dans le Security Center.
Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
Le Security Center intègre une fonctionnalité facultative destinée à protéger les ports de gestion de vos machines virtuelles. Celle-ci offre une protection contre la forme la plus courante d’attaques par force brute.
Cette mise à jour apporte à cette fonctionnalité les modifications suivantes :
La recommandation suggérant d’activer l’accès JAT sur une machine virtuelle a été reformulée. Précédemment « le contrôle d’accès du réseau Juste-à-temps doit être appliqué sur les machines virtuelles », maintenant : « Les ports de gestion des machines virtuelles doivent être protégés avec un contrôle d’accès réseau juste-à-temps ».
La recommandation n’est déclenchée que s’il existe des ports de gestion ouverts.
Apprenez-en davantage sur la fonctionnalité accès JAT.
Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré était « Implémenter les meilleures pratiques de sécurité ». Toutes les recommandations personnalisées créées pour vos abonnements ont été placées automatiquement dans ce contrôle.
Pour faciliter la recherche de vos recommandations personnalisées, nous les avons déplacées vers un contrôle de sécurité dédié nommé « Recommandations personnalisées ». Ce contrôle n’a aucun impact sur votre degré de sécurisation.
En savoir plus sur les contrôles de sécurité dans Enhanced secure score (préversion) dans Azure Security Center.
Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées. Ceux-ci reflètent vos surfaces d’attaque vulnérables. Un contrôle est un ensemble de recommandations de sécurité, avec des instructions qui vous permettent de les implémenter.
Pour voir immédiatement dans quelle mesure votre organisation sécurise chacune des surfaces d’attaque, examinez le degré de chaque contrôle de sécurité.
Par défaut, vos recommandations s’affichent dans les contrôles de sécurité. À partir de cette mise à jour, vous pouvez également les afficher sous forme de liste. Pour les afficher sous la forme d’une liste simple triée en fonction de l’état d’intégrité des ressources affectées, utilisez la nouvelle option « Grouper par contrôles ». Cette option se trouve au-dessus de la liste dans le portail.
Les contrôles de sécurité, et cette option, font partie de la nouvelle expérience de degré de sécurisation. N’oubliez pas de nous envoyer vos commentaires à partir du portail.
En savoir plus sur les contrôles de sécurité dans Enhanced secure score (préversion) dans Azure Security Center.
Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré est « Implémenter les meilleures pratiques de sécurité ». Quand ce contrôle contient une recommandation, celle-ci n’a aucun impact sur le degré de sécurisation.
Avec cette mise à jour, trois recommandations ont été déplacées des contrôles dans lesquels elles étaient placées à l’origine vers ce contrôle des bonnes pratiques. Nous avons pris cette mesure parce que nous avons constaté que le risque que ces trois recommandations visaient à prévenir était moindre que le risque initialement prévu.
En outre, deux nouvelles recommandations ont été introduites et ajoutées à ce contrôle.
Les trois recommandations déplacées sont les suivantes :
- L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture de votre abonnement (à l’origine, dans le contrôle « Activer la MFA »).
- Les comptes externes disposant d’autorisations de lecture doivent être supprimés de votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
- Trois propriétaires au plus doivent être désignés pour votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
Les deux nouvelles recommandations ajoutées au contrôle sont les suivantes :
l’extension de configuration Guest doit être installée sur Windows machines virtuelles (préversion) - L’utilisation de Azure Policy Guest Configuration offre une visibilité à l’intérieur des machines virtuelles sur les paramètres de serveur et d’application (Windows uniquement).
Microsoft Defender Exploit Guard doit être activé sur vos machines (préversion) - Microsoft Defender Exploit Guard tire parti de l’agent de configuration invité Azure Policy. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement).
En savoir plus sur Microsoft Defender Exploit Guard dans Create et déployer une stratégie Exploit Guard.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion).
Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
Les stratégies personnalisées font désormais partie de l’expérience des Recommandations relatives à Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Cette fonctionnalité désormais généralement disponible vous permet d’étendre la couverture de l’évaluation de la sécurité de votre organisation dans Azure Security Center.
Créez une initiative personnalisée dans Azure Policy, ajoutez-y des stratégies et intégrez-la à Azure Security Center, puis visualisez-la en tant que recommandations.
Nous avons également ajouté une option permettant de modifier les métadonnées de recommandation personnalisées. Les options des métadonnées incluent la gravité, des mesures de correction, des informations sur les menaces, etc.
Pour en savoir plus, consultez Amélioration de vos recommandations personnalisées avec des informations détaillées.
Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Nous intégrons les fonctionnalités de détection d'analyse de vidage sur incident (CDA) Windows dans détection d'attaque sans fichier. L’analytique de détection d’attaque sans fichier apporte des versions améliorées des alertes de sécurité suivantes pour les machines Windows : injection de code découverte, masquerading Windows module détecté, code shell détecté et segment de code suspect détecté.
Voici quelques-uns des avantages de cette transition :
Détection proactive et en temps opportun des programmes malveillants : l’approche de l’analyse du vidage sur incident impliquait l’attente de la survenance d’un incident, puis l’exécution d’une analyse pour trouver des artefacts malveillants. La détection d’attaque sans fichier introduit l’identification de manière proactive des menaces en mémoire pendant leur exécution.
Alertes enrichies : les alertes de sécurité de la détection d’attaque sans fichier incluent des enrichissements qui ne sont pas disponibles à partir de la CDA, telles que les informations de connexion réseau actives.
Agrégation d’alertes : lorsque CDA a détecté plusieurs modèles d’attaque dans un seul vidage sur incident, il a déclenché plusieurs alertes de sécurité. La détection d’attaque sans fichier combine tous les modèles d’attaque identifiés participant d’un même processus dans une alerte unique, ce qui évite d’avoir à mettre en corrélation plusieurs alertes.
Conditions requises pour votre espace de travail Log Analytics - Les vidages sur incident contenant des données potentiellement sensibles ne seront plus chargés dans votre espace de travail Log Analytics.
Avril 2020
Les mises à jour du mois d’avril incluent :
- Disponibilité générale des packages de conformité dynamique
- recommandations Identity désormais incluses dans Azure Security Center niveau gratuit
Disponibilité générale des packages de conformité dynamique
Le tableau de bord de conformité réglementaire Azure Security Center inclut désormais packages de conformité dynamiques (désormais généralement disponibles) pour suivre des normes réglementaires et sectorielles supplémentaires.
Vous pouvez ajouter ces packages de conformité dynamique à votre abonnement ou à votre groupe d’administration à partir de la page Stratégie de sécurité d’Azure Security Center. Après l’intégration d’une norme ou un benchmark, ceux-ci apparaissent dans votre tableau de bord de conformité réglementaire avec toutes les données de conformité associées en tant qu’évaluations. Un rapport de synthèse pour toutes les normes intégrées sera disponible en téléchargement.
Désormais, vous pouvez ajouter des normes telles que les suivantes :
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official et UK NHS
- PBMM fédéral du Canada
- Azure CIS 1.1.0 (nouveau) (qui est une représentation plus complète de Azure CIS 1.1.0)
En outre, nous avons récemment ajouté le Azure Benchmark de sécurité, les instructions Microsoft créées Azure spécifiques à la sécurité et à la conformité en fonction des infrastructures de conformité courantes. Des normes supplémentaires seront prises en charge dans le tableau de bord dès qu’elles seront disponibles.
Apprenez-en davantage sur la personnalisation de l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Recommandations d’identité désormais incluses dans Azure Security Center niveau gratuit
Les recommandations de sécurité pour l’identité et l’accès au niveau gratuit Azure Security Center sont désormais en disponibilité générale. Cela fait partie de l’effort visant à atteindre la gratuité des fonctionnalités de gestion de la posture de sécurité cloud. Jusqu’à présent, ces recommandations n’étaient disponibles qu’au niveau tarifaire standard.
Voici des exemples de recommandations relatives aux identités et aux accès :
- « L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement. »
- « Au maximum trois propriétaires doivent être désignés pour votre abonnement. »
- « Les comptes déconseillés doivent être supprimés de votre abonnement. »
Si vous avez des abonnements au niveau tarifaire gratuit, ce changement affectera leurs degrés de sécurisation, car ils n’ont jamais été évalués sur le plan de la sécurité des identités et des accès.
mars 2020
Les mises à jour du mois de mars incluent :
- Disponibilité générale de l’automatisation de flux de travail
- Integration de Azure Security Center avec Windows Admin Center
- Protection pour Azure Kubernetes Service
- Amélioration de l’expérience juste-à-temps
- Deux recommandations de sécurité pour les applications web déconseillées
Disponibilité générale de l’automatisation de flux de travail
La fonctionnalité d’automatisation de flux de travail de Azure Security Center est désormais en disponibilité générale. Elle permet de déclencher automatiquement Logic Apps sur des alertes et recommandations de sécurité. En outre, des déclencheurs manuels sont disponibles pour les alertes et toutes les recommandations pour lesquelles l’option de correction rapide est disponible.
Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. L’automatisation contribue à réduire la surcharge et à renforcer votre sécurité en garantissant que les étapes du processus se déroulent rapidement, de manière cohérente et selon les exigences que vous avez prédéfinies.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles de Security Center pour l’exécution de vos flux de travail, consultez l’automatisation des flux de travail.
Apprenez-en davantage sur la création de Logic Apps.
Intégration de Azure Security Center avec Windows Admin Center
Il est désormais possible de déplacer vos serveurs Windows locaux du Windows Admin Center directement vers le Azure Security Center. Security Center devient ensuite votre seul volet de verre pour afficher les informations de sécurité pour toutes vos ressources Windows Admin Center, notamment les serveurs locaux, les machines virtuelles et d’autres charges de travail PaaS.
Après avoir déplacé un serveur de Windows Admin Center vers Azure Security Center, vous pourrez :
- Affichez les alertes de sécurité et les recommandations dans l’extension Security Center du Windows Admin Center.
- Affichez la posture de sécurité et récupérez des informations détaillées supplémentaires sur vos serveurs gérés Windows Admin Center dans le Centre de sécurité dans le portail Azure (ou via une API).
En savoir plus sur how to intégrer Azure Security Center à Windows Admin Center.
Protection pour Azure Kubernetes Service
Azure Security Center étend ses fonctionnalités de sécurité de conteneur pour protéger Azure Kubernetes Service (AKS).
La plateforme open source populaire Kubernetes est adoptée si largement qu’elle fait désormais figure de norme sectorielle pour l’orchestration de conteneurs. En dépit de cette implémentation largement répandue, il subsiste un manque de compréhension de la manière de sécuriser un environnement Kubernetes. La défense des surfaces d’attaque d’une application en conteneur requiert de l’expertise pour s’assurer que l’infrastructure est configurée de façon totalement sécurisée et constamment surveillée pour détecter des menaces potentielles.
La défense orchestrée par Azure Security Center comprend les composantes suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits auprès d’Azure Security Center.
- Recommandations de sécurité : recommandations actionnables pour vous aider à vous conformer aux meilleures pratiques de sécurité pour AKS. Ces recommandations sont incluses dans votre degré de sécurisation pour garantir leur visibilité en lien avec la posture de sécurité de votre organisation. Voici un exemple de recommandation relative à AKS : « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster Kubernetes Service ».
- Protection contre les menaces : grâce à l’analyse continue de votre déploiement AKS, Security Center vous avertit des menaces et des activités malveillantes détectées au niveau de l’hôte et du cluster AKS.
En savoir plus sur Azure l'intégration de Kubernetes Services à Security Center.
Apprenez-en davantage sur les fonctionnalités de sécurité de conteneur d’Azure Security Center.
Amélioration de l’expérience juste-à-temps
Les fonctionnalités, l'opération et l'interface utilisateur pour les outils juste-à-temps de Azure Security Center qui sécurisent vos ports de gestion ont été améliorés comme suit :
- ChampJustification : lorsque vous demandez l’accès à une machine virtuelle via la page juste-à-temps du portail Azure, un nouveau champ facultatif est disponible pour entrer une justification pour la demande. Le journal d’activité permet de suivre les informations entrées dans ce champ.
- Nettoyage automatique des règles JAT redondantes : chaque fois que vous mettez à jour une stratégie JAT, un outil de nettoyage s’exécute automatiquement pour vérifier la validité de votre ensemble de règles. L’outil recherche les incompatibilités entre les règles de votre stratégie et les règles du groupe de sécurité réseau. Si l’outil de nettoyage détecte une incompatibilité, il en détermine la cause et, lorsque cela ne présente aucun risque, supprime les règles intégrées qui ne sont plus nécessaires. Le nettoyeur ne supprime jamais les règles que vous avez créées.
Apprenez-en davantage sur la fonctionnalité accès JAT.
Deux recommandations de sécurité pour les applications web déconseillées
Deux recommandations de sécurité relatives aux applications web sont déconseillées :
Les règles relatives aux applications web sur des groupes de sécurité réseau IaaS doivent être renforcées. (Stratégie associée : Les règles de groupe de sécurité réseau pour les applications web IaaS doivent être renforcées)
L’accès à App Services doit être limité. (Stratégie associée : L’accès à App Services doit être restreint [préversion])
Ces recommandations n’apparaissent plus dans la liste de recommandations d’Azure Security Center. Les stratégies associées ne seront plus incluses dans l’initiative nommée « Security Center par défaut ».
Février 2020
Détection d’attaque sans fichier pour Linux (préversion)
À mesure que les attaquants utilisent des méthodes plus furtives pour éviter la détection, Azure Security Center étend la détection des attaques sans fichier pour Linux, en plus de Windows. Les attaques sans fichier exploitent des vulnérabilités logicielles, injectent des charges utiles malveillantes dans des processus système inoffensifs et se cachent en mémoire. Ces techniques :
- réduire ou éliminer les traces de logiciels malveillants sur disque ;
- réduire considérablement les risques de détection par des solutions d’analyse de programmes malveillants sur disque.
Pour contrer cette menace, Azure Security Center publié la détection des attaques sans fichier pour Windows en octobre 2018, et a maintenant étendu la détection des attaques sans fichier sur Linux.
Janvier 2020
Amélioration du degré de sécurisation (préversion)
Une version améliorée de la fonctionnalité de score sécurisé de Azure Security Center est désormais disponible en préversion. Dans cette version, plusieurs recommandations sont regroupées en contrôles de sécurité qui reflètent mieux vos surfaces d’attaque vulnérables (et, par exemple, restreignent l’accès aux ports de gestion).
Familiarisez-vous avec les changements apportés au degré de sécurisation au cours de la phase de préversion, et épinglez d’autres corrections qui vous aideront à sécuriser davantage votre environnement.
Pour en savoir plus, consultez Version améliorée du degré de sécurisation (préversion).
Novembre 2019
Les mises à jour en novembre sont les suivantes :
- Threat Protection pour Azure Key Vault dans les régions Amérique du Nord (préversion)
- Threat Protection pour stockage Azure inclut le filtrage de la réputation des programmes malveillants
- Automatisation des workflows avec Azure Logic Apps (préversion)
- Disponibilité générale d’un correctif rapide pour les ressources en bloc
- Analyser des images conteneur pour détecter les vulnérabilités (préversion)
- Autres normes de conformité réglementaire (préversion)
- Threat Protection pour Azure Kubernetes Service (préversion)
- Évaluation des vulnérabilités des machines virtuelles (préversion)
- Sécurité des donnéesadvanced pour les serveurs SQL sur Machines virtuelles Azure (préversion)
- Prise en charge de stratégies personnalisées (préversion)
- Extending Azure Security Center couverture avec plateforme pour la communauté et les partenaires
- Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
- Onboard des serveurs locaux vers Security Center à partir de Windows Admin Center (préversion)
Protection contre les menaces pour Azure Key Vault en Amérique du Nord (préversion)
Azure Key Vault est un service essentiel pour protéger les données et améliorer les performances des applications cloud en offrant la possibilité de gérer de manière centralisée les clés, les secrets, les clés de chiffrement et les stratégies dans le cloud. Étant donné que Azure Key Vault stocke les données sensibles et critiques pour l’entreprise, elle nécessite une sécurité maximale pour les coffres de clés et les données stockées dans ces coffres.
Azure Security Center prend en charge la protection contre les menaces pour Azure Key Vault fournit une couche supplémentaire de renseignement de sécurité qui détecte des tentatives inhabituelles et potentiellement dangereuses d'accès ou d'exploitation de coffres de clés. Cette nouvelle couche de protection permet aux clients de traiter les menaces pesant sur leurs coffres de clés sans être experts en sécurité, ainsi que de gérer des systèmes de surveillance de la sécurité. Cette fonctionnalité est en préversion publique dans les régions d’Amérique du Nord.
Protection contre les menaces pour stockage Azure inclut le filtrage de la réputation des programmes malveillants
La protection contre les menaces pour stockage Azure offre de nouvelles détections alimentées par Microsoft Threat Intelligence pour détecter les chargements de programmes malveillants vers stockage Azure à l’aide d’une analyse de réputation de hachage et d’un accès suspect à partir d’un nœud de sortie Tor actif (proxy anonymisant). Vous pouvez maintenant afficher les programmes malveillants détectés sur les comptes de stockage à l’aide de Azure Security Center.
Automatisation des flux de travail avec Azure Logic Apps (préversion)
Les organisations dont la sécurité, l’informatique et les opérations sont gérées de manière centralisée implémentent des processus de flux de travail internes pour conduire les actions requises en leur sein en cas de détection d’incohérences dans leur environnement. Dans de nombreux cas, ces flux de travail étant des processus reproductibles, une automatisation peut considérablement simplifier leur exécution au sein de l’organisation.
Aujourd'hui, nous introduisons une nouvelle fonctionnalité dans Security Center qui permet aux clients de créer des configurations d'automatisation en tirant parti de Azure Logic Apps et de créer des stratégies qui les déclencheront automatiquement en fonction de résultats ASC spécifiques tels que des recommandations ou des alertes. Azure Application logique peut être configurée pour effectuer n’importe quelle action personnalisée prise en charge par la vaste communauté de connecteurs d’application logique, ou utiliser l’un des modèles fournis par Security Center, comme l’envoi d’un e-mail ou l’ouverture d’un ticket ServiceNow™.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles de Security Center pour l’exécution de vos flux de travail, consultez l’automatisation des flux de travail.
Pour en savoir plus sur la création de Logic Apps, consultez Azure Logic Apps.
Disponibilité générale d’un correctif rapide pour les ressources en bloc
Compte tenu des nombreuses tâches confiées aux utilisateurs en lien avec le degré de sécurisation, il peut devenir difficile de résoudre efficacement les problèmes survenant au sein d’un part informatique de grande taille.
Utilisez la correction de correctif rapide pour corriger les configurations incorrectes de sécurité, corriger les recommandations sur plusieurs ressources et améliorer votre score de sécurité.
Cette opération vous permet de sélectionner les ressources auxquelles à corriger et de lancer une action de correction qui configure le paramètre à votre place.
Un correctif rapide est dès aujourd’hui en disponibilité générale pour les clients dans la page Recommandations du Security Center.
Analyser des images de conteneur pour détecter des vulnérabilités (préversion)
Azure Security Center pouvez désormais analyser des images conteneur dans Azure Container Registry pour détecter les vulnérabilités.
Le balayage d’image fonctionne en analysant le fichier image du conteneur, puis en vérifiant s’il existe des vulnérabilités connues (optimisées par Qualys).
L’analyse elle-même est automatiquement déclenchée lors de l’envoi de nouvelles images conteneur à Azure Container Registry. Les vulnérabilités découvertes feront l’objet de recommandations de Security Center et seront incluses dans le degré de sécurisation avec des informations sur la façon de les corriger afin de réduire la surface d’attaque qu’elles offrent.
Normes de conformité réglementaire supplémentaires (préversion)
Le tableau de bord Conformité réglementaire fournit des insights sur votre posture de conformité en fonction des évaluations du Security Center. Le tableau de bord indique la conformité de votre environnement avec des contrôles et exigences stipulés par des normes réglementaires et des benchmarks sectoriels spécifiques, et fournit des recommandations prescriptives sur la façon de s’y conformer.
Le tableau de bord de conformité réglementaire a jusqu’à présent pris en charge quatre normes intégrées : Azure CIS 1.1.0, PCI-DSS, ISO 27001 et SOC-TSP. Nous annonçons maintenant la préversion publique des normes supplémentaires prises en charge : NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM et UK Official avec UK NHS. Nous publions également une version mise à jour de Azure CIS 1.1.0, couvrant davantage de contrôles de la norme et améliorant l'extensibilité.
Protection contre les menaces pour Azure Kubernetes Service (préversion)
Kubernetes devient rapidement la nouvelle norme pour le déploiement et la gestion de logiciels dans le cloud. Rares sont les utilisateurs qui ont une expérience approfondie de Kubernetes et nombreux sont ceux qui se concentrent uniquement sur l’ingénierie et l’administration générales en négligeant la sécurité. Il convient de configurer l’environnement Kubernetes avec soin pour le sécuriser en s’assurant qu’aucune porte laissée ouverte, donnant sur une surface d’attaque de conteneurs, n’est exposée pour des attaquants. Security Center étend sa prise en charge dans l’espace conteneur à l’un des services en croissance la plus rapide dans Azure - Azure Kubernetes Service (AKS).
Les nouvelles fonctionnalités de cette préversion publique sont les suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits de Security Center.
- Recommandations concernant le degré de sécurisation : éléments actionnables pour aider les clients à se conformer aux meilleures pratiques de sécurité pour AKS, et renforcer leur degré de sécurisation. Ces recommandations incluent des éléments tels que « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster de service Kubernetes ».
- Détection des menaces - Analyse basée sur l’hôte et le cluster, comme « Un conteneur privilégié détecté ».
Évaluation des vulnérabilités des machines virtuelles (préversion)
Les applications installées sur les machines virtuelles peuvent souvent présenter des vulnérabilités susceptibles d’entraîner une violation de ces machines. Nous annonçons que le niveau standard Security Center inclut l’évaluation des vulnérabilités intégrée pour les machines virtuelles sans frais supplémentaires. L’évaluation des vulnérabilités, optimisée par Qualys dans la préversion publique, vous permet d’analyser en continu toutes les applications installées sur une machine virtuelle afin d’épingler celles qui sont vulnérables, et de présenter les résultats sur le portail Security Center. Security Center prend en charge toutes les opérations de déploiement afin que l’utilisateur n’ait aucun travail supplémentaire à accomplir. À l’avenir, nous prévoyons de fournir des options d’évaluation des vulnérabilités pour répondre aux besoins uniques de nos clients.
Learn plus sur les évaluations des vulnérabilités pour votre Machines virtuelles Azure.
Sécurité avancée des données pour les serveurs SQL sur Machines virtuelles Azure (préversion)
Azure Security Center prend en charge la protection contre les menaces et l'évaluation des vulnérabilités pour les bases de données SQL s'exécutant sur des machines virtuelles IaaS est désormais en préversion.
L’évaluation des vulnérabilités est un service facile à configurer qui peut détecter, suivre et vous aider à corriger les vulnérabilités potentielles de la base de données. Il offre une visibilité sur votre posture de sécurité dans le cadre du degré de sécurisation et inclut des étapes pour résoudre les problèmes de sécurité et renforcer la protection de votre base de données.
La protection avancée contre les menaces détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès à votre serveur SQL ou d’exploitation de celui-ci. Elle supervise en permanence votre base de données pour détecter des activités suspectes, et envoie des alertes de sécurité orientées action en cas de modèles d’accès anormaux à la base de données. Ces alertes fournissent des détails sur les activités suspectes et des mesures recommandées pour examiner et atténuer la menace.
Prise en charge de stratégies personnalisées (préversion)
Azure Security Center prend désormais en charge les stratégies personnalisées (en préversion).
Nos clients veulent étendre leur couverture actuelle des évaluations de sécurité dans Security Center avec leurs propres évaluations de sécurité en fonction des stratégies qu’ils créent dans Azure Policy. Grâce à la prise en charge des stratégies personnalisées, c’est désormais possible.
Ces stratégies personnalisées font désormais partie des recommandations d’Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Avec la prise en charge des stratégies personnalisées, vous pouvez désormais créer une initiative personnalisée dans Azure Policy, puis l'ajouter en tant que stratégie dans Security Center et la visualiser en tant que recommandation.
Étendre Azure Security Center couverture avec la plateforme pour la communauté et les partenaires
Utilisez Security Center pour recevoir des recommandations non seulement de Microsoft, mais aussi de solutions existantes de partenaires tels que Check Point, Tenable et CyberArk avec de nombreuses intégrations supplémentaires. Le flux d’intégration simple de Security Center peut connecter vos solutions existantes à Security Center, ce qui vous permet d’afficher les recommandations relatives à votre posture de sécurité dans un emplacement unique, de générer des rapports unifiés et de tirer parti de toutes les fonctionnalités de Security Center en lien avec les recommandations intégrées et de partenaires. Vous pouvez également exporter les recommandations de Security Center vers des produits partenaires.
Learn plus sur Association de sécurité intelligente de Microsoft.
Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
Pour activer les scénarios au niveau de l'entreprise en plus de Security Center, il est désormais possible d'utiliser des alertes et des recommandations Security Center dans d'autres emplacements, à l'exception du portail ou de l'API Azure. Ceux-ci peuvent être exportés directement vers un hub d’événements et vers Log Analytics espaces de travail. Voici quelques flux de travail que vous pouvez créer autour de ces nouvelles fonctionnalités :
- Avec l’exportation vers Log Analytics espace de travail, vous pouvez créer des tableaux de bord personnalisés avec Power BI.
- Avec l'exportation vers Event Hubs, vous serez en mesure d'exporter des alertes et des recommandations Security Center vers vos SIEMs tiers, vers une solution tierce ou Azure Data Explorer.
Intégrer des serveurs locaux à Security Center à partir de Windows Admin Center (préversion)
Windows Admin Center est un portail de gestion pour les serveurs Windows qui ne sont pas déployés dans Azure leur offrant plusieurs fonctionnalités de gestion de Azure telles que la sauvegarde et les mises à jour système. Nous avons récemment ajouté une possibilité d’intégrer ces serveurs non Azure pour être protégés par ASC directement à partir de l’expérience de Windows Admin Center.
Les utilisateurs peuvent désormais intégrer un serveur WAC à Azure Security Center et activer l’affichage de ses alertes et recommandations de sécurité directement dans l’expérience de Windows Admin Center.
Septembre 2019
Les mises à jour en septembre sont les suivantes :
- Gestion des règles avec des améliorations des contrôles d’application adaptatifs
- recommandation de sécurité de conteneur Control à l’aide de Azure Policy
Gestion des règles avec des améliorations des contrôles d’application adaptatifs
L’expérience de gestion des règles pour les machines virtuelles à l’aide de contrôles d’application adaptatifs a été améliorée. les contrôles d'application adaptatifs de Azure Security Center vous aident à contrôler les applications qui peuvent s'exécuter sur vos machines virtuelles. En plus d’une amélioration générale de la gestion des règles, un nouvel avantage vous permet de contrôler les types de fichiers qui seront protégés lorsque vous ajoutez une nouvelle règle.
Apprenez-en davantage sur les contrôles d’application adaptatifs.
Contrôler la recommandation de sécurité des conteneurs à l’aide de Azure Policy
Azure Security Center recommande de corriger les vulnérabilités dans la sécurité des conteneurs peut désormais être activée ou désactivée via Azure Policy.
Pour afficher vos stratégies de sécurité activées, dans le Security Center, ouvrez la page Stratégie de sécurité.
Août 2019
Les mises à jour en août sont les suivantes :
- accès aux machines virtuelles Just-in-time (JIT) pour Pare-feu Azure
- Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
- Gestion interlocataire
Accès aux machines virtuelles juste-à-temps (JIT) pour Pare-feu Azure
L’accès aux machines virtuelles juste-à-temps (JIT) pour Pare-feu Azure est désormais en disponibilité générale. Utilisez-le pour sécuriser vos environnements protégés Pare-feu Azure en plus de vos environnements protégés par NSG.
L’accès aux machines virtuelles JIT réduit l’exposition aux attaques volumétriques réseau en fournissant un accès contrôlé aux machines virtuelles uniquement si nécessaire, à l’aide de vos règles de groupe de sécurité réseau et de Pare-feu Azure.
Lorsque vous activez l’accès JAT pour vos machines virtuelles, vous créez une stratégie qui détermine les ports à protéger, la durée pendant laquelle les ports doivent rester ouverts et les adresses IP approuvées à partir desquelles ces ports sont accessibles. Cette stratégie vous permet contrôler ce que les utilisateurs peuvent faire quand ils demandent l’accès.
Les demandes sont consignées dans le journal d’activité Azure, ce qui vous permet de surveiller et d’auditer facilement l’accès. La page juste-à-temps vous aide également à identifier rapidement les machines virtuelles existantes pour lesquelles l’accès JAT est activé et celles pour lesquelles il est recommandé.
Learn plus sur Pare-feu Azure.
Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
Le degré de sécurisation est un outil qui vous aide à évaluer la sécurité de la charge de travail. Il examine vos recommandations de sécurité et les hiérarchise de façon à ce que vous sachiez celles que vous devez appliquer en premier. Cela vous aide à épingler les vulnérabilités de sécurité les plus graves pour hiérarchiser l’investigation.
Afin de simplifier la correction des configurations de sécurité incorrectes et de vous aider à améliorer rapidement votre degré de sécurisation, nous avons ajouté une nouvelle fonctionnalité qui vous permet d’appliquer une recommandation à un lot de ressources en un seul clic.
Cette opération vous permet de sélectionner les ressources auxquelles à corriger et de lancer une action de correction qui configure le paramètre à votre place.
Gestion interlocataire
Security Center prend désormais en charge les scénarios de gestion interlocataires dans le cadre de Azure Lighthouse. Cela vous permet d’acquérir une visibilité et de gérer la posture de sécurité de plusieurs locataires dans Azure Security Center.
Apprenez-en davantage sur les expériences de gestion mutualisée.
Juillet 2019
Mises à jour des recommandations pour le réseau
Azure Security Center (ASC) a lancé de nouvelles recommandations de mise en réseau et amélioré certaines recommandations existantes. Désormais, l’utilisation d’Azure Security Center garantit une meilleure protection réseau pour vos ressources.
Juin 2019
Renforcement adaptatif du réseau - mise à la disposition générale
L’une des principales surfaces d’attaque pour les charges de travail s’exécutant dans le cloud public est celle des interconnexions avec l’Internet public. Nos clients trouvent difficile de savoir quelles règles de groupe de sécurité réseau (NSG) doivent être en place pour s’assurer que les charges de travail Azure sont disponibles uniquement pour les plages sources requises. Avec cette fonctionnalité, Security Center apprend le trafic réseau et les modèles de connectivité des charges de travail Azure et fournit des recommandations de règles de groupe de sécurité réseau pour les machines virtuelles accessibles sur Internet. Cela permet à nos clients de mieux configurer leurs stratégies d’accès réseau et de limiter leur exposition aux attaques.