Defender pour le cloud-Nouveautés de la nouvelle archive
Cette page vous fournit des informations sur les fonctionnalités, les correctifs et les dépréciations antérieures à six mois. Pour connaître les dernières mises à jour, consultez Nouveautés de Defender pour le cloud ?.
Avril 2024
Date | Catégorie | Update |
---|---|---|
16 avril | Mise à jour à venir | Modification des ID d’évaluation CIEM. Mise à jour estimée : mai 2024. |
15 avril | GA | Defender pour les conteneurs est désormais disponible pour AWS et GCP. |
3 avril | Update | La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud |
3 avril | Update | Mises à jour de Defender pour les bases de données relationnelles open source. |
Mise à jour : Modification des ID d’évaluation CIEM
16 avril 2024
Date estimée de la modification : mai 2024
Les recommandations suivantes vont être remodelées, ce qui entraînera un changement de leurs ID d’évaluation :
Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed
Disponibilité générale : Defender pour les conteneurs pour AWS et GCP
15 avril 2024
La détection des menaces du runtime et la découverte sans agent pour AWS et GCP dans Defender pour les conteneurs sont désormais en disponibilité générale. En outre, il existe une nouvelle fonctionnalité d’authentification dans AWS qui simplifie l’approvisionnement.
En savoir plus sur la matrice de prise en charge des conteneurs dans Defender pour le cloud et sur la configuration des composants de Defender pour les conteneurs.
Mise à jour : Hiérarchisation des risques
3 avril 2024
La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud. Cette fonctionnalité vous permet de vous concentrer sur les problèmes de sécurité les plus critiques dans votre environnement en hiérarchisant les recommandations en fonction des facteurs de risque de chaque ressource. Les facteurs de risque incluent l’impact potentiel du problème de sécurité en cours de violation, les catégories de risques et le chemin d’attaque dont fait partie le problème de sécurité. En savoir plus sur la hiérarchisation des risques.
Mise à jour : Defender pour les bases de données relationnelles open source
3 avril 2024
- Mises à jour postérieures à la disponibilité générale des serveurs flexibles Defender pour PostgreSQL : la mise à jour permet aux clients d’appliquer une protection pour les serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui fournit une flexibilité totale pour l’activation d’une protection en fonction des ressources ou d’une protection automatique de toutes les ressources au niveau de l’abonnement.
- Disponibilité générale et disponibilité des serveurs flexibles Defender pour MySQL : Defender pour le cloud a étendu sa prise en charge des bases de données relationnelles open source Azure en incorporant les serveurs flexibles MySQL.
Cette version comprend :
- Compatibilité des alertes avec celles existantes pour les serveurs uniques Defender pour MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
- Les mises à jour des serveurs flexibles Azure Database pour MySQL seront déployées au cours des prochaines semaines. Si l’erreur
The server <servername> is not compatible with Advanced Threat Protection
s’affiche, vous pouvez attendre la mise à jour ou ouvrir un ticket de support afin de mettre à jour le serveur plus tôt vers une version prise en charge.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources de serveur flexible are automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
Découvrez plus d’informations sur Microsoft Defender pour les bases de données relationnelles open source.
Mars 2024
Disponibilité générale : Analyse des images conteneur Windows
31 mars 2024
Nous annonçons la disponibilité générale des images conteneur Windows pour l’analyse par Defender pour les conteneurs.
Mise à jour : L’exportation continue inclut désormais les données relatives aux chemins d’attaque
25 mars 2024
Nous annonçons que l’exportation continue inclut désormais les données relatives aux chemins d’attaque. Cette fonctionnalité vous permet de diffuser des données de sécurité vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique.
Apprenez-en davantage sur l’exportation continue.
Préversion : L'analyse sans agent prend en charge les machines virtuelles chiffrées CMK dans Azure
21 mars 2024
Jusqu'à présent, l'analyse sans agent a couvert les machines virtuelles chiffrées CMK dans AWS et GCP. Avec cette mise en production, nous achevons également la prise en charge pour Azure. La capacité utilise une approche d'analyse unique pour CMK dans Azure :
- Defender pour le cloud ne gère pas la clé ou le processus de déchiffrement. Les clés et le déchiffrement sont gérés en toute transparence par Azure Compute, et sont transparents pour le service d’analyse sans agent de Defender pour le cloud.
- Les données de disque de machine virtuelle non chiffrées ne sont jamais copiées ou rechiffrées avec une autre clé.
- La clé d’origine n’est pas répliquée pendant le processus. En la purgeant, vous supprimez les données de votre machine virtuelle de production et de l’instantané temporaire de Defender pour le cloud.
Durant la préversion publique, cette capacité n’est pas activée automatiquement. Si vous utilisez Defender pour serveurs P2 ou Defender CSPM et que votre environnement dispose de machines virtuelles avec des disques chiffrés par des clés CMK, vous pouvez désormais les analyser à la recherche de vulnérabilités, de secrets et de programmes malveillants en suivant ces étapes d’activation.
- En savoir plus sur l'analyse sans agent pour les machines virtuelles
- En savoir plus sur les autorisations d'analyse sans agent
Préversion : Suggestions personnalisées basées sur KQL pour Azure
17 mars 2024
Les suggestions personnalisées basées sur KQL pour Azure sont désormais disponibles en préversion publique et prises en charge pour tous les clouds. Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées.
Mise à jour : Inclusion des suggestions DevOps dans le benchmark de la sécurité cloud Microsoft
13 mars 2024
Aujourd’hui, nous annonçons que vous pouvez désormais surveiller votre posture de sécurité et de conformité DevOps dans le point de référence de la sécurité cloud Microsoft (MCSB, Microsoft Cloud Security Benchmark) en plus d’Azure, AWS et GCP. Les évaluations DevOps font partie du contrôle Sécurité DevOps dans MCSB.
MCSB est une nouvelle infrastructure qui définit des principes fondamentaux de sécurité du cloud, basés sur des normes sectorielles et des infrastructures de conformité courantes. MCSB fournit des détails prescriptifs sur la façon d’implémenter ses recommandations de sécurité indépendantes du cloud.
En savoir plus sur les recommandations DevOps qui seront incluses et sur le point de référence de la sécurité cloud Microsoft.
Disponibilité générale : L’intégration de ServiceNow est désormais en disponibilité générale
12 mars 2024
Nous annonçons la disponibilité générale de l’intégration de ServiceNow.
Préversion : Protection des actifs critiques dans Microsoft Defender pour le cloud
12 mars 2024
Defender pour le cloud inclut désormais une fonctionnalité de niveau critique pour l’entreprise, qui utilise le moteur de ressources critiques de la Gestion de l’exposition pour la sécurité de Microsoft, afin d’identifier et de protéger les ressources importantes via la hiérarchisation des risques, l’analyse du chemin d’attaque et l’Explorateur de sécurité pour le cloud. Pour plus d’informations, consultez Protection des ressources critiques dans Microsoft Defender pour le cloud (préversion).
Mise à jour : Suggestions sur AWS et GCP améliorées avec des scripts de correction automatisés
12 mars 2024
Nous améliorons les recommandations concernant AWS et GCP avec des scripts de correction automatisés qui vous permettent d’apporter des corrections par programmation et à grande échelle. En savoir plus sur les scripts de correction automatisés.
Préversion : Normes de conformité ajoutées au tableau de bord de conformité
6 mars 2024
Suite aux commentaires des clients, nous avons ajouté des normes de conformité en préversion à Defender pour le cloud.
Consulter la liste complète des normes de conformité prises en charge
Nous travaillons en permanence sur l’ajout de nouvelles normes et leur mise à jour pour les environnements Azure, AWS et GCP.
Découvrez comment attribuer une norme de sécurité.
Mises à jour : Mises à jour Defender pour les bases de données relationnelles open source
6 mars 2024**
Date estimée de la modification : avril 2024
Mises à jour postérieures à la disponibilité générale des serveurs flexibles Defender pour PostgreSQL : la mise à jour permet aux clients d’appliquer une protection pour les serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui fournit une flexibilité totale pour l’activation d’une protection en fonction des ressources ou d’une protection automatique de toutes les ressources au niveau de l’abonnement.
Disponibilité générale et disponibilité des serveurs flexibles Defender pour MySQL : Defender pour le cloud va généraliser sa prise en charge des bases de données relationnelles open source Azure en incorporant les serveurs flexibles MySQL. Cette mise en production inclut :
- Compatibilité des alertes avec celles existantes pour les serveurs uniques Defender pour MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources de serveur flexible are automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
Découvrez plus d’informations sur Microsoft Defender pour les bases de données relationnelles open source.
Mise à jour : Modifications apportées aux paramètres des Offres de conformité et des Actions Microsoft
3 mars 2024
Date estimée de la modification : 30 septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, Offre de conformité et Actions Microsoft, vont changer.
Le tableau qui liste l’état de conformité des produits Microsoft (accessible à partir du bouton Offres de conformité dans la barre d’outils du tableau de bord de conformité réglementaire de Defender). Une fois ce bouton supprimé dans Defender pour le cloud, vous pourrez néanmoins toujours accéder à ces informations en utilisant le portail d’approbation de services.
Pour un sous-ensemble de contrôles, Actions Microsoft était accessible à partir du bouton Actions Microsoft (préversion) dans le volet des détails des contrôles. Une fois ce bouton supprimé, vous pouvez voir les actions Microsoft en accédant au Portail d’approbation de services pour FedRAMP de Microsoft, puis en accédant au document Azure System Security Plan (Plan de sécurité du système Azure).
Mise à jour : Modification de l’accès à Offres de conformité et à Actions Microsoft
3 mars 2024
Date estimée de la modification : septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, Offre de conformité et Actions Microsoft, vont changer.
Le tableau qui liste l’état de conformité des produits Microsoft (accessible à partir du bouton Offres de conformité dans la barre d’outils du tableau de bord de conformité réglementaire de Defender). Une fois ce bouton supprimé dans Defender pour le cloud, vous pourrez néanmoins toujours accéder à ces informations en utilisant le portail d’approbation de services.
Pour un sous-ensemble de contrôles, Actions Microsoft était accessible à partir du bouton Actions Microsoft (préversion) dans le volet des détails des contrôles. Une fois ce bouton supprimé, vous pouvez voir les actions Microsoft en accédant au Portail d’approbation de services pour FedRAMP de Microsoft, puis en accédant au document Azure System Security Plan (Plan de sécurité du système Azure).
Dépréciation : Mise hors service de l’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys
3 mars 2024
L’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys est en cours de mise à l’arrêt. La mise hors service sera terminé le 6 mars. D'ici là, des résultats partiels peuvent encore apparaître dans les recommandations de Qualys et les résultats de Qualys dans le graphique de sécurité. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers des Évaluations des vulnérabilités pour Azure avec Microsoft Defender Vulnerability Management. Pour en savoir plus sur la transition vers l’offre d’évaluation des vulnérabilités de conteneur avec Microsoft Defender Vulnerability Management, consultez Transition de Qualys à Microsoft Defender Vulnerability Management.
Février 2024
Date | Catégorie | Update |
---|---|---|
28 février | Abandon | Microsoft Security Code Analysis (MSCA) n’est plus opérationnel. |
28 février | Update | La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP. |
26 février | Update | Prise en charge de Defender pour les conteneurs dans le cloud |
20 février | Update | Nouvelle version du capteur Defender pour Microsoft Defender pour les conteneurs |
18 février | Update | Prise en charge de la spécification du format d’image Open Container Initiative (OCI) |
13 février | Abandon | Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy. |
5 février | Mise à jour à venir | Mise hors service du fournisseur de ressources Microsoft.SecurityDevOps Attendu : 6 mars 2024 |
Dépréciation : Microsoft Security Code Analysis (MSCA) n’est plus opérationnel
28 février 2024
En février 2021, la dépréciation de la tâche MSCA a été communiquée à tous les clients et elle est sortie du support de fin de vie depuis mars 2022. Depuis le 26 février 2024, MSCA n’est plus opérationnel officiellement.
Les clients peuvent obtenir les derniers outils de sécurité DevOps de Defender pour le cloud via Microsoft Security DevOps et d’autres outils de sécurité via GitHub Advanced Security pour Azure DevOps.
Mise à jour : La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP
28 février 2024
L’expérience mise à jour pour la gestion des stratégies de sécurité, initialement publiée en préversion pour Azure, étend sa prise en charge aux environnements multiclouds (AWS et GCP). Cette préversion inclut les éléments suivants :
- Gestion des normes de conformité réglementaire dans Defender pour Cloud dans les environnements Azure, AWS et GCP.
- Même expérience d’interface multicloud pour la création et la gestion des recommandations personnalisées Microsoft Cloud Security Benchmark(MCSB).
- L’expérience mise à jour est appliquée à AWS et GCP pour créer des recommandations personnalisées avec une requête KQL.
Mise à jour : Prise en charge de Defender pour les conteneurs dans le cloud
26 février 2024
Les fonctionnalités de détection des menaces d’Azure Kubernetes Service (AKS) dans Defender pour les conteneurs sont désormais entièrement prises en charge dans les clouds commerciaux, Azure Government et Azure China 21Vianet. Examiner les fonctionnalités prises en charge.
Mise à jour : Nouvelle version du capteur Defender pour Defender pour les conteneurs
20 février 2024
Une nouvelle version du capteur Defender pour les conteneurs est disponible. Elle inclut des améliorations de performance et de sécurité, la prise en charge des nœuds d’architecture AMD64 et Arm64 (uniquement Linux), et utilise Inspektor Gadget comme agent de collecte des processus au lieu de Sysdig. La nouvelle version étant prise en charge uniquement sur les versions de noyau Linux 5.4 et supérieures, si vous avez des versions antérieures du noyau Linux, vous devez faire une mise à niveau. La prise en charge d’Arm64 est disponible uniquement à partir d’AKS V1.29 et les versions suivantes. Pour plus d’informations, voir Systèmes d’exploitation hôtes pris en charge.
Mise à jour : Prise en charge de la spécification du format d’image Open Container Initiative (OCI)
18 février 2024
La spécification du format d’image Open Container Initiative (OCI) est désormais prise en charge par l’évaluation des vulnérabilités basée sur la Gestion des vulnérabilités Microsoft Defender pour les clouds AWS, Azure et GCP.
Dépréciation : Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy
13 février 2024
L’évaluation des vulnérabilités des conteneurs basée sur Trivy a été mise hors service. Les clients qui utilisaient auparavant cette évaluation doivent procéder à une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur la Gestion des vulnérabilités Microsoft Defender. Pour savoir comment procéder à la mise à niveau, consultez Comment faire pour mettre à niveau l’évaluation des vulnérabilités Trivy mise hors service vers l’évaluation des vulnérabilités AWS basée sur la Gestion des vulnérabilités Microsoft Defender ?
Mise à jour : Mise hors service du fournisseur de ressources Microsoft.SecurityDevOps
5 février 2024
Date estimée de modification: 6 mars 2024
Microsoft Defender pour le Cloud met hors service le fournisseur de ressources Microsoft.SecurityDevOps
qui a été utilisé lors de la préversion publique de la sécurité DevOps, après une migration vers le fournisseur Microsoft.Security
existant. Ce changement a pour but d’améliorer l’expérience client en réduisant le nombre de fournisseurs de ressources associés aux connecteurs DevOps.
Les clients qui utilisent encore la version de l’API 2022-09-01-preview sous Microsoft.SecurityDevOps
pour interroger les données de sécurité DevOps de Defender pour le cloud seront concernés. Pour éviter toute interruption de service, les clients devront effectuer une mise à niveau vers la nouvelle version de l’API 2023-09-01-preview sous le fournisseur Microsoft.Security
.
Les clients qui utilisent actuellement la sécurité DevOps de Microsoft Defender pour le cloud à partir du Portail Azure ne seront pas affectés.
Janvier 2024
Mise à jour : Nouvel insight pour les référentiels actifs dans Cloud Security Explorer
31 janvier 2024
Un nouvel insight pour les référentiels Azure DevOps a été ajouté à Cloud Security Explorer pour indiquer si les référentiels sont actifs. Cet insight indique que le référentiel de code n’est pas archivé ou désactivé, ce qui signifie que l’accès en écriture au code, aux builds et aux demandes de tirage est toujours disponible pour les utilisateurs. Les référentiels archivés et désactivés peuvent être considérés comme de priorité inférieure, car le code n’est généralement pas utilisé dans les déploiements actifs.
Pour tester la requête via Cloud Security Explorer, utilisez ce lien de requête.
Mise à jour : Modification de la tarification associée à la détection des menaces pour les conteneurs multicloud
30 janvier 2024**
Date estimée de la modification : avril 2024
Quand la détection des menaces pour les conteneurs multiclouds passera en disponibilité générale, elle ne sera plus gratuite. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.
Mise à jour : Application de la valeur de sécurité DevOps Premium de Defender CSPM
29 janvier 2024**
Date estimée de la modification : 7 mars 2024
Defender pour le cloud commence à appliquer la vérification du plan Defender CSPM pour la valeur de sécurité DevOps Premium à compter du 7 mars 2024. Si vous avez activé le plan CSPM Defender sur un environnement cloud (Azure, AWS, GCP) au sein du même locataire où vos connecteurs DevOps sont créés, vous continuerez à recevoir des fonctionnalités DevOps premium sans frais supplémentaires. Si vous n’êtes pas un client CSPM Defender, vous avez jusqu’au 7 mars 2024 pour activer CSPM Defender avant de perdre l’accès à ces fonctionnalités de sécurité. Pour activer CSPM Defender sur un environnement cloud connecté avant le 7 mars 2024, suivez la documentation d’activation décrite ici.
Pour plus d’informations sur les fonctionnalités de sécurité DevOps disponibles dans les plans CSPM de base et Defender CSPM, consultez notre documentation décrivant la disponibilité des fonctionnalités.
Pour plus d’informations sur la sécurité DevOps dans Defender pour le cloud, consultez la documentation de présentation.
Pour plus d’informations sur les capacités de sécurité du code vers le cloud dans Defender CSPM, consultez Comment protéger vos ressources avec Defender CSPM.
Préversion : Posture de conteneur sans agent pour GCP dans Defender pour les conteneurs et Defender CSPM
24 janvier 2024
Les nouvelles capacités de posture de conteneur sans agent (préversion) sont disponibles pour GCP, notamment les évaluations des vulnérabilités pour GCP avec la Gestion des vulnérabilités Microsoft Defender. Pour plus d’informations sur toutes les capacités, consultez Posture de conteneur sans agent dans Defender CSPM et Capacités sans agent dans Defender pour les conteneurs.
Vous pouvez également en savoir plus sur la gestion de la posture de conteneur sans agent pour multicloud dans ce billet de blog.
Préversion : Analyse des programmes malveillants sans agent pour les serveurs
16 janvier 2024
Nous annonçons la publication de la détection de programmes malveillants sans agent de Defender pour le cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP, comme nouvelle fonctionnalité incluse dans Defender pour serveurs Plan 2.
La détection des programmes malveillants sans agent pour les machines virtuelles est désormais incluse dans notre plateforme d’analyse sans agent. L’analyse des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter des fichiers malveillants. Toutes les menaces détectées déclenchent des alertes de sécurité directement dans Defender pour le cloud et Defender XDR, où elles peuvent être examinées et corrigées. Le scanneur de programmes malveillants sans agent complète la couverture basée sur l’agent avec une deuxième couche de détection des menaces avec intégration sans friction et n’a aucun effet sur les performances de votre ordinateur.
En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Disponibilité générale de l’intégration de Defender pour le cloud à Microsoft Defender XDR
15 janvier 2024
Nous annonçons la disponibilité générale (GA) de l’intégration entre Defender pour le cloud et Microsoft Defender XDR (anciennement Microsoft 365 Defender).
Cette intégration apporte des capacités de protection de cloud compétitives dans le centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender pour le cloud et l’intégration Defender XDR, les équipes du SOC peuvent découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
En savoir plus sur les alertes et incidents dans Microsoft Defender XDR.
Mise à jour : Rôle Azure intégré d’analyse de machine virtuelle sans agent
14 janvier 2024**
Date estimée du changement : février 2024
Dans Azure, l’analyse sans agent pour les machines virtuelles utilise un rôle intégré (appelé opérateur de numérisation de machines virtuelles) avec les autorisations minimales nécessaires pour analyser et évaluer vos machines virtuelles pour détecter les problèmes de sécurité. Afin de fournir en permanence des suggestions pertinentes sur l'état de l'analyse et la configuration des machines virtuelles contenant des volumes chiffrés, une mise à jour des autorisations de ce rôle est prévue. La mise à jour inclut l’ajout de l’autorisation Microsoft.Compute/DiskEncryptionSets/read
. Cette autorisation permet uniquement d'améliorer l'identification de l'utilisation des disques chiffrés dans les machines virtuelles. Il ne fournit à Microsoft Defender pour le cloud aucune fonctionnalité supplémentaire pour déchiffrer ou accéder au contenu de ces volumes chiffrés au-delà des méthodes de chiffrement déjà prises en charge avant cette modification. Cette modification devrait avoir lieu en février 2024 et aucune action n’est requise de votre part.
Mise à jour : Les annotations de demande de tirage (pull request) de sécurité DevOps activées par défaut pour les connecteurs Azure DevOps
12 janvier 2024
La sécurité DevOps expose les résultats de sécurité sous forme d’annotations dans les demandes de tirage (pull request) pour aider les développeurs à prévenir et à corriger les vulnérabilités de sécurité potentielles et les erreurs de configuration avant d’entrer en production. Depuis le 12 janvier 2024, les annotations de demande de tirage sont désormais activées par défaut pour tous les référentiels Azure DevOps nouveaux et existants connectés à Defender pour le cloud.
Par défaut, les annotations de demande de tirage sont activées uniquement pour les résultats IaC (Infrastructure as Code) de gravité élevée. Les clients devront toujours configurer Microsoft Security for DevOps (MSDO) afin qu’ils s’exécutent dans les builds de demande de tirage et activent la stratégie de validation de build pour les builds CI dans les paramètres du référentiel Azure DevOps. Les clients peuvent désactiver la fonctionnalité d’annotation de demande de tirage pour des référentiels spécifiques à partir des options de configuration du référentiel du panneau de sécurité DevOps.
En savoir plus sur l’activation des annotations de demande de tirage pour Azure DevOps.
Chemin d’accès de la mise hors service de l’évaluation des vulnérabilités intégrée de Defender pour serveurs (Qualys)
9 janvier 2024
Date estimée de la modification : mai 2024
La solution d’évaluation des vulnérabilités intégrée à Defender pour serveurs et basée sur la technologie Qualys est sur le point d’être mise hors service, cette opération devant être finalisée le 1er mai 2024. Si vous utilisez actuellement la solution d’évaluation des vulnérabilités optimisée par Qualys, vous devez planifier votre transition vers la solution de gestion des vulnérabilités Microsoft Defender intégrée.
Pour plus d’informations sur notre décision d’unifier notre offre d’évaluation des vulnérabilités avec Microsoft Defender Vulnerability Management, vous pouvez lire ce billet de blog.
Vous pouvez également consulter les questions courantes sur la transition vers la solution Microsoft Defender Vulnerability Management.
Mise à jour : configuration réseau multicloud de Defender pour le cloud
3 janvier 2024
Date estimée de la modification : mai 2024
À partir de mai 2024, nous retirerons les anciennes adresses IP associées à nos services de découverte multi-cloud afin de tenir compte des améliorations et de garantir une expérience plus sûre et plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à nos services, vous devez mettre à jour votre liste d'adresses IP avec les nouvelles plages indiquées dans les sections suivantes. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement.
La liste est applicable à tous les plans et suffisante pour que l'offre de base (gratuite) du CSPM soit pleinement opérationnelle.
Adresses IP à mettre hors service :
- GCP de découverte : 104.208.29.200, 52.232.56.127
- AWS de découverte : 52.165.47.219, 20.107.8.204
- Intégration : 13.67.139.3
Nouvelles plages d’adresses IP spécifiques à une région à ajouter :
- Europe Ouest : 52.178.17.48/28
- Europe Nord : 13.69.233.80/28
- USA Centre : 20.44.10.240/28
- USA Est 2 : 20.44.19.128/28
Décembre 2023
Consolidation des noms de niveau 2 de service de Defender pour le cloud
30 décembre 2023
Nous allons consolider les noms de niveau 2 de service hérités pour tous les plans Defender pour le cloud en un seul nouveau nom de niveau 2 de service, Microsoft Defender pour le cloud.
Aujourd’hui, il existe quatre noms de niveau 2 de service : Azure Defender, Advanced Threat Protection, Advanced Data Security et Security Center. Les différents compteurs de Microsoft Defender pour le cloud sont regroupés sous ces noms de niveau 2 de service distincts, ce qui crée une certaine complexité lors de l’utilisation de Cost Management + Facturation et d’autres outils liés à la facturation Azure.
Le changement simplifie le processus d’examen des frais de Defender for Cloud et offre une meilleure clarté dans l’analyse des coûts.
Pour assurer une transition fluide, nous avons pris des mesures pour maintenir la cohérence du nom du produit/service, de la référence SKU et des ID de compteur. Les clients concernés recevront une notification de service Azure informationnelle pour communiquer les modifications.
Les organisations qui récupèrent des données de coût en appelant nos API devront mettre à jour les valeurs dans leurs appels pour prendre en charge la modification. Par exemple, dans cette fonction de filtre, les valeurs ne retournent aucune information :
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
ANCIEN nom de niveau 2 de service | NOUVEAU nom de niveau 2 de service | Niveau de service - Niveau 4 de service (aucune modification) |
---|---|---|
Advanced Data Security | Microsoft Defender pour le cloud | Defender pour SQL |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour les registres de conteneurs |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour DNS |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Key Vault |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Kubernetes |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour MySQL |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour PostgreSQL |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Resource Manager |
Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour le stockage |
Azure Defender | Microsoft Defender pour le cloud | Defender pour la gestion de surface d’attaque externe |
Azure Defender | Microsoft Defender pour le cloud | Defender pour Azure Cosmos DB |
Azure Defender | Microsoft Defender pour le cloud | Defender pour les conteneurs |
Azure Defender | Microsoft Defender pour le cloud | Defender pour MariaDB |
Security Center | Microsoft Defender pour le cloud | Defender pour App Service |
Security Center | Microsoft Defender pour le cloud | Defender pour les serveurs |
Security Center | Microsoft Defender pour le cloud | Defender CSPM |
Defender pour serveurs au niveau de la ressource en disponibilité générale
24 décembre 2023
Il est désormais possible de gérer Defender pour serveurs sur des ressources spécifiques au sein de votre abonnement, ce qui vous offre un contrôle complet sur votre stratégie de protection. Grâce à cette fonctionnalité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l’abonnement.
Découvrez plus d’informations sur l’activation de Defender pour serveurs au niveau de la ressource.
Mise hors service des connecteurs classiques pour le multicloud
21 décembre 2023
L’expérience du connecteur multicloud classique est mise hors service et les données ne sont plus diffusées en continu vers des connecteurs créés via ce mécanisme. Ces connecteurs classiques ont été utilisés pour connecter les recommandations AWS Security Hub et GCP Security Command Center à Defender pour le cloud et intégrer AWS EC2s à Defender pour serveurs.
La valeur totale de ces connecteurs a été remplacée par l’expérience des connecteurs de sécurité multi-cloud natifs, qui est en disponibilité générale pour AWS et GCP depuis mars 2022 sans coût supplémentaire.
Les nouveaux connecteurs natifs sont inclus dans votre plan et offrent une expérience d’intégration automatisée avec des options d’intégration de comptes uniques, de comptes multiples (avec Terraform) et d’intégration organisationnelle avec provisionnement automatique pour les plans Defender suivants : fonctionnalités CSPM de base gratuites, Gestion de la posture de sécurité cloud (CSPM) Defender, Defender pour serveurs, Defender pour SQL et Defender pour les conteneurs.
Publication du workbook Couverture
21 décembre 2023
Le workbook Couverture vous permet de suivre quels plans Defender pour le cloud sont actifs sur quelles parties de vos environnements. Ce workbook peut vous aider à protéger entièrement vos environnements et vos abonnements. En ayant accès à des informations détaillées sur la couverture, vous pouvez aussi identifier les domaines qui peuvent nécessiter d’autres protections et prendre des mesures pour traiter ces domaines.
En savoir plus sur le workbook Couverture.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender dans Azure Government et Azure exploité par 21Vianet
14 décembre 2023
L’évaluation des vulnérabilités pour des images conteneur Linux dans des registres de conteneurs Azure basés sur Gestion des vulnérabilités de Microsoft Defender est publiée en disponibilité générale dans Azure Government et Azure exploité par 21Vianet. Cette nouvelle publication est disponible sous les plans Defender pour les conteneurs et Defender pour les registres de conteneurs.
- Dans le cadre de ce changement, de nouvelles recommandations ont été publiées pour la disponibilité générale et incluses dans le calcul du score sécurisé. Passer en revue les recommandations de sécurité nouvelles et mises à jour
- L’analyse des images conteneur basée sur Gestion des vulnérabilités de Microsoft Defender entraîne désormais des frais en fonction de la tarification du plan. Notez que les images analysées à la fois par notre offre va conteneur alimentée par Qualys et l’offre Container VA alimentée par Gestion des vulnérabilités Microsoft Defender ne seront facturées qu’une seule fois.
Les recommandations qualys pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continuent d’être disponibles pour les clients qui ont activé Defender pour conteneurs sur l’un de leurs abonnements avant cette version. Les nouveaux clients qui intègrent Defender pour les conteneurs après cette publication voient seulement les nouvelles recommandations de l’évaluation des vulnérabilités des conteneurs basées sur Gestion des vulnérabilités de Microsoft Defender.
Préversion publique de la prise en charge par Windows de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender
14 décembre 2023
La prise en charge des images Windows a été publiée en préversion publique dans le cadre de l’évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender pour les registres de conteneurs Azure et Azure Kubernetes Services.
Mise hors service de l’évaluation de la vulnérabilité des conteneurs AWS basée sur Trivy
13 décembre 2023
L’évaluation des vulnérabilités des conteneurs basée sur Trivy est maintenant en cours de mise hors service, qui sera complètement effective le 13 février. Cette fonctionnalité est désormais déconseillée et continuera d’être disponible pour les clients existants qui l’utilisent jusqu’au 13 février. Nous encourageons les clients utilisant cette fonctionnalité à effectuer une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur Gestion des vulnérabilités de Microsoft Defender d’ici au 13 février.
Posture de conteneur sans agent pour AWS dans Defender pour les conteneurs et Defender CSPM (préversion)
13 décembre 2023
Les nouvelles fonctionnalités de la posture de conteneur sans agent (préversion) sont disponibles pour AWS. Pour plus d’informations, consultez Posture de conteneur sans agent dans Defender CSPM et Fonctionnalités sans agent dans Defender pour les conteneurs.
Disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans Defender pour le plan de bases de données relationnelles open source
13 décembre 2023
Nous annonçons la publication en disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans le plan Microsoft Defender pour les bases de données relationnelles open source. Microsoft Defender pour les bases de données relationnelles open source offre une protection avancée contre les menaces pour les serveurs flexibles PostgreSQL, en détectant les activités anormales et en générant des alertes de sécurité.
Découvrez comment Activer Microsoft Defender pour les bases de données relationnelles open source.
L’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender prend désormais en charge les images minimales (Distroless) Google
12 décembre 2023
Les évaluations des vulnérabilités de conteneur alimentées par Gestion des vulnérabilités Microsoft Defender ont été étendues avec une couverture supplémentaire pour les packages de système d’exploitation Linux, prenant désormais en charge Google Ditroless.
Pour obtenir la liste de tous les systèmes d’exploitation pris en charge, consultez Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender.
Novembre 2023
Quatre alertes seront déconseillées
30 novembre 2023
Dans le cadre de notre processus d'amélioration de la qualité, les alertes de sécurité suivantes seront déconseillées :
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)
Disponibilité générale de l’analyse des secrets sans agent dans Defender pour serveurs et Defender CSPM
27 novembre 2023
L’analyse des secrets sans agent améliore la sécurité des machines virtuelles basées sur le cloud en identifiant les secrets en texte clair sur les disques de machine virtuelle. L’analyse des secrets sans agent fournit des informations complètes pour aider à classer par ordre de priorité les résultats détectés et à atténuer les risques des mouvements latéraux avant qu’ils ne se produisent. Cette approche proactive empêche l’accès non autorisé, ce qui garantit que votre environnement cloud reste sécurisé.
Nous annonçons la disponibilité générale de l’analyse des secrets sans agent, qui est incluse dans les plans Defender pour serveurs P2 et Defender CSPM.
L’analyse des secrets sans agent utilise des API cloud pour effectuer des captures instantanées de vos disques, en conduisant une analyse hors bande qui garantit qu’il n’y a aucun effet sur les performances de votre machine virtuelle. L’analyse des secrets sans agent étend la couverture offerte par Defender pour le cloud aux ressources cloud dans les environnements Azure, AWS et GCP afin d’améliorer votre sécurité cloud.
Avec cette publication, les fonctionnalités de détection de Defender pour le cloud prennent désormais en charge d’autres types de base de données, les URL signées du magasin de données, les jetons d’accès, etc.
Découvrez comment gérer les secrets avec l’analyse des secrets sans agent.
Activer la gestion des autorisations avec Microsoft Defender pour le cloud (préversion)
22 novembre 2023
Microsoft propose désormais des solutions CNAPP (Protection des applications natives Cloud) et CIEM (Gestion des droits d’utilisation de l’infrastructure cloud) avec Microsoft Defender pout le cloud (CNAPP) et Gestion des autorisations Microsoft Entra (CIEM).
Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d’accès inutilisées ou excessives dans Microsoft Defender pour le cloud.
Les équipes de sécurité peuvent conduire les contrôles d’accès les moins privilégiés pour les ressources cloud et recevoir des recommandations actionnables pour résoudre les risques d’autorisations dans les environnements cloud Azure, AWS et GCP dans le cadre de leur CSPM (Defender Cloud Security Posture Management), sans aucune exigence de licence supplémentaire.
Découvrez comment activer la gestion des autorisations dans Microsoft Defender pour le cloud (préversion).
Intégration de Microsoft Defender pour le cloud avec ServiceNow
22 novembre 2023
ServiceNow est désormais intégré à Microsoft Defender pour le cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender pour le cloud afin de hiérarchiser la correction des recommandations qui affectent votre entreprise. Microsoft Defender pour le cloud s’intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer/afficher des tickets ServiceNow (liés aux recommandations) de Microsoft Defender pour le cloud.
Vous pouvez en savoir plus sur l’intégration de Defender pour le cloud avec ServiceNow.
Disponibilité générale du processus d’autoapprovisionnement pour les serveurs SQL sur le plan des machines
20 novembre 2023
En préparation à la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender pour le cloud a publié un processus d’approvisionnement automatique Azure Monitoring Agent (AMA) ciblé sur SQL Server. Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients. Il permet également d’activer des machines virtuelles Azure SQL et des serveurs SQL avec Arc au niveau des ressources.
Les clients qui utilisent le processus d’approvisionnement automatique MMA doivent migrer vers le nouveau processus d’approvisionnement automatique de l’agent Azure Monitor pour SQL Server sur des machines. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Disponibilité générale de Defender pour les API
15 novembre 2023
Nous annonçons la disponibilité générale de Microsoft Defender pour les API. Defender pour les API est conçu pour protéger les organisations contre les menaces de sécurité des API.
Defender pour les API permet aux organisations de protéger leurs API et leurs données contre les acteurs malveillants. Les organisations peuvent investiguer et améliorer leur position de sécurité des API, classer par ordre de priorité les correctifs de vulnérabilités, et détecter et répondre rapidement aux menaces actives en temps réel. Les organisations peuvent également intégrer des alertes de sécurité directement dans leur plateforme de gestion des informations et des événements de sécurité (SIEM), par exemple Microsoft Sentinel, pour investiguer et trier les problèmes.
Vous pouvez découvrir comment protéger vos API avec Defender pour les API. Vous pouvez aussi en savoir plus en consultant À propos de Microsoft Defender pour les API.
Vous pouvez également lire ce blog pour en savoir plus sur l’annonce de la disponibilité générale.
Microsoft Defender pour le Cloud est maintenant intégré à Microsoft 365 Defender (préversion)
15 novembre 2023
Les entreprises peuvent protéger leurs ressources et appareils cloud avec la nouvelle intégration entre Microsoft Defender pour le cloud et Microsoft Defender XDR. Cette intégration relie les ressources cloud, les appareils et les identités, qui nécessitaient auparavant plusieurs expériences.
Cette intégration apporte également des fonctionnalités de protection de cloud compétitives dans le Centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender XDR, les équipes du Centre des opérations de sécurité (SOC) peuvent facilement découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
Voici les principaux avantages :
Une interface simple à utiliser pour les équipes SOC : avec les alertes et les corrélations cloud de Defender pour le cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d’une seule interface, ce qui améliore considérablement l’efficacité opérationnelle.
Un scénario histoire d’attaque : les clients sont en mesure de comprendre entièrement le scénario d’attaque, y compris leur environnement cloud, à l’aide de corrélations prédéfinies qui combinent des alertes de sécurité provenant de plusieurs sources.
Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge les nouvelles entités cloud propres à Microsoft Defender pour le cloud, comme des ressources cloud. Les clients peuvent faire correspondre des entités de machine virtuelle à des entités d’appareil, fournissant une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui y ont été déclenchés.
API unifiée pour les produits de sécurité Microsoft : les clients peuvent désormais exporter les données de leurs alertes de sécurité dans les systèmes de leur choix en utilisant une même API, car les alertes et incidents Microsoft Defender pour le cloud font désormais partie de l’API publique de Microsoft Defender XDR.
L’intégration entre Defender pour le cloud et Microsoft Defender XDR est disponible pour tous les clients Defender pour le cloud nouveaux et existants.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs alimentée par la Gestion des vulnérabilités de Microsoft Defender (MDVM) dans Defender pour les conteneurs et Defender pour les registres de conteneurs
15 novembre 2023
L’évaluation des vulnérabilités (VA) pour des images de conteneurs Linux dans des registres de conteneurs Azure alimentées par la Gestion des vulnérabilités de Microsoft Defender (MDVM) est publiée pour la disponibilité générale (GA) dans Defender pour les conteneurs et Defender pour les registres de conteneurs.
Dans le cadre de cette modification, les recommandations suivantes ont été publiées pour la disponibilité générale et renommées, et sont désormais incluses dans le calcul du score sécurisé :
Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
---|---|---|---|
Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (optimisé par l’agent Gestion des vulnérabilités Microsoft Defender) | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | Les évaluations des vulnérabilités des images conteneur analysent votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution. | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L’analyse de l’image conteneur alimentée par MDVM entraîne désormais des frais en fonction de la tarification du plan.
Remarque
Les images analysées à la fois par notre offre de conteneur VA alimentée par Qualys et l’offre de conteneur VA alimentée par MDVM, ne seront facturées qu’une seule fois.
Les recommandations Qualys ci-dessous pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continueront d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur l’un de leurs abonnements avant le 15 novembre. Les nouveaux clients qui intègrent Defender pour les conteneurs après le 15 novembre voient uniquement les nouvelles recommandations d’évaluation des vulnérabilités de conteneur optimisées par Gestion des vulnérabilités de Microsoft Defender.
Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
---|---|---|---|
Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Modification des noms de recommandations d’évaluations des vulnérabilités de conteneur
Les recommandations relatives aux évaluations des vulnérabilités d’un conteneur suivantes ont été renommées :
Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
---|---|---|---|
Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Les résultats de vulnérabilité des images de registre de conteneurs élastiques doivent être résolus | Les vulnérabilités (optimisées par Trivy) doivent être résolues sur les images de conteneur de registre AWS | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Hiérarchisation des risques désormais disponible pour les recommandations
15 novembre 2023
Vous pouvez maintenant hiérarchiser vos recommandations de sécurité en fonction du niveau de risque qu’elles présentent, en tenant compte à la fois de l’exploitabilité et de l’effet commercial potentiel de chaque problème de sécurité sous-jacent.
En organisant vos recommandations en fonction de leur niveau de risque (critique, élevé, moyen, faible), vous pouvez résoudre les risques les plus critiques au sein de votre environnement et hiérarchiser efficacement la correction des problèmes de sécurité en fonction du risque réel tel que l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et les chemins d’attaque potentiels qui pourraient être atténués en résolvant les recommandations.
En savoir plus sur la hiérarchisation des risques.
Analyse du chemin d'attaque : nouveau moteur et améliorations importantes
15 novembre 2023
Nous publions des améliorations apportées aux fonctionnalités d’analyse des chemins d’attaque dans Microsoft Defender pour le cloud.
Nouveau moteur – l’analyse du chemin d’attaque a un nouveau moteur, qui utilise l’algorithme de recherche de chemin pour détecter tous les chemins d’attaque possibles qui existent dans votre environnement cloud (en fonction des données que nous avons dans notre graphique). Nous pouvons trouver de nombreux chemins d’attaque supplémentaires dans votre environnement et détecter des modèles d’attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
Améliorations – les améliorations suivantes sont publiées :
- Hiérarchisation des risques : liste classée par ordre de priorité des chemins d’attaque en fonction du risque (exploitabilité et impact sur l’entreprise).
- Correction améliorée – identification des recommandations spécifiques qui doivent être résolues pour briser réellement la chaîne.
- Chemins d’attaque interclouds – détection des chemins d’attaque qui sont des chemins d’accès interclouds (chemins qui commencent dans un cloud et se terminent dans un autre).
- MITRE – mappage de tous les chemins d’attaque au framework MITRE.
- Expérience utilisateur actualisée – expérience actualisée avec des fonctionnalités plus fortes : filtres avancés, recherche et regroupement de chemins d’attaque pour faciliter le triage.
Découvrez comment identifier et corriger les chemins d’accès d’attaques
Modifications apportées au schéma de table Azure Resource Graph d'Attack Path
15 novembre 2023
Le schéma de table Azure Resource Graph du chemin d’attaque est mis à jour. La propriété attackPathType
est supprimée et d’autres propriétés sont ajoutées.
Version en disponibilité générale de la prise en charge de GCP dans defender CSPM
15 novembre 2023
Nous annonçons la version en disponibilité générale du graphique contextuel de sécurité cloud et de l’analyse du chemin d’attaque de Defender CSPM avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de Defender CSPM pour une visibilité complète et une sécurité cloud intelligente sur les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan Defender CSPM.
Remarque
La facturation de la version en disponibilité générale du support GCP dans Defender CSPM commencera le 1er février 2024.
Version en disponibilité générale du tableau de bord de sécurité des données
15 novembre 2023
Le tableau de bord de la sécurité des données est désormais disponible en version en disponibilité générale dans le cadre du plan CSPM Defender.
Le tableau de bord de sécurité des données vous permet d’afficher le patrimoine de données de votre organisation, les risques liés aux données sensibles et les insights sur vos ressources de données.
Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version en disponibilité générale de la découverte de données sensibles pour les bases de données
15 novembre 2023
La découverte de données sensibles pour les bases de données managées, notamment les bases de données Azure SQL et les instances AWS RDS (toutes les saveurs SGBDR) est désormais en disponibilité générale et permet la découverte automatique de bases de données critiques qui contiennent des données sensibles.
Pour activer cette fonctionnalité dans tous les magasins de données pris en charge sur vos environnements, vous devez activer Sensitive data discovery
dans Defender CSPM. Découvrez comment activer la découverte de données sensibles dans Defender CSPM.
Vous pouvez également découvrir comment la découverte de données sensibles est utilisée dans la posture de sécurité prenant en charge les données.
Annonce de la préversion publique : Nouvelle visibilité étendue de la sécurité des données multicloud dans Microsoft Defender pour le cloud.
La nouvelle version de la recommandation pour rechercher les mises à jour système manquantes est maintenant en disponibilité générale
6 novembre 2023
Vous n’avez plus besoin d’un agent supplémentaire sur vos machines virtuelles Azure et vos machines Azure Arc pour que les machines aient toutes les dernières mises à jour système critiques ou de sécurité.
La nouvelle recommandation des mises à jour système, System updates should be installed on your machines (powered by Azure Update Manager)
dans le contrôle Apply system updates
, est basée sur le Gestionnaire de mise à jour et est désormais en disponibilité générale. La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et machines Azure Arc au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous guide pour faire une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire de mise à jour.
Les anciennes et nouvelles versions des recommandations pour rechercher les mises à jour système manquantes seront disponibles jusqu’en août 2024, c’est-à-dire quand l’ancienne version est dépréciée. Les deux recommandations : System updates should be installed on your machines (powered by Azure Update Manager)
et System updates should be installed on your machines
sont disponibles sous le même contrôle : Apply system updates
et ont les mêmes résultats. Par conséquent, il n’y a pas de duplication de l’effet sur le degré de sécurisation.
Nous vous recommandons de migrer vers la nouvelle recommandation et de supprimer l’ancienne, en la désactivant dans l’initiative intégrée de Defender pour le cloud dans la stratégie Azure.
La recommandation [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
est également en disponibilité générale et constitue un prérequis, ce qui a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le correctif disponible.
Pour appliquer la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
pour corriger la recommandation.
Remarque
Activer des évaluations périodiques pour les machines avec Arc dont Defender pour serveurs Plan 2 n’est pas activé sur leur abonnement ou connecteur associé, (soumis au tarif d’Azure Update Manager). Les machines avec Arc qui ont Defender pour serveurs Plan 2 activé sur leur abonnement ou connecteurs associés, ou toute machine virtuelle Azure, sont éligibles à cette fonctionnalité sans coût supplémentaire.
Octobre 2023
Modification de la gravité de l’alerte de sécurité du contrôle d’application adaptatif
Date d’annonce : 30 octobre 2023
Dans le cadre du processus d’amélioration de la qualité des alertes de sécurité de Defender pour serveurs et dans le cadre de la fonctionnalité contrôles d’application adaptatifs, la gravité de l’alerte de sécurité suivante passe à « Informational » :
Alerte [Type d’alerte] | Description d'alerte |
---|---|
La violation de la stratégie de contrôle d’application adaptative a été auditée.[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application. |
Pour continuer à afficher cette alerte dans la page « Alertes de sécurité » dans le portail Microsoft Defender pour le cloud, modifiez la gravité du filtre d’affichage par défaut pour inclure des alertes d’information dans la grille.
Révisions de Gestion des API Azure hors connexion supprimées de Defender pour les API
25 octobre 2023
Defender pour les API a mis à jour sa prise en charge des révisions d’API de Gestion des API Azure. Les révisions hors connexion n’apparaissent plus dans l’inventaire d’API Defender intégré et ne semblent plus être intégrées à Defender pour les API. Les révisions hors connexion n’autorisent pas l’envoi d’un trafic vers elles et ne présentent aucun risque du point de vue de la sécurité.
Recommandations de gestion de la posture de sécurité DevOps disponibles en préversion publique
19 octobre 2023
Les nouvelles recommandations de gestion de posture DevOps sont désormais disponibles en préversion publique pour tous les clients disposant d’un connecteur pour Azure DevOps ou GitHub. La gestion de la posture DevOps permet de réduire la surface d’attaque des environnements DevOps en découvrant les faiblesses des configurations de sécurité et des contrôles d’accès. En savoir plus sur la gestion de la posture DevOps.
Publication de CIS Azure Foundations Benchmark v2.0.0 dans le tableau de bord conformité réglementaire
18 octobre 2023
Microsoft Defender pour le cloud prend désormais en charge le dernier Benchmark CIS Azure Security Foundations - version 2.0.0 dans le tableau de bord de la conformité réglementaire, ainsi qu’une initiative de stratégie intégrée dans Azure Policy. La publication de la version 2.0.0 dans Microsoft Defender pour le cloud est le résultat d’une collaboration entre Microsoft, le Center for Internet Security (CIS) et les communautés d’utilisateurs. La version 2.0.0 élargit considérablement l’étendue de l’évaluation, qui inclut désormais plus de 90 stratégies Azure intégrées et succède aux versions antérieures 1.4.0 et 1.3.0 et 1.0 de Microsoft Defender pour le cloud et Azure Policy. Pour plus d’informations, vous pouvez consulter ce billet de blog.
Septembre 2023
Passer à la limite quotidienne de Log Analytics
Azure Monitor offre la possibilité de définir une limite quotidienne sur les données ingérées dans vos espaces de travail Log Analytics. Toutefois, les événements de sécurité Defender pour le cloud ne sont actuellement pas pris en charge dans ces exclusions.
La limite quotidienne Log Analytics n’exclut plus l’ensemble de données suivant :
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- syslog
Tous les types de données facturables seront limités si la limite quotidienne est atteinte. Cette modification améliore votre capacité à contenir entièrement les coûts liés à une ingestion de données plus élevée que prévu.
Apprenez-en plus sur espaces de travail avec Microsoft Defender pour le cloud.
Tableau de bord de la sécurité des données disponible en préversion publique
27 septembre 2023
Le tableau de bord de la sécurité des données est désormais disponible en préversion publique dans le cadre du plan CSPM Defender. Le tableau de bord de la sécurité des données est un tableau de bord interactif centré sur les données qui met en lumière les risques importants pour les données sensibles, en hiérarchisant les alertes et les chemins d’attaque éventuels pour les données sur les charges de travail cloud hybrides. Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version préliminaire : nouveau processus d’approvisionnement automatique pour SQL Server plan sur les machines
21 septembre 2023
Microsoft Monitoring Agent (MMA) sera déprécié en août 2024. Defender pour le cloud a mis à jour sa stratégie en remplaçant MMA par la publication d’un processus d’approvisionnement automatique de l’agent de surveillance Azure SQL Server ciblé.
Pendant la préversion, les clients qui utilisent le processus de provisionnement automatique MMA avec l’option Agent Azure Monitor (préversion) sont priés de migrer vers le nouveau processus de provisionnement automatique Azure Monitoring Agent pour SQL Server sur des machines (préversion). Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Pour plus d’informations, consultez Migrer vers le processus de provisionnement automatique Azure Monitoring Agent ciblé sur SQL Server.
Alertes GitHub Advanced Security pour Azure DevOps dans Defender pour le cloud
20 septembre 2023
Vous pouvez maintenant afficher GitHub Advanced Security pour les alertes Azure DevOps (GHAzDO) relatives à CodeQL, aux secrets et aux dépendances dans Defender pour le cloud. Les résultats sont affichés sur la page DevOps et dans Recommandations. Pour voir ces résultats, intégrez vos dépôts avec GHAzDO à Defender pour le cloud.
En savoir plus sur GitHub Advanced Security pour Azure DevOps.
Fonctionnalité exemptée désormais disponible pour les recommandations de Defender pour API
11 septembre 2023
Vous pouvez désormais exempter les recommandations pour les recommandations de sécurité Defender pour API suivantes.
Recommandation | Description et stratégie associée | Niveau de gravité |
---|---|---|
(Préversion) Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation des points de terminaison d’API inutilisés peut présenter un risque de sécurité. Il s’agit peut-être d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui ont été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | Faible |
(Préversion) Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Pour les API publiées dans Gestion des API Azure, cette recommandation évalue l’exécution de l’authentification par le biais des clés d’abonnement, du jeton JWT et du certificat client configurés dans Gestion des API Azure. Si aucun de ces mécanismes d’authentification n’est exécuté pendant l’appel d’API, l’API reçoit cette recommandation. | Élevée |
En savoir plus sur les recommandations d’exemption dans Defender pour le cloud.
Créer des exemples d’alertes pour les détections de Defender pour API
11 septembre 2023
Vous pouvez maintenant générer des exemples d’alertes pour les détections de sécurité qui ont été publiées dans le cadre de la préversion publique de Defender pour API. Découvrez plus d’informations sur la génération d’exemples d’alertes dans Defender pour le cloud.
Préversion : l’évaluation des vulnérabilités des conteneurs optimisée par l’agent Gestion des vulnérabilités Microsoft Defender prend désormais en charge l’analyse lors de l’extraction
6 septembre 2023
L’évaluation des vulnérabilités des conteneurs alimentée par Gestion des vulnérabilités Microsoft Defender prend désormais en charge un déclencheur supplémentaire pour l’analyse d’images extraites d’un ACR. Ce déclencheur nouvellement ajouté fournit une couverture supplémentaire pour les images actives en plus des déclencheurs existants qui analysent les images envoyées à un ACR au cours des 90 derniers jours et les images en cours d’exécution dans AKS.
Ce nouveau déclencheur commencera à être déployé aujourd’hui et devrait être disponible pour tous les clients d’ici la fin du mois de septembre.
Format de nommage des normes de Center for Internet Security (CIS) en matière de conformité réglementaire mis à jour
6 septembre 2023
Le format de nommage des benchmarks de base CIS (Center for Internet Security) dans le tableau de bord de conformité passe de [Cloud] CIS [version number]
à CIS [Cloud] Foundations v[version number]
. Reportez-vous au tableau suivant :
Nom actuel | Nouveau nom |
---|---|
Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Découvrez comment améliorer votre conformité réglementaire.
Découverte de données sensibles pour les bases de données PaaS (préversion)
5 septembre 2023
Les fonctionnalités de la posture de sécurité sensible aux données pour la découverte de données sensibles sans friction pour les bases de données PaaS (bases de données Azure SQL et instances Amazon RDS de tout type) sont désormais en préversion publique. Cette préversion publique vous permet de créer une carte de vos données critiques où qu’elles se trouvent et du type des données qui se trouvent dans ces bases de données.
La découverte de données sensibles pour les bases de données Azure et AWS ajoute à la taxonomie et à la configuration partagées, qui sont déjà disponibles publiquement pour les ressources de stockage d’objets cloud (Stockage Blob Azure, compartiments AWS S3 et compartiments de stockage GCP) et fournit une expérience de configuration et d’activation unique.
Les bases de données sont analysées chaque semaine. Si vous activez sensitive data discovery
, la découverte s’exécute dans les 24 heures. Les résultats peuvent être affichés dans le Cloud Security Explorer ou en examinant les nouveaux chemins d’attaque pour les bases de données managées comprenant des données sensibles.
La posture de sécurité sensible aux données pour les bases de données est disponible via le plan Defender CSPM et est automatiquement activée sur les abonnements où l’option sensitive data discovery
est activée.
Pour en savoir plus sur la posture de sécurité sensible aux données, consultez les articles suivants :
- Prise en charge et conditions préalables pour la posture de sécurité prenant en charge les données
- Activer la posture de sécurité sensible aux données
- Explorer les risques concernant les données sensibles
Disponibilité générale (GA) : analyse des programmes malveillants dans Defender pour le stockage
1 septembre 2023
L’analyse des programmes malveillants est désormais en disponibilité générale (GA) en tant que module complémentaire de Defender pour le stockage. L'analyse des malwares dans Defender pour le stockage permet de protéger vos comptes de stockage contre les contenus malveillants en effectuant une analyse complète des programmes malveillants sur les contenus téléchargés en temps quasi réel, grâce aux fonctionnalités de Microsoft Defender Antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. La fonctionnalité d’analyse des programmes malveillants est une solution SaaS sans agent qui permet une configuration à grande échelle et prend en charge l’automatisation de la réponse à grande échelle.
En savoir plus sur l’analyse des programmes malveillants dans Defender pour le stockage.
L’analyse des programmes malveillants est facturée en fonction de votre utilisation des données et du budget. La facturation commence le 3 septembre 2023. Pour plus d’informations, consultez la page de tarification.
Si vous utilisez le plan précédent, vous devez migrer de manière proactive vers le nouveau plan afin d’activer l’analyse des programmes malveillants.
Lire le billet de blog de l’annonce de Microsoft Defender pour le cloud.
Août 2023
Les mises à jour en août sont les suivantes :
Defender pour conteneurs :découverte sans agent pour Kubernetes
30 août 2023
Nous sommes ravis de présenter Defender pour conteneurs :découverte sans agent pour Kubernetes. Cette version marque une étape importante en matière de sécurité des conteneurs, vous permettant d’obtenir des insights avancés et des fonctionnalités d’inventaire complètes pour les environnements Kubernetes. La nouvelle offre de conteneur est optimisée par le graphique de sécurité contextuelle Defender pour le cloud. Voici ce que vous pouvez attendre de cette dernière mise à jour :
- Découverte sans agent pour Kubernetes
- Fonctionnalités d’inventaire complètes
- Insights de sécurité spécifiques à Kubernetes
- Meilleure chasse aux risques avec Cloud Security Explorer
La découverte sans agent pour Kubernetes est désormais disponible pour tous les clients Defender pour conteneurs. Vous pouvez commencer à utiliser ces fonctionnalités avancées dès aujourd’hui. Nous vous encourageons à mettre à jour vos abonnements pour que l’ensemble complet d’extensions soit activé et tirer parti des derniers ajouts et fonctionnalités. Visitez le volet Environnement et paramètres de votre abonnement Defender pour conteneurs pour activer l’extension.
Remarque
L’activation des derniers ajouts n’entraîne pas de nouveaux coûts pour les clients Defender pour conteneurs actifs.
Pour plus d’informations, consultez Présentation de la sécurité de conteneur de Microsoft Defender pour les conteneurs.
Publication de recommandation : Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles
22 août 2023
Une nouvelle recommandation dans Defender pour le stockage a été publiée. Cette recommandation garantit que Defender pour stockage est activé au niveau de l’abonnement avec des fonctionnalités d’analyse des programmes malveillants et de détection des menaces de données sensibles.
Recommandation | Description |
---|---|
Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. Avec une configuration simple sans agent à grande échelle, lorsqu’il est activé au niveau de l’abonnement, tous les comptes de stockage existants et nouvellement créés sous cet abonnement sont automatiquement protégés. Vous pouvez également exclure des comptes de stockage spécifiques des abonnements protégés. |
Cette nouvelle recommandation remplace la recommandation actuelle Microsoft Defender for Storage should be enabled
(clé d’évaluation 1be22853-8ed1-4005-9907-ddad64cb1417). Toutefois, cette recommandation sera toujours disponible dans les clouds de gouvernement Azure.
En savoir plus sur Microsoft Defender pour stockage.
Les propriétés étendues dans les alertes de sécurité Defender pour le cloud sont masquées dans les journaux d’activité
17 août 2023
Nous avons récemment modifié la façon dont les alertes de sécurité et les journaux d’activité sont intégrés. Pour mieux protéger les informations sensibles sur les clients, nous n’incluons plus ces informations dans les journaux d’activité. Au lieu de cela, nous le masquons avec des astérisque. Toutefois, ces informations sont toujours disponibles via l’API alertes, l’exportation continue et le portail Defender pour le cloud.
Les clients qui s’appuient sur les journaux d’activité pour exporter des alertes vers leurs solutions SIEM doivent envisager d’utiliser une autre solution, car ce n’est pas la méthode recommandée pour exporter les alertes de sécurité Defender pour le cloud.
Pour obtenir des instructions sur l’exportation d’alertes de sécurité Defender pour le cloud vers SIEM, SOAR et d’autres applications tierces, consultez Stream alertes vers une solution SIEM, SOAR ou IT Service Management.
Préversion de la prise en charge de GCP dans Defender CSPM
15 août 2023
Nous annonçons la préversion du graphique contextuel de sécurité cloud et de l’analyse du chemin d’attaque de Defender CSPM avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de Defender CSPM pour une visibilité complète et une sécurité cloud intelligente sur les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan Defender CSPM.
Nouvelles alertes de sécurité dans Defender pour serveurs Plan 2 : détection des attaques potentielles qui abusent des extensions de machines virtuelles Azure
7 août 2023
Cette nouvelle série d’alertes se concentre sur la détection des activités suspectes des extensions de machine virtuelle Azure et fournit des insights sur les tentatives d’attaquants de compromettre et d’effectuer des activités malveillantes sur vos machines virtuelles.
Microsoft Defender pour serveurs peut désormais détecter l’activité suspecte des extensions de machine virtuelle, ce qui vous permet d’obtenir une meilleure couverture de la sécurité des charges de travail.
Les extensions de machine virtuelle Azure sont de petites applications qui exécutent un post-déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :
- Pour la collecte et la surveillance des données.
- Pour l’exécution du code et le déploiement de configuration avec des privilèges élevés.
- Pour réinitialiser les informations d’identification et créer des utilisateurs administratifs.
- Pour le chiffrement des disques.
Voici un tableau des nouvelles alertes.
Alerte (type d’alerte) | Description | Tactiques MITRE | Gravité |
---|---|---|---|
Échec suspect lors de l’installation de l’extension GPU dans votre abonnement (préversion) (VM_GPUExtensionSuspiciousFailure) |
Intention suspecte d’installer une extension GPU sur des machines virtuelles non prises en charge. Cette extension doit être installée sur les machines virtuelles équipées d’un processeur graphique et, dans ce cas, les machines virtuelles ne sont pas équipées de ce type. Ces échecs peuvent être vus lorsque des adversaires malveillants exécutent plusieurs installations de cette extension à des fins de crypto-exploration. | Impact | Moyenne |
Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) Cette alerte a été publiée en juillet 2023. |
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’installation suspecte d’une extension GPU. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels. | Impact | Faible |
Run Command avec un script suspect a été détecté sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousScript) |
Une Run Command avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Exécution | Élevé |
Une utilisation suspecte non autorisée de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousFailure) |
L’utilisation suspecte non autorisée de Run Command a échoué et a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent tenter d’utiliser Run Command pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Resource Manager Azure. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Exécution | Moyenne |
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousUsage) |
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur vos machines virtuelles via Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Exécution | Faible |
Une utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles (préversion) (VM_SuspiciousMultiExtensionUsage) |
L’utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de ces extensions pour la collecte de données, la surveillance du trafic réseau, etc. dans votre abonnement. Cet usage est considéré comme suspect, car il n’a pas été couramment observé auparavant. | Reconnaissance | Moyenne |
Une installation suspecte d’extensions de chiffrement de disque a été détectée sur vos machines virtuelles (préversion) (VM_DiskEncryptionSuspiciousUsage) |
Une installation suspecte d'extensions de chiffrement de disque a été détectée sur vos machines virtuelles en analysant les opérations d'Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de l’extension de chiffrement de disque pour déployer des chiffrements de disque complets sur vos machines virtuelles via le Resource Manager Azure dans le but d’effectuer une activité de ransomware. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant et en raison du nombre élevé d’installations d’extension. | Impact | Moyenne |
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles (préversion) (VM_VMAccessSuspiciousUsage) |
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles. Les attaquants peuvent abuser de l’extension d’accès aux machines virtuelles pour accéder à et compromettre vos machines virtuelles disposant de privilèges élevés en réinitialisant l’accès ou en gérant les utilisateurs administratifs. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Persistance | Moyenne |
Desired State Configuration extension (DSC) avec un script suspect a été détecté sur votre machine virtuelle (préversion) (VM_DSCExtensionSuspiciousScript) |
L’extension Desired State Configuration (DSC) avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Exécution | Élevé |
Une utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles (préversion) (VM_DSCExtensionSuspiciousUsage) |
L’utilisation suspecte de plusieurs extensions Desired State Configuration (DSC) a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Impact | Faible |
L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle (préversion) (VM_CustomScriptExtensionSuspiciousCmd) (Cette alerte existe déjà et a été améliorée avec des méthodes de logique et de détection améliorées.) |
Une extension de script personnalisée avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l'extension de script personnalisé pour exécuter un code malveillant avec des privilèges élevés sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Exécution | Élevé |
Consultez les alertes basées sur les extensions dans Defender pour serveurs.
Pour obtenir la liste complète des alertes, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.
Mises à jour du modèle d’entreprise et des tarifs pour les plans Defender pour le cloud
1er août 2023
Microsoft Defender pour le cloud possède trois plans qui offrent une protection de la couche de service :
Defender pour Key Vault
Defender pour Resource Manager
Defender pour DNS
Ces plans sont passés à un nouveau modèle d’entreprise avec des prix et des emballages différents pour répondre aux commentaires des clients concernant la prévisibilité des dépenses et la simplification de la structure de coût globale.
Résumé des modifications de modèle d’entreprise et de tarification :
Les clients existants de Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise et leur tarification actuels, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et la nouvelle tarification.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement et par mois. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle d’abonnement de Defender pour Resource Manager.
Les clients existants de Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise et leur tarification actuels, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et la nouvelle tarification.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement et par mois. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle d’abonnement de Defender pour Resource Manager.
- Defender pour Key Vault : ce plan a un prix fixe par coffre et par mois, sans frais de dépassement. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle par chambre forte de Defender for Key Vault
- Defender pour DNS : les clients de Defender pour serveurs Plan 2 ont accès à la valeur Defender pour DNS dans le cadre de Defender pour serveurs Plan 2 sans frais supplémentaires. Les clients qui ont à la fois Defender pour serveur Plan 2 et Defender pour DNS ne sont plus facturés pour Defender pour DNS. Defender pour DNS n’est plus disponible en tant que plan autonome.
Pour en savoir plus sur la tarification de ces plans, consultez la page de tarification de Defender pour le cloud.
Juillet 2023
Les mises à jour du mois de juillet incluent :
Préversion de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender
31 juillet 2023
Nous annonçons la publication de l’évaluation des vulnérabilités (VA) pour les images conteneur Linux dans les registres de conteneurs Azure alimentés par Gestion des vulnérabilités Microsoft Defender dans Defender pour conteneurs et Defender pour les registres de conteneurs. La nouvelle offre VA de conteneurs sera fournie parallèlement à notre offre VA de conteneurs existante avec Qualys dans Defender pour les conteneurs et Defender pour les registres de conteneurs, et inclura des réanalyses quotidiennes des images de conteneurs, des informations d’exploitabilité, une prise en charge du système d’exploitation et des langages de programmation (SCA) et bien plus encore.
Cette nouvelle offre commencera à être déployée aujourd'hui et devrait être disponible pour tous les clients d'ici le 7 août.
En savoir plus sur l’évaluation des vulnérabilités de conteneur avec Gestion des vulnérabilités Microsoft Defender.
La posture de conteneur sans agent dans CSPM Defender est désormais en disponibilité générale
30 juillet 2023
Les fonctionnalités de posture de conteneur sans agent sont désormais en disponibilité générale dans le cadre du plan Defender CSPM (Cloud Security Posture Management).
En savoir plus sur la posture de conteneur sans agent dans CSPM Defender.
Gestion des mises à jour automatiques de Defender pour point de terminaison pour Linux
20 juillet 2023
Par défaut, Defender pour le cloud tente de mettre à jour vos agents Defender pour point de terminaison pour Linux intégrés à l’extension MDE.Linux
. Avec cette version, vous pouvez gérer ce paramètre et désactiver la configuration par défaut pour gérer manuellement vos cycles de mise à jour.
Découvrez comment gérer la configuration des mises à jour automatiques pour Linux.
Analyse des secrets sans agent pour les machines virtuelles dans Defender pour serveurs P2 &GPSI Defender
18 juillet 2023
L’analyse des secrets est désormais disponible dans le cadre de l’analyse sans agent dans Defender pour serveurs P2 et Defender CSPM. Cette fonctionnalité permet de détecter les secrets non managés et non sécurisés enregistrés sur des machines virtuelles, dans des ressources Azure ou AWS, qui peuvent être utilisés à des fins de mouvement latéral dans le réseau. En cas de détection de secrets, Defender pour le cloud peut vous aider à établir des priorités et à prendre des mesures correctives exploitables en vue de réduire le risque de mouvement latéral, tout cela sans nuire aux performances de votre machine.
Pour plus d’informations sur la protection de vos secrets avec l’analyse des secrets, consultez Gérer les secrets avec l’analyse des secrets sans agent.
Nouvelle alerte de sécurité dans Defender pour serveurs plan 2 : détection des attaques potentielles à l’aide des extensions de pilotes GPU de machine virtuelle Azure
12 juillet 2023
Cette alerte se concentre sur l’identification des activités suspectes à l’aide des extensions de pilote GPU de machine virtuelle Azure et fournit des insights sur les tentatives de compromission de vos machines virtuelles par des attaquants. L’alerte cible les déploiements suspects d’extensions de pilotes GPU. Ces extensions sont souvent utilisées par les acteurs de menace pour utiliser toute la puissance de la carte graphique et effectuer un cryptojacking.
Nom d’affichage de l’alerte (Type d’alerte) |
Description | Gravité | Tactique MITRE |
---|---|---|---|
Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) |
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté l’installation suspecte d’une extension GPU dans votre machine virtuelle. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. | Faible | Impact |
Pour obtenir la liste complète des alertes, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.
Prise en charge de la désactivation des résultats de vulnérabilité spécifiques
9 juillet 2023
Publication de la prise en charge pour désactiver les résultats des vulnérabilités pour vos images de registre de conteneurs ou pour l’exécution d’images dans le cadre d’une posture de conteneur sans agent. Si votre organisation a besoin d’ignorer un résultat de vulnérabilité sur votre image de registre de conteneurs plutôt que de le corriger, vous pouvez désactiver cette fonction. Les résultats désactivés n’ont pas d’effet sur votre degré de sécurisation, et ne génèrent aucun bruit indésirable.
Découvrez comment désactiver les résultats d’évaluation des vulnérabilités sur les images du registre de conteneurs.
La posture de sécurité prenant en charge les données est désormais en disponibilité générale
1er juillet 2023
La posture de sécurité prenant en charge les données dans Microsoft Defender pour le cloud est désormais en disponibilité générale. Elle aide les clients à réduire les risques liés aux données et à réagir aux violations de données. À l’aide de la posture de sécurité prenant en compte les données, vous pouvez :
- Découvrez automatiquement les ressources de données sensibles dans Azure et AWS.
- Évaluer la sensibilité des données, l’exposition des données et la façon dont les données circulent entre les organisations.
- Découvrir de manière proactive et continue les risques susceptibles d’entraîner des violations de données.
- Détectez des activités suspectes pouvant indiquer des menaces continues pour des ressources de données sensibles
Pour plus d’informations, consultez Posture de sécurité prenant en charge les données dans Microsoft Defender pour le cloud.
Juin 2023
Les mises à jour du mois de juin incluent :
Intégration simplifiée de comptes multiclouds grâce à des paramètres améliorés
26 juin 2023
Defender pour le cloud a amélioré l’expérience d’intégration pour inclure une nouvelle interface utilisateur simplifiée et des instructions en plus de nouvelles fonctionnalités qui vous permettent d’intégrer vos environnements AWS et GCP tout en fournissant un accès à des fonctionnalités d’intégration avancées.
Pour les organisations ayant adopté Hashicorp Terraform pour l’automatisation, Defender pour le cloud offre désormais la possibilité d’utiliser Terraform comme méthode de déploiement avec AWS CloudFormation ou GCP Cloud Shell. Vous pouvez désormais personnaliser les noms de rôles requis lors de la création de l’intégration. Vous pouvez également choisir entre les options suivantes :
Accès par défaut : permet à Defender pour le cloud d’analyser vos ressources et d’inclure automatiquement de futures fonctionnalités.
Accès avec des privilèges minimum : accorde à Defender pour le cloud l’accès aux autorisations actuelles nécessaires pour les plans sélectionnés uniquement.
Si vous sélectionnez les autorisations avec des privilèges minimum, vous recevez uniquement des notifications relatives à de nouveaux rôles et autorisations nécessaires pour que l’intégrité du connecteur soit complètement opérationnelle.
Defender pour le cloud vous permet de différencier vos comptes cloud par leur nom natif des fournisseurs cloud. Par exemple, des alias de compte AWS et des noms de projet GCP.
Prise en charge des points de terminaison privés pour l’analyse des programmes malveillants dans Defender pour le stockage
25 juin 2023
La prise en charge des points de terminaison privés est désormais disponible dans le cadre de la préversion publique de l’analyse des programmes malveillants dans Defender pour le stockage. Cette fonctionnalité permet d’activer l’analyse des programmes malveillants sur des comptes de stockage utilisant des points de terminaison privés. Aucune configuration supplémentaire n’est nécessaire.
L’analyse des programmes malveillants (Préversion) dans Defender pour le stockage permet de protéger vos comptes de stockage contre du contenu malveillant en effectuant une analyse complète de ce dernier sur du contenu téléchargé en quasi-temps réel, grâce aux fonctionnalités de Microsoft Defender Antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. Il s’agit d’une solution SaaS sans agent qui permet une configuration simple à grande échelle, sans aucune maintenance, et prend en charge l’automatisation de la réponse à grande échelle.
Les points de terminaison privés fournissent une connectivité sécurisée à vos services Stockage Azure, éliminant efficacement l’exposition à Internet public, et sont considérés comme une meilleure pratique en matière de sécurité.
Pour les comptes de stockage avec des points de terminaison privés pour lesquels l’analyse des programmes malveillants est déjà activée, vous devez désactiver et activer le plan avec l’analyse des programmes malveillants pour que celle-ci fonctionne.
Si vous souhaitez obtenir plus d’informations sur l’utilisation des points de terminaison privés dans Defender pour le stockage et mieux protéger vos services de stockage.
Recommandation de version pour la préversion : Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution
21 juin 2023
Une nouvelle recommandation de conteneur dans GPSI Defender alimentée par Gestion des vulnérabilités Microsoft Defender est publiée pour la préversion :
Recommandation | Description | Clé d’évaluation |
---|---|---|
Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) (préversion) doivent être résolues sur les images de conteneur en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Cette nouvelle recommandation remplace la recommandation actuelle du même nom, fournie par Qualys, seulement dans CSPM Defender (remplaçant la clé d’évaluation 41503391-efa5-47ee-9282-4eff6131462c).
Des mises à jour de contrôle ont été apportées aux normes NIST 800-53 en matière de conformité réglementaire
15 juin 2023
Les normes NIST 800-53 (à la fois R4 et R5) ont récemment été mises à jour avec des modifications de contrôle apportées à la conformité réglementaire dans Microsoft Defender pour le cloud. Les contrôles gérés par Microsoft ont été supprimés de la norme et les informations sur l’implémentation de la responsabilité Microsoft (dans le cadre du modèle de responsabilité partagée du cloud) sont désormais disponibles uniquement dans le volet d’informations du contrôle sous Actions Microsoft.
Ces contrôles étaient auparavant calculés en tant que contrôles réussis. Vous pourriez donc constater une baisse significative de votre score de conformité pour des normes NIST entre avril 2023 et mai 2023.
Si vous souhaitez obtenir plus d’informations sur les contrôles de conformité, consultez Tutoriel : Améliorer votre conformité aux normes – Microsoft Defender pour le cloud.
La planification de la migration cloud, avec une analyse de rentabilité Azure Migrate, comprend désormais Defender pour le cloud
11 juin 2023
Vous pouvez désormais découvrir les économies éventuelles à réaliser en matière de sécurité en appliquant Defender pour le cloud dans le contexte d’une analyse de rentabilité Azure Migrate.
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais en disponibilité générale
7 juin 2023
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais en disponibilité générale. La configuration Express offre une expérience d’intégration simplifiée pour les évaluations des vulnérabilités SQL à l’aide d’une configuration en un clic (ou d’un appel d’API). Aucun paramètre ou dépendance supplémentaire n’est nécessaire sur les comptes de stockage managé.
Consultez ce blog pour en savoir plus sur la configuration Express.
Vous pouvez découvrir les différences entre la configuration express et la configuration classique.
Étendues supplémentaires ajoutées aux connecteurs Azure DevOps existants
6 juin 2023
Defender pour DevOps a ajouté les étendues supplémentaires suivantes à l’application Azure DevOps (ADO) :
Gestion avancée de la sécurité:
vso.advsec_manage
. Qui est nécessaire pour vous permettre d’activer, de désactiver et de gérer GitHub Advanced Security pour ADO.Mappage de conteneurs :
vso.extension_manage
,vso.gallery_manager
; Qui est nécessaire pour vous permettre de partager l’extension de décorateur avec l’organisation ADO.
Seuls les nouveaux clients de Defender pour DevOps qui tentent d’intégrer des ressources ADO à Microsoft Defender pour le cloud sont concernés par ce changement.
L’intégration directe (sans Azure Arc) à Defender pour serveurs est désormais en disponibilité générale
5 juin 2023
Auparavant, Azure Arc devait intégrer des serveurs non Azure à Defender pour serveurs. Toutefois, avec la dernière version, vous pouvez également intégrer vos serveurs locaux à Defender pour les serveurs en utilisant uniquement l’agent Microsoft Defender for Endpoint.
Cette nouvelle méthode simplifie le processus d’intégration pour les clients axés sur la protection de point de terminaison de base et vous permet de tirer parti de la facturation basée sur la consommation de Defender pour serveurs pour les ressources cloud et noncloud. L’option d’intégration directe via Defender for Endpoint est désormais disponible, avec la facturation des machines intégrées à compter du 1er juillet.
Si vous souhaitez obtenir plus d’informations, consultez Connecter vos machines non-Azure à Microsoft Defender pour le cloud avec Defender for Endpoint.
Remplacement de la détection basée sur un agent par la détection sans agent pour des fonctionnalités de conteneurs dans la gestion de la posture de sécurité cloud (CSPM) Defender
4 juin 2023
Avec les fonctionnalités de la posture de conteneur sans agent disponibles dans la gestion de la posture de sécurité cloud (CSPM) Defender, les fonctionnalités de détection basées sur un agent sont désormais mises hors service. Si vous utilisez actuellement des fonctionnalités de conteneur dans la gestion de la posture de sécurité cloud (CSPM) Defender, vérifiez que les extensions appropriées sont activées pour continuer bénéficier de la valeur liée au conteneur des nouvelles fonctionnalités sans agent, comme les chemins d’attaque liés aux conteneurs, les insights et les inventaires. (L’activation des extensions peut prendre jusqu’à 24 heures).
Si vous souhaitez obtenir plus d’informations, consultez Posture de conteneur sans agent.
Mai 2023
Les mises à jour du mois de mai incluent :
- Nouvelle alerte dans Defender pour Key Vault.
- Prise en charge de l’analyse sans agent des disques chiffrés dans AWS.
- Modifications des conventions d’affectation de noms JIT (juste-à-temps) dans Defender pour le cloud.
- Intégration de régions AWS sélectionnées.
- Modifications apportées aux recommandations d’identité.
- Dépréciation des normes héritées dans le tableau de bord de conformité.
- Mise à jour de deux recommandations Defender pour DevOps pour inclure les résultats de l’analyse Azure DevOps
- Nouveau paramètre par défaut pour la solution d’évaluation des vulnérabilités Defender pour serveurs.
- Possibilité de télécharger un rapport CSV des résultats de votre requête Cloud Security Explorer (préversion).
- Publication de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender.
- Changement de nom des recommandations de conteneur optimisées par Qualys.
- Mise à jour de Defender pour DevOps GitHub Application.
- Passez aux annotations de demande de tirage Defender pour DevOps dans les référentiels Azure DevOps qui incluent désormais l’infrastructure en tant que configurations incorrectes du code.
Nouvelle alerte dans Defender pour Key Vault
Alerte (type d’alerte) | Description | Tactiques MITRE | severity |
---|---|---|---|
Accès inhabituel au coffre de clés à partir d’une adresse IP suspecte (non Microsoft ou externe) (KV_UnusualAccessSuspiciousIP) |
Un utilisateur ou un principal de service a tenté d’accéder de manière inhabituelle à des coffres de clés à partir d’une adresse IP non Microsoft au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Moyenne |
Pour toutes les alertes disponibles, consultez Alertes pour Azure Key Vault.
L’analyse sans agent prend désormais en charge les disques chiffrés dans AWS
L’analyse sans agent pour les machines virtuelles prend désormais en charge le traitement des instances avec des disques chiffrés dans AWS, à l’aide de CMK et de PMK.
Cette prise en charge étendue augmente la couverture et la visibilité de votre patrimoine cloud sans impacter vos charges de travail en cours d’exécution. La prise en charge des disques chiffrés conserve la même méthode sans impact sur les instances en cours d’exécution.
- Pour les nouveaux clients qui activent l’analyse sans agent dans AWS, la couverture des disques chiffrés est intégrée et prise en charge par défaut.
- Pour les clients existants qui ont déjà un connecteur AWS dont l’analyse sans agent est activée, vous devez réappliquer la pile CloudFormation à vos comptes AWS intégrés pour mettre à jour et ajouter les nouvelles autorisations requises pour traiter les disques chiffrés. Le modèle CloudFormation mis à jour inclut de nouvelles affectations qui permettent à Defender pour le cloud de traiter des disques chiffrés.
Vous pouvez en savoir plus sur les autorisations utilisées pour analyser les instances AWS.
Pour réappliquer votre pile CloudFormation :
- Accédez aux paramètres d’environnement Defender pour le cloud et ouvrez votre connecteur AWS.
- Accédez à l’onglet Configurer l’accès.
- Sélectionnez Cliquez pour télécharger le modèle CloudFormation.
- Accédez à votre environnement AWS et appliquez le modèle mis à jour.
En savoir plus sur l’analyse sans agent et sur l’activation de l’analyse sans agent dans AWS.
Conventions d’affectation de noms des règles JIT (juste-à-temps) révisées dans Defender pour le cloud
Nous avons révisé les règles JIT (juste-à-temps) pour qu’elles s’alignent sur la marque Microsoft Defender pour le cloud. Nous avons modifié les conventions d’affectation de noms pour les règles Pare-feu Azure et NSG (groupe de sécurité réseau).
Les modifications sont répertoriées ci-dessous :
Description | Ancien nom | Nouveau nom |
---|---|---|
Noms de règles JIT (autoriser et refuser) dans NSG (groupe de sécurité réseau) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
Descriptions des règles JIT dans NSG | Règle d’accès réseau JIT ASC | Règle d’accès réseau JIT MDC |
Noms des collections de règles de pare-feu JIT | ASC-JIT | MDC-JIT |
Noms des règles de pare-feu JIT | ASC-JIT | MDC-JIT |
Découvrez comment sécuriser vos ports de gestion avec un accès juste-à-temps.
Intégrer des régions AWS sélectionnées
Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins en matière de conformité, vous pouvez désormais sélectionner les régions AWS à analyser quand vous ajoutez ou modifiez un connecteur cloud. Vous pouvez à présent analyser des régions AWS sélectionnées ou toutes les régions disponibles (par défaut) quand vous intégrez vos comptes AWS à Defender pour le cloud. Pour en savoir plus, consultez l’article Connecter vos comptes AWS à Microsoft Defender pour le cloud.
Changements multiples apportés aux recommandations sur l’identité
Les recommandations suivantes sont désormais publiées en disponibilité générale et remplacent les recommandations V1 qui sont désormais déconseillées.
Version en disponibilité générale (GA) des recommandations d’identité V2
La version V2 des recommandations relatives aux identités introduit les améliorations suivantes :
- L’étendue de l’analyse a été agrandie pour inclure toutes les ressources Azure, pas seulement les abonnements. Cela permet aux administrateurs de sécurité d’afficher les attributions de rôles par compte.
- Des comptes spécifiques peuvent désormais être exemptés de l’évaluation. Les comptes tels que les comptes de secours ou de service peuvent être exclus par les administrateurs de sécurité.
- La fréquence d’analyse a été augmentée de 24 heures à 12 heures pour garantir une meilleure actualisation et une plus grande précision des recommandations d’identité.
Les recommandations de sécurité suivantes sont proposées en disponibilité générale et remplacent les recommandations V1 :
Recommandation | Clé d’évaluation |
---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | 6240402e-f77c-46fa-9060-a7ce53997754 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | 20606e75-05c4-48c0-9d97-add6daa2109a |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Dépréciation des recommandations d’identité V1
Les recommandations de sécurité suivantes sont désormais déconseillées :
Recommandation | Clé d’évaluation |
---|---|
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur les abonnements. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur les abonnements. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur les abonnements. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
Les comptes externes disposant d’autorisations d’écriture doivent être supprimés des abonnements. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
Les comptes externes disposant d’autorisations de lecture doivent être supprimés des abonnements. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
Les comptes déconseillés disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | e52064aa-6853-e252-a11e-dffc675689c2 |
Les comptes déconseillés doivent être supprimés des abonnements | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Nous vous recommandons de mettre à jour vos scripts personnalisés, workflows et règles de gouvernance afin qu’ils correspondent aux recommandations V2.
Dépréciation des normes héritées dans le tableau de bord de conformité
PCI DSS v3.2.1 et SOC TSP hérités ont été entièrement déconseillés dans le tableau de bord de conformité Defender pour le cloud et remplacés par l’initiative SOC 2 Type 2 et les normes de conformité basées sur une initiative PCI DSS v4. Nous avons totalement déprécié la prise en charge de la norme/initiative PCI DSS dans Microsoft Azure exploité par 21Vianet.
Découvrez comment personnaliser l’ensemble de normes dans votre tableau de bord de conformité réglementaire.
Defender pour DevOps inclut des résultats d’analyse Azure DevOps
Defender pour DevOps Code et IaC a étendu sa couverture de recommandations dans Microsoft Defender pour le cloud afin d’inclure les résultats de sécurité Azure DevOps pour les deux recommandations suivantes :
Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved
Auparavant, la couverture de l’analyse de sécurité Azure DevOps ne comprenait que la recommandation relative aux secrets.
Apprenez-en davantage sur Defender pour DevOps.
Nouveau paramètre par défaut pour la solution d’évaluation des vulnérabilités Defender pour serveurs
Les solutions d’évaluation des vulnérabilités sont essentielles pour protéger les ordinateurs contre les cyberattaques et les violations de données.
Gestion des vulnérabilités Microsoft Defender est désormais activé comme solution intégrée par défaut pour tous les abonnements protégés par Defender pour les serveurs qui n’ont pas encore de solution VA sélectionnée.
Si une solution VA est activée sur l’une de ses machines virtuelles, aucune modification n’est apportée et Gestion des vulnérabilités Microsoft Defender ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Télécharger un rapport CSV des résultats de votre requête de l’Explorateur de sécurité cloud (préversion)
Defender pour le cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de votre requête de l’Explorateur de sécurité cloud.
Après avoir exécuté une recherche d’une requête, vous pouvez sélectionner le bouton Télécharger le rapport CSV (préversion) dans la page Explorateur de Sécurité cloud de Defender pour le cloud.
Découvrez comment créer des requêtes avec l’explorateur de sécurité du cloud
La mise en production de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender
Nous annonçons la publication des images d’évaluation des vulnérabilités pour Linux dans les registres de conteneurs Azure alimentés par Gestion des vulnérabilités Microsoft Defender dans GPSI Defender. Cette version inclut l’analyse quotidienne des images. Les résultats utilisés dans l’Explorateur de sécurité et les chemins d’attaque s’appuient sur l’évaluation des vulnérabilités De Microsoft Defender, au lieu du scanneur Qualys.
La recommandation Container registry images should have vulnerability findings resolved
existante est remplacée par une nouvelle recommandation :
Recommandation | Description | Clé d’évaluation |
---|---|---|
Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (optimisé par l’agent Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | dbd0cb49-b563-45e7-9724-889e79fa648 est remplacé par c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
En savoir plus sur la posture des conteneurs sans agent dans GPSI Defender.
En savoir plus sur les Gestion des vulnérabilités Microsoft Defender.
Renommer les recommandations de conteneur optimisées par Qualys
Les recommandations de conteneur actuelles dans Defender pour les conteneurs seront renommées comme suit :
Recommandation | Description | Clé d’évaluation |
---|---|---|
Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Mise à jour de l’application GitHub Defender pour DevOps
Microsoft Defender pour DevOps apporte constamment des modifications et des mises à jour qui demandent aux clients Defender pour DevOps ayant intégré leurs environnements GitHub à Defender pour le cloud de fournir des autorisations dans le cadre de l’application déployée dans leur organisation GitHub. Ces autorisations sont nécessaires pour garantir un comportement optimal de toutes les fonctionnalités de sécurité de Defender pour DevOps.
Nous vous suggérons de mettre à jour les autorisations dès que possible pour garantir un accès continu à toutes les fonctionnalités disponibles de Defender pour DevOps.
Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation, sélectionnez Applications GitHub. Recherchez votre organisation, puis sélectionnez Examiner la demande.
Vous recevrez un e-mail automatisé du support GitHub. Dans l’e-mail, sélectionnez Examiner la demande d’autorisation pour accepter ou rejeter cette modification.
Une fois que vous avez suivi l’une de ces options, vous accédez à l’écran de révision où vous devez examiner la demande. Sélectionnez Accepter de nouvelles autorisations pour approuver la demande.
Si vous avez besoin d’aide pour mettre à jour des autorisations, vous pouvez créer une demande de support Azure.
Vous pouvez également en savoir plus sur Defender pour DevOps. Si une solution VA est activée sur l’une de ses machines virtuelles, aucune modification n’est apportée et Gestion des vulnérabilités Microsoft Defender ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Les annotations de demande de tirage (pull request) Defender pour DevOps dans des référentiels Azure DevOps incluent désormais des configurations incorrectes de l’infrastructure en tant que code
Defender pour DevOps a étendu sa couverture d’annotations de demande de tirage (PR) dans Azure DevOps pour inclure les configurations incorrectes de l’infrastructure en tant que code (IaC) détectées dans des modèles Azure Resource Manager et Bicep.
Les développeurs peuvent désormais voir des annotations pour les configurations incorrectes IaC directement dans leurs demandes de tirage. Les développeurs peuvent également corriger des problèmes de sécurité critiques avant que l’infrastructure ne soit approvisionnée dans des charges de travail cloud. Pour simplifier la correction, les développeurs reçoivent un niveau de gravité, une description de configuration incorrecte et des instructions de correction dans chaque annotation.
Auparavant, la couverture des annotations de demande de tirage Defender pour DevOps dans Azure DevOps incluait uniquement des secrets.
Apprenez-en davantage sur Defender pour DevOps et les Annotations de demande de tirage.
Avril 2023
Les mises à jour du mois d’avril incluent :
- Posture de conteneur sans agent dans Defender CSPM (préversion)
- Nouvelle recommandation de préversion pour le chiffrement de disque unifié
- Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
- Dépréciation des stratégies de surveillance de langages App Service
- Nouvelle alerte dans Defender pour Resource Manager
- Trois alertes du plan Defender pour Azure Resource Manager ont été dépréciées
- L’exportation automatique des alertes vers l’espace de travail Log Analytics a été dépréciée
- Dépréciation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
- Nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services
- Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
- Defender pour les API (préversion)
Posture de conteneur sans agent dans Defender CSPM (préversion)
Les nouvelles fonctionnalités de posture de conteneur sans agent (préversion) sont disponibles dans le cadre du plan Defender CSPM (Cloud Security Posture Management).
La posture de conteneur sans agent permet aux équipes de sécurité d’identifier les risques liés à la sécurité dans des conteneurs et des domaines Kubernetes. Une approche sans agent permet aux équipes de sécurité d’avoir une meilleure visibilité de leurs registres Kubernetes et conteneurs au cours de la SDLC et de l’exécution, éliminant les frictions et l’empreinte des charges de travail.
La posture de conteneur sans agent offre des évaluations de la vulnérabilité d’un conteneur qui, combinées à l’analyse du chemin d’attaque, permettent aux équipes de sécurité de hiérarchiser et de zoomer sur des vulnérabilités d’un conteneur spécifique. Vous pouvez également utiliser l’explorateur de sécurité cloud pour déceler les risques et rechercher des insights de la posture de conteneur, telles que la découverte d’applications exécutant des images vulnérables ou exposées à Internet.
Pour plus d’informations, consultez Posture de conteneur sans agent (préversion).
Recommandation de chiffrement de disque unifié (préversion)
Il existe de nouvelles recommandations de chiffrement de disque unifié en préversion.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost
.
Ces recommandations remplacent Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources
, qui a détecté Azure Disk Encryption et la stratégie Virtual machines and virtual machine scale sets should have encryption at host enabled
, qui a détecté EncryptionAtHost. ADE et EncryptionAtHost offrent une couverture de chiffrement au repos comparable, et nous vous recommandons d’activer l’une de ces deux options sur chaque machine virtuelle. Les nouvelles recommandations détectent si ADE ou EncryptionAtHost sont activés et avertissent uniquement si ni l’un ni l’autre n’est activé. Nous avertissons également si ADE est activé sur certains disques, mais pas sur tous les disques d’une machine virtuelle (cette condition ne s’applique pas à EncryptionAtHost).
Les nouvelles recommandations nécessitent Azure Automanage Machine Configuration.
Ces recommandations sont basées sur les stratégies suivantes :
- (Préversion) Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost
- (Préversion) Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost
Découvrez ADE et EncryptionAtHost, et comment activer l’un d’entre eux.
Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
La recommandation Machines should be configured securely
a été annulée. La mise à jour améliore les performances et la stabilité de la suggestion et aligne son expérience sur le comportement générique des recommandations de Defender pour le cloud.
Dans le cadre de cette mise à jour, l’ID de recommandation181ac480-f7c4-544b-9865-11b8ffe87f47
a été remplacé par c476dc48-8110-4139-91af-c8d940896b98
.
Aucune action n’est requise côté client et aucun effet n’est attendu sur le degré de sécurisation.
Dépréciation des stratégies de surveillance de langages App Service
Les stratégies d’analyse langage App Service suivantes ont été dépréciées en raison de leur aptitude à générer des faux négatifs et parce qu’elles n’offrent pas nécessairement une meilleure sécurité. Vous devez toujours vous assurer d’utiliser une version de langage sans vulnérabilités connues.
Nom de stratégie | ID de stratégie |
---|---|
Les applications App Service qui utilisent Java doivent utiliser la dernière « version Java » | 496223c3-ad65-4ecd-878a-bae78737e9ed |
Les applications App Service qui utilisent Python doivent utiliser la dernière « version Python » | 7008174a-fd10-4ef0-817e-fc820a951d73 |
Les applications de fonctions qui utilisent Java doivent utiliser la dernière « version Java » | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
Les applications de fonctions qui utilisent Python doivent utiliser la dernière « version Python » | 7238174a-fd10-4ef0-817e-fc820a951d73 |
Les applications App Service qui utilisent PHP doivent utiliser la dernière « version PHP » | 7261b898-8a84-4db8-9e04-18527132abb3 |
Les clients peuvent utiliser d’autres stratégies intégrées pour surveiller n’importe quelle version de langage spécifiée pour leurs services App Services.
Ces stratégies ne seront plus disponibles dans les recommandations intégrées de Defender pour le cloud. Vous pouvez les ajouter en tant que recommandations personnalisées pour que Defender pour le cloud les analyse.
Nouvelle alerte dans Defender pour Resource Manager
Defender pour Resource Manager dispose de la nouvelle alerte suivante :
Alerte (type d’alerte) | Description | Tactiques MITRE | severity |
---|---|---|---|
PRÉVERSION - Création suspecte de ressources de calcul détectée (ARM_SuspiciousComputeCreation) |
Microsoft Defender pour Resource Manager a identifié une création suspecte de ressources de calcul dans votre abonnement utilisant Machines Virtuelles/Azure Scale Set. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources si besoin. Bien que cette activité puisse être légitime, il est possible qu’un acteur malveillant exploite ces opérations pour réaliser une exploration cryptographique. L’activité est considérée comme suspecte, car l’échelle des ressources de calcul est plus élevée que celle observée précédemment dans l’abonnement. Cela peut indiquer que le principal est compromis et qu’il est utilisé dans une intention malveillante. |
Impact | Moyenne |
Vous pouvez voir une liste de toutes les alertes disponibles pour Resource Manager.
Trois alertes du plan Defender pour Azure Resource Manager ont été dépréciées
Les trois alertes du plan Defender pour Azure Resource Manager suivantes ont été dépréciées :
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Dans un scénario où une activité provenant d’une adresse IP suspecte est détectée, l’une des alertes du plan Defender pour Azure Resource Manager Azure Resource Manager operation from suspicious IP address
ou Azure Resource Manager operation from suspicious proxy IP address
suivantes est présente.
L’exportation automatique des alertes vers l’espace de travail Log Analytics a été dépréciée
Les alertes de sécurité de Defender pour le cloud sont automatiquement exportées vers un espace de travail Log Analytics par défaut au niveau de la ressource. Cela entraîne un comportement indéterminé et, par conséquent, cette fonctionnalité a été dépréciée.
Vous pouvez plutôt exporter vos alertes de sécurité vers un espace de travail Log Analytics dédié avec Exportation continue.
Si vous avez déjà configuré l’exportation continue de vos alertes vers un espace de travail Log Analytics, aucune autre action n’est nécessaire.
Dépréciation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
Le processus d’amélioration de la qualité des alertes de sécurité pour Defender pour serveurs inclut la dépréciation de certaines alertes pour les serveurs Windows et Linux. Les alertes dépréciées proviennent désormais des alertes de menace Defender pour point de terminaison et sont couvertes par celles-ci.
Si l’intégration de Defender for Endpoint est déjà activée, aucune action supplémentaire n’est requise. Vous pourriez constater une diminution du volume de vos alertes en avril 2023.
Si l’intégration de Defender for Endpoint n’est pas activée dans Defender pour serveurs, vous devez activer l’intégration de Defender for Endpoint afin de maintenir et d’améliorer votre couverture des alertes.
Tous les clients Defender pour serveurs ont un accès complet à l’intégration de Defender pour point de terminaison dans le cadre du plan Defender pour serveurs.
Vous pouvez en apprendre davantage sur les options d’intégration de Microsoft Defender for Endpoint.
Vous pouvez également consulter la liste complète des alertes qui seront dépréciées.
Lisez le Blog Microsoft Defender pour le cloud.
Nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services
Nous avons ajouté de nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services.
Nom de la recommandation | Description de la recommandation | Stratégie |
---|---|---|
Le mode d’authentification Azure SQL Managed Instance doit être Azure Active Directory uniquement | La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Azure Active Directory seule améliorent la sécurité en garantissant que les instances managées Azure SQL sont accessibles exclusivement par les identités Azure Active Directory. | Azure SQL Managed Instance doit avoir uniquement l’authentification Azure Active Directory activée |
Le mode d’authentification de l’espace de travail Azure Synapse doit être Azure Active Directory uniquement | Les seules méthodes d’authentification Azure Active Directory améliorent la sécurité en veillant à ce que les espaces de travail Synapse exigent exclusivement des identités Azure AD pour l’authentification. Plus d’informations | Les espaces de travail Synapse doivent utiliser uniquement des identités Azure Active Directory pour l’authentification |
Un administrateur Azure Active Directory doit être approvisionné pour Azure Database pour MySQL | Approvisionnez un administrateur Azure AD pour votre Azure Database pour MySQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | Un administrateur Azure Active Directory doit être provisionné pour les serveurs MySQL |
Azure Database pour PostgreSQL doit avoir un administrateur Azure Active Directory approvisionné | Approvisionnez un administrateur Azure AD pour votre Azure Database pour PostgreSQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | Un administrateur Azure Active Directory doit être provisionné pour les serveurs PostgreSQL |
Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
Les recommandations System updates should be installed on your machines (powered by Azure Update Manager)
et Machines should be configured to periodically check for missing system updates
ont été publiées pour la disponibilité générale.
Pour utiliser la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
- Activez la propriété d’évaluation périodique. Vous pouvez utiliser le bouton Corriger.
dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updates
pour corriger la recommandation.
Après avoir effectué ces étapes, vous pouvez supprimer l’ancienne recommandation System updates should be installed on your machines
en la désactivant de l’initiative intégrée de Defender pour le cloud dans la stratégie Azure.
Les deux versions des recommandations :
System updates should be installed on your machines
System updates should be installed on your machines (powered by Azure Update Manager)
Les deux seront disponibles jusqu’à ce que l’agent Log Analytics soit déconseillé le 31 août 2024, c’est-à-dire lorsque l’ancienne version (System updates should be installed on your machines
) de la recommandation sera également déconseillée. Les deux recommandations retournent les mêmes résultats et sont disponibles sous le même contrôle Apply system updates
.
La nouvelle recommandation System updates should be installed on your machines (powered by Azure Update Manager)
a un flux de correction disponible via le bouton Corriger, qui peut être utilisé pour corriger tous les résultats via le Gestionnaire des mises à jour (préversion). Ce processus de correction est toujours en préversion.
La nouvelle recommandation System updates should be installed on your machines (powered by Azure Update Manager)
ne devrait pas affecter votre degré de sécurisation, car elle a les mêmes résultats que l’ancienne recommandation System updates should be installed on your machines
.
La recommandation de prérequis (Activer la propriété d’évaluation périodique) a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet à l’aide du bouton Corriger disponible.
Defender pour les API (préversion)
Defender pour le cloud de Microsoft annonce que le nouveau Defender pour les API est disponible en préversion.
Defender pour les API offre une couverture complète de protection, détection et réponse du cycle de vie pour des API.
Defender pour les API vous permet d’obtenir une visibilité sur des API vitales pour l’entreprise. Vous pouvez examiner et améliorer votre posture de sécurité des API, hiérarchiser des correctifs de vulnérabilité et détecter rapidement des menaces actives en temps réel.
Si vous souhaitez en savoir plus sur Defender pour les API.
Mars 2023
Les mises à jour du mois de mars incluent :
- Un nouveau plan Defender pour le stockage est disponible, comprenant l’analyse des programmes malveillants en quasi-temps réel et la détection des menaces de données sensibles
- Posture de sécurité sensible aux données (préversion)
- Expérience améliorée pour la gestion des stratégies de sécurité Azure par défaut
- Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
- Option permettant de créer des recommandations personnalisées et des normes de sécurité dans Microsoft Defender pour le cloud
- La version 1.0 du Benchmark de la sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA)
- Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
- Nouvelle recommandation de préversion pour les serveurs Azure SQL Server
- Nouvelle alerte pour Defender pour Key Vault
Un nouveau plan Defender pour le stockage est disponible, comprenant l’analyse des programmes malveillants en quasi-temps réel et la détection des menaces de données sensibles
Le stockage cloud joue un rôle clé dans l’organisation et stocke de grands volumes de données précieuses et sensibles. Nous annonçons aujourd’hui un nouveau plan Defender pour le Stockage. Si vous utilisez le plan précédent (maintenant renommé « Defender pour le stockage (classique) »), vous devez migrer de manière proactive vers le nouveau plan afin d’utiliser les nouvelles fonctionnalités et avantages.
Le nouveau plan inclut des fonctionnalités de sécurité avancées pour vous protéger contre les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Ce plan fournit également une structure tarifaire plus prévisible et plus souple pour un meilleur contrôle de la couverture et des coûts.
Les nouvelles fonctionnalités de ce nouveau plan sont désormais disponibles en préversion publique :
Détection des événements d’exposition et d’exfiltration de données sensibles
Analyse en quasi-temps réel des programmes malveillants d’objets blob lors du chargement sur tous les types de fichiers
Détection d’entités sans identité à l’aide de jetons SAP
Ces fonctionnalités améliorent la capacité existante de surveillance des activités, basée sur l’analyse des journaux de contrôle et de plan de données et sur la modélisation comportementale pour identifier les premiers signes d’une violation.
Toutes ces fonctionnalités sont disponibles dans le cadre d’un nouveau plan tarifaire prévisible et souple qui permet un contrôle granulaire de la protection des données au niveau de l’abonnement et des ressources.
Pour en savoir plus, consultez Vue d’ensemble de Microsoft Defender pour le stockage.
Posture de sécurité sensible aux données (préversion)
Microsoft Defender pour le cloud aide les équipes de sécurité à être plus productives pour réduire les risques et répondre aux violations de données dans le cloud. La solution leur permet de faire la part des choses grâce au contexte des données et de classer par ordre de priorité les risques de sécurité les plus critiques, afin d’éviter une violation de données coûteuse.
- Découvrez automatiquement les ressources de données dans le domaine cloud et évaluez leur accessibilité, leur sensibilité aux données et leurs flux de données configurés. -Découvrez en permanence les risques de violations de ressources de données sensibles, d’exposition ou des chemins d’attaque qui pourraient conduire à une ressource de données à l’aide d’une technique de déplacement latéral.
- Détectez les activités suspectes qui pourraient indiquer une menace en cours pour les ressources de données sensibles.
En savoir plus à propos de la posture de sécurité sensible aux données.
Expérience améliorée pour la gestion des stratégies de sécurité Azure par défaut
Nous introduisons une expérience améliorée de gestion des stratégies de sécurité Azure pour les recommandations intégrées qui simplifie la façon dont les clients Defender pour le cloud affinent leurs exigences en matière de sécurité. Cette nouvelle expérience inclut les nouvelles fonctionnalités suivantes :
- Une interface simple permet une performance et expérience meilleure lors de la gestion des stratégies de sécurité par défaut dans Defender pour le Cloud.
- Un affichage unique de toutes les recommandations de sécurité intégrées proposées par le Benchmark de sécurité Microsoft Cloud (anciennement le point de référence de sécurité Azure). Les recommandations sont organisées en groupes logiques, ce qui facilite la compréhension des types de ressources couvertes, ainsi que la relation entre les paramètres et les recommandations.
- De nouvelles fonctionnalités telles que les filtres et la recherche ont été ajoutées.
Découvrez comment gérer les stratégies de sécurité.
Lisez le Blog Microsoft Defender pour le cloud.
Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
Nous vous annonçons que Defender CSPM est désormais en disponibilité générale (GA). Defender pour CSPM offre tous les services disponibles dans le cadre des fonctionnalités CSPM de base et ajoute les avantages suivants :
- Analyse du chemin d’attaque et API ARG – L’analyse du chemin d’attaque utilise un algorithme basé sur le graphique qui analyse le graphique de sécurité du cloud pour exposer les chemins d’attaque et suggère des recommandations sur la meilleure façon de remédier aux problèmes qui permettent de rompre le chemin d’attaque et d’empêcher une violation effective. Vous pouvez également consommer des chemins d’attaque par programmation en interrogeant l’API Azure Resource Graph (ARG). Découvrez comment utiliser l’analyse du chemin d’attaque
- Explorateur de sécurité du cloud – Utilisez Cloud Security Explorer pour exécuter des requêtes basées sur le graphique de sécurité du cloud, afin d’identifier de manière proactive les risques de sécurité dans vos environnements multiclouds. En savoir plus sur l’explorateur de sécurité du cloud.
En savoir plus sur Defender CSPM.
Option permettant de créer des recommandations personnalisées et des normes de sécurité dans Microsoft Defender pour le cloud
Microsoft Defender pour le cloud offre la possibilité de créer des suggestions et des normes personnalisées pour AWS et GCP à l’aide de requêtes KQL. Vous pouvez utiliser un éditeur de requêtes pour générer et tester des requêtes sur vos données. Cette fonctionnalité fait partie du plan Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud). Découvrez comment créer des recommandations et des normes personnalisées.
La version 1.0 du Benchmark de la sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA)
Microsoft Defender pour le cloud annonce que la version 1.0 du Benchmark de sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA).
La version 1.0 de MCSB remplace la version 3 du benchmark de sécurité Azure (ASB) en tant que stratégie de sécurité par défaut de Defender pour le cloud. La version 1.0 du MCSB apparaît comme la norme de conformité par défaut dans le tableau de bord de conformité et est activée par défaut pour tous les clients Defender pour le cloud.
Vous pouvez également découvrir comment le Benchmark de sécurité Microsoft Cloud (MCSB) vous aide à réussir votre parcours de sécurité cloud.
En savoir plus sur MCSB.
Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
Nous mettons à jour ces normes pour les clients dans Azure Government et Microsoft Azure gérés par 21Vianet.
Azure Government :
Microsoft Azure exploité par 21Vianet :
Apprenez comment Personnaliser l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Nouvelle recommandation de préversion pour les serveurs Azure SQL Server
Nous avons ajouté une nouvelle recommandation pour les serveurs Azure SQL Server, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)
.
La recommandation est basée sur la stratégie existante Azure SQL Database should have Azure Active Directory Only Authentication enabled
Cette recommandation désactive les méthodes d’authentification locales et autorise uniquement l’authentification Azure Active Directory qui améliore la sécurité en garantissant que les bases de données Azure SQL Database sont exclusivement accessibles par des identités Azure Active Directory.
Découvrez comment créer des serveur avec l’authentification Azure AD uniquement activée dans Azure SQL.
Nouvelle alerte dans Defender pour Key Vault
Defender pour Key Vault a la nouvelle alerte suivante :
Alerte (type d’alerte) | Description | Tactiques MITRE | Gravité |
---|---|---|---|
Accès refusé depuis une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccessDenied) |
Un accès réussi au coffre de clés a été essayé par une adresse IP identifiée par Microsoft Threat Intelligence comme adresse IP suspecte. Malgré l’échec de cette tentative, elle indique que votre infrastructure a peut-être été compromise. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Faible |
Vous pouvez voir la liste de toutes les alertes disponibles pour Key Vault.
Février 2023
Les mises à jour de février sont les suivantes :
- Amélioration de Cloud Security Explorer
- Les analyses de vulnérabilité de Defender pour les conteneurs d’images Linux en cours d’exécution sont désormais en disponibilité générale
- Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
- Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
- La stratégie intégrée [préversion] : Le point de terminaison privé doit être configuré pour que Key Vault soit déprécié
Amélioration de Cloud Security Explorer
Cette version améliorée de Cloud Security Explorer propose une expérience utilisateur actualisée qui supprime considérablement les frictions de requêtes et ajoute la possibilité d’exécuter des requêtes multiclouds et multiressources, ainsi qu’une documentation incorporée pour chaque option de requête.
Cloud Security Explorer vous permet désormais d’exécuter des requêtes issues du cloud sur les ressources. Vous pouvez utiliser les modèles de requête prédéfinis ou la recherche personnalisée pour appliquer des filtres et créer votre requête. Découvrez comment gérer Cloud Security Explorer.
Les analyses de vulnérabilité de Defender pour les conteneurs d’images Linux en cours d’exécution sont désormais en disponibilité générale
Defender pour les conteneurs détecte les vulnérabilités des conteneurs en cours d’exécution. Les conteneurs Windows et Linux sont pris en charge.
En août 2022, cette fonctionnalité a été publiée en préversion pour Windows et Linux. Nous la publions désormais en disponibilité générale pour Linux.
Lorsque des vulnérabilités sont détectées, Defender pour le cloud génère la recommandation de sécurité suivante répertoriant les résultats de l’analyse : Les résultats de l’analyse de vulnérabilité doivent être résolus pour exécuter des images conteneurs.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
Defender pour le cloud prend désormais en charge la norme de conformité CIS Amazon Web Services Foundations v1.5.0. La norme peut être ajoutée à votre tableau de bord conformité réglementaire et s’appuie sur les offres existantes de MDC pour les recommandations et normes multicloud.
Cette nouvelle norme inclut des recommandations existantes et nouvelles qui étendent la couverture de Defender pour le cloud aux nouveaux services et ressources AWS.
Découvrez comment gérer les évaluations et les standards AWS.
Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
Microsoft Defender pour DevOps a étendu sa préversion et est désormais disponible dans les régions Europe Ouest et Australie Est, quand vous intégrez vos ressources Azure DevOps et GitHub.
Découvrez-en plus sur Microsoft Defender pour DevOps.
La stratégie intégrée [préversion] : Le point de terminaison privé doit être configuré pour que Key Vault soit déprécié
La stratégie intégrée [Preview]: Private endpoint should be configured for Key Vault
est déconseillée et remplacée par la stratégie [Preview]: Azure Key Vaults should use private link
.
En savoir plus sur l’intégration d’Azure Key Vault à Azure Policy.
Janvier 2023
Les mises à jour de janvier sont les suivantes :
- Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
- Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
- Nettoyage des machines Azure Arc supprimées dans les comptes AWS et GCP connectés
- Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
- Le nom du contrôle de niveau de sécurité Protéger vos applications avec des solutions réseau avancées Azure a changé
- Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
- La recommandation concernant l’activation des journaux de diagnostic pour les groupes de machines virtuelles identiques est déconseillée
Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
Pour accéder à Endpoint Protection, sélectionnez Paramètres d’environnement>Plans Defender>Paramètres et surveillance. À partir de là, vous pouvez définir Endpoint Protection sur Activé. Vous pouvez également voir les autres composants gérés.
En savoir plus sur l’activation de Microsoft Defender for Endpoint sur vos serveurs avec Defender pour serveurs.
Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
Vous n’avez plus besoin d’un agent sur vos machines virtuelles Azure et vos machines Azure Arc pour vous assurer que les machines disposent de toutes les dernières mises à jour de sécurité ou de système critiques.
La nouvelle recommandation des mises à jour système, System updates should be installed on your machines (powered by Azure Update Manager)
dans le contrôle Apply system updates
, est basée sur le Gestionnaire des mises à jour (préversion). La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et machines Azure Arc au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous conduit à une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire des mises à jour.
Pour utiliser la nouvelle recommandation, vous devez :
- Connecter vos machines non Azure à Arc
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updates
pour corriger la recommandation.
La recommandation existante « Les mises à jour système doivent être installées sur vos machines », qui s’appuie sur l’agent Log Analytics, est toujours disponible sous le même contrôle.
Nettoyage des machines Azure Arc supprimées dans les comptes AWS et GCP connectés
Une machine connectée à un compte AWS et GCP couvert par Defender pour serveurs ou Defender pour SQL sur des machines est représentée dans Defender pour le cloud en tant que machine Azure Arc. Jusqu’à présent, cette machine n’était pas supprimée de l’inventaire lorsque la machine a été supprimée du compte AWS ou GCP. Conduisant à des ressources Azure Arc inutiles laissées dans Defender pour le cloud qui représentent des machines supprimées.
Defender pour le cloud supprime désormais automatiquement les machines Azure Arc lorsque ces machines sont supprimées dans un compte AWS ou GCP connecté.
Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
Vous pouvez maintenant activer l’exportation continue d’alertes et de recommandations, en tant que service approuvé vers Event Hubs protégés par un pare-feu Azure.
Vous pouvez activer l’exportation continue à mesure que les alertes ou recommandations sont générées. Vous pouvez également définir un calendrier pour envoyer des instantanés périodiques de toutes les nouvelles données.
Découvrez comment activer l’exportation continue vers un Event Hubs derrière un pare-feu Azure.
Le nom du contrôle de niveau de sécurité Protéger vos applications avec des solutions réseau avancées Azure est changé
Le contrôle Protect your applications with Azure advanced networking solutions
de niveau de sécurité est remplacé par Protect applications against DDoS attacks
.
Le nom mis à jour est reflété dans Azure Resource Graph (ARG), l’API des contrôles de niveau de sécurité et le Download CSV report
.
Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
Cette stratégie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports
est déconseillée.
Le rapport d’e-mail d’évaluation des vulnérabilités de Defender pour SQL est toujours disponible et les configurations de messagerie existantes n’ont pas changé.
La recommandation concernant l’activation des journaux de diagnostic pour les groupes de machines virtuelles identiques est déconseillée
La recommandation Diagnostic logs in Virtual Machine Scale Sets should be enabled
est déconseillée.
La définition de stratégie associée a également été dépréciée par toutes les normes affichées dans le tableau de bord de conformité réglementaire.
Recommandation | Description | Gravité |
---|---|---|
Les journaux de diagnostic dans les groupes identiques de machines virtuelles doivent être activés | Activez les journaux et conservez-les pendant un an maximum, ce qui vous permet de recréer les pistes d’activité à des fins d’investigation quand un incident de sécurité se produit ou que votre réseau est compromis. | Faible |
Décembre 2022
Les mises à jour en décembre sont les suivantes :
Annonce de la configuration rapide pour l’évaluation des vulnérabilités dans Defender pour SQL
La configuration rapide pour l’évaluation des vulnérabilités dans Microsoft Defender pour SQL fournit aux équipes de sécurité une expérience de configuration simplifiée sur les bases de données Azure SQL et les pools SQL dédiés en dehors des espaces de travail Synapse.
Avec l’expérience de configuration rapide pour les évaluations des vulnérabilités, les équipes de sécurité peuvent :
- Effectuez la configuration de l’évaluation des vulnérabilités dans la configuration de sécurité de la ressource SQL, sans paramètres ou dépendances en plus sur les comptes de stockage gérés par le client.
- Ajoutez immédiatement les résultats de l’analyse aux lignes de base afin que l’état de la recherche passe de Non sain à Sain sans réanalyser une base de données.
- Ajoutez plusieurs règles aux lignes de référence à la fois et utilisez les derniers résultats d’analyse.
- Activez l’évaluation des vulnérabilités pour tous les serveurs Azure SQL lorsque vous activez Microsoft Defender pour les bases de données au niveau de l’abonnement.
En savoir plus sur l’Évaluation des vulnérabilités de Defender pour SQL.
Novembre 2022
Les mises à jour en novembre sont les suivantes :
- Protéger les conteneurs dans votre organisation GCP avec Defender pour les conteneurs
- Valider les protections Defender pour les conteneurs avec des exemples d’alertes
- Règles de gouvernance à grande échelle (préversion)
- La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
- La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
Protéger les conteneurs dans votre organisation GCP avec Defender pour les conteneurs
Vous pouvez maintenant activer Defender pour les conteneurs pour votre environnement GCP afin de protéger les clusters GKE standard dans l’ensemble d’une organisation GCP. Créez simplement un connecteur GCP avec Defender pour les conteneurs activé ou activez Defender pour les conteneurs sur un connecteur GCP existant au niveau de l’organisation.
Découvrez-en plus sur la connexion de projets et d’organisations GCP à Defender pour le cloud.
Valider les protections Defender pour les conteneurs avec des exemples d’alertes
Vous pouvez maintenant créer des exemples d’alertes également pour le plan Defender pour les conteneurs. Les nouveaux exemples d’alertes sont présentés comme provenant d’AKS, de clusters connectés à Arc, de ressources EKS et GKE avec différents niveaux de gravité et de tactiques MITRE. Vous pouvez utiliser les exemples d’alertes pour valider les configurations d’alerte de sécurité, telles que les intégrations SIEM, l’automatisation du workflow et les notifications par e-mail.
Découvrez-en plus sur les validation d’alertes.
Règles de gouvernance à grande échelle (préversion)
Nous sommes heureux d’annoncer la nouvelle possibilité d’appliquer des règles de gouvernance à grande échelle (préversion) dans Defender pour le cloud.
Avec cette nouvelle expérience, les équipes de sécurité sont en mesure de définir des règles de gouvernance en bloc pour différentes étendues (abonnements et connecteurs). Les équipes de sécurité peuvent accomplir cette tâche en utilisant des étendues de gestion telles que des groupes d’administration Azure, des comptes de niveau supérieur AWS ou des organisations GCP.
En outre, la page Règles de gouvernance (préversion) présente toutes les règles de gouvernance disponibles qui sont efficaces dans les environnements de l’organisation.
Découvrez-en plus sur les nouvelles règles de gouvernance à grande échelle.
Notes
À compter du 1er janvier 2023, pour bénéficier des fonctionnalités offertes par la gouvernance, vous devez activer le plan Defender CSPM sur votre abonnement ou connecteur.
La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
La possibilité de créer des évaluations personnalisées pour les comptes AWS et les projets GCP, qui était une fonctionnalité en préversion est déconseillée.
La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
La recommandation Lambda functions should have a dead-letter queue configured
est déconseillée.
Recommandation | Description | Gravité |
---|---|---|
Une file d’attente de lettres mortes doit être configurée pour les fonctions Lambda | Ce contrôle vérifie si une fonction Lambda est configurée avec une file d’attente de lettres mortes. Le contrôle échoue si la fonction Lambda n’est pas configurée avec une file d’attente de lettres mortes. En guise d’alternative à une destination en cas d’échec, vous pouvez configurer votre fonction avec une file d’attente de lettres mortes pour sauvegarder les événements ignorés en vue d’un traitement ultérieur. Une file d’attente de lettres mortes agit de la même manière qu’une destination en cas d’échec. Elle est utilisée lorsqu’un événement échoue à toutes les tentatives de traitement ou expire sans avoir été traité. Une file d’attente de lettres mortes vous permet de revenir sur les erreurs ou les requêtes adressées à votre fonction Lambda ayant échoué pour déboguer ou identifier un comportement inhabituel. Du point de vue de la sécurité, il est important de comprendre la raison pour laquelle votre fonction a échoué et de vous assurer que votre fonction ne supprime pas de données ni ne compromet la sécurité des données en conséquence. Par exemple, si votre fonction ne peut pas communiquer avec une ressource sous-jacente, cela peut être le symptôme d’une attaque par déni de service (DoS) ailleurs sur le réseau. | Medium |
Octobre 2022
Les mises à jour d’octobre sont les suivantes :
- Annonce du point de référence de sécurité Microsoft Cloud
- Fonctionnalités d’Analyse du chemin d’attaque et de sécurité contextuelle dans Defender pour le cloud (préversion)
- Analyse sans agent des machines Azure et AWS (préversion)
- Defender pour DevOps (préversion)
- Le Tableau de bord de conformité réglementaire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l’état de conformité de Microsoft
- Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
- Gestion de la posture de sécurité cloud (CSPM) Defender (préversion)
- Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
- Defender pour les conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Annonce du point de référence de sécurité Microsoft Cloud
Le point de référence de sécurité Microsoft Cloud (MCSB) est une nouvelle infrastructure qui définit des principes de sécurité cloud fondamentaux basés sur des normes sectorielles courantes et des infrastructures de conformité. Avec des conseils techniques détaillés pour l’implémentation de ces meilleures pratiques sur les plateformes cloud. MCSB remplace Azure Security Benchmark. MCSB fournit des détails prescriptifs pour l’implémentation de ses recommandations de sécurité indépendante du cloud sur plusieurs plateformes de services cloud, couvrant initialement Azure et AWS.
Vous pouvez désormais surveiller votre posture de conformité à la sécurité du cloud, par cloud, dans un tableau de bord intégré. Vous pouvez considérer MCSB comme la norme de conformité par défaut lorsque vous accédez au tableau de bord de conformité réglementaire de Defender pour le cloud.
Le point de référence de sécurité Microsoft Cloud est automatiquement affecté à vos abonnements Azure et comptes AWS lorsque vous intégrez Defender pour le cloud.
Apprenez-en davantage sur le point de référence de sécurité Microsoft Cloud.
Fonctionnalités d’Analyse du chemin d’attaque et de sécurité contextuelle dans Defender pour le cloud (préversion)
Les nouvelles fonctionnalités de Graphique de sécurité du cloud, d’Analyse du chemin d’attaque et de sécurité du cloud contextuelle sont désormais disponibles dans Defender pour le cloud en préversion.
L’un des principaux défis auxquels les équipes de sécurité sont confrontées aujourd’hui est le nombre de problèmes de sécurité rencontrés quotidiennement. Il y a de nombreux problèmes de sécurité à résoudre et jamais assez de ressources pour les traiter tous.
Les nouvelles fonctionnalités de Graphique de sécurité du cloud et d’Analyse du chemin d’attaque de Defender pour le cloud permettent aux équipes de sécurité d’évaluer le risque derrière chaque problème de sécurité. Les équipes de sécurité peuvent également identifier les problèmes présentant les risques les plus élevés qui doivent être résolus le plus rapidement. Defender pour le cloud travaille avec les équipes de sécurité pour réduire le risque d'une violation affectant leur environnement de la manière la plus efficace.
Pour en savoir plus, consultez Graphique de sécurité du cloud, Analyse du chemin d’attaque et Explorateur de sécurité du cloud.
Analyse sans agent des machines Azure et AWS (préversion)
Jusqu’à présent, Defender pour le cloud basait ses évaluations de posture pour les machines virtuelles sur des solutions basées sur un agent. Pour aider les clients à optimiser la couverture et à réduire les frictions d’intégration et de gestion, nous publions l’analyse sans agent pour les machines virtuelles en préversion.
Grâce à l’analyse sans agent pour les machines virtuelles, vous bénéficiez d’une large visibilité sur les logiciels installés et les CVC logiciels. Vous bénéficiez de la visibilité sans les difficultés liées à l'installation et à la maintenance des agents, aux exigences de connectivité du réseau et à l'impact sur les performances de vos charges de travail. L’analyse est alimentée par Gestion des vulnérabilités Microsoft Defender.
L’analyse des vulnérabilités sans agent est disponible dans Gestion de la posture de sécurité cloud (CSPM) Defender et dans Defender pour serveurs P2, avec prise en charge native des machines virtuelles AWS et Azure.
- Apprenez-en davantage sur l’Analyse sans agent.
- Découvrez comment activer l’évaluation des vulnérabilités sans agent.
Defender pour DevOps (préversion)
Microsoft Defender pour le cloud offre une visibilité complète, la gestion de la posture et la protection contre les menaces dans les environnements multiclouds et hybrides, y compris Azure, AWS, Google et les ressources locales.
Le nouveau plan Defender pour DevOps intègre maintenant des systèmes de gestion de code source, tels que GitHub et Azure DevOps, dans Defender pour le cloud. Grâce à cette nouvelle intégration, les équipes de sécurité pourront mieux protéger leurs ressources du code vers le cloud.
Defender pour DevOps vous offre une meilleure visibilité et gestion de vos environnements de développement connectés et de vos ressources de code. Actuellement, vous pouvez connecter des systèmes Azure DevOps et GitHub à Defender pour le cloud, et intégrer des référentiels DevOps à l’inventaire et à la nouvelle page Sécurité DevOps. Il fournit aux équipes de sécurité une vue d’ensemble des problèmes de sécurité découverts, dans une page de Sécurité DevOps unifiée.
Vous pouvez configurer des annotations sur des demandes d’extraction pour aider les développeurs à résoudre les résultats de l’analyse des secrets dans Azure DevOps directement sur leurs demandes de tirage.
Vous pouvez configurer les outils Microsoft Security DevOps sur Azure Pipelines et les workflows GitHub pour activer les analyses de sécurité suivantes :
Nom | Langage | Licence |
---|---|---|
Bandit | Python | Licence Apache 2.0 |
BinSkim | Binary--Windows, ELF | Licence MIT |
ESlint | JavaScript | Licence MIT |
CredScan (Azure DevOps uniquement) | Credential Scanner (aussi connu sous le nom CredScan) est un outil développé et géré par Microsoft pour identifier des fuites d’informations d’identification telles que celles contenues dans des types courants de fichiers de code source et de configuration : mots de passe par défaut, chaînes de connexion SQL, Certificats avec clés privées | Non open source |
Analyse de modèle | Modèle ARM, fichier Bicep | Licence MIT |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licence Apache 2.0 |
Trivy | Images conteneur, systèmes de fichiers, dépôts Git | Licence Apache 2.0 |
Les nouvelles recommandations suivantes sont désormais disponibles pour DevOps :
Recommandation | Description | Gravité |
---|---|---|
(Préversion) Les référentiels de code doivent avoir les résultats de l’analyse du code résolus | Defender pour DevOps a découvert des vulnérabilités dans les dépôts de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Moyenne |
(Préversion) Les référentiels de code doivent avoir les résultats de l’analyse des secrets résolus | Defender pour DevOps a trouvé un secret dans les dépôts de code. Cela doit être corrigé immédiatement pour éviter une violation de la sécurité. Les secrets détectés dans les dépôts peuvent être divulgués ou découverts par des adversaires, ce qui peut compromettre une application ou d’un service. Pour Azure DevOps, l’outil Microsoft Security DevOps CredScan analyse uniquement les builds sur lesquelles il est configuré pour s’exécuter. Par conséquent, les résultats peuvent ne pas refléter l’état complet des secrets dans vos dépôts. (Aucune stratégie associée) | Élevé |
(Préversion) Les référentiels de code doivent avoir les résultats de l’analyse Dependabot résolus | Defender pour DevOps a découvert des vulnérabilités dans les dépôts de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Moyenne |
(Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | Moyenne |
(Préversion) L’analyse du code doit être activée dans les référentiels GitHub | GitHub utilise l’analyse du code pour analyser le code afin de rechercher les failles de sécurité et les erreurs dans le code. L’analyse du code peut être utilisée pour rechercher, trier et hiérarchiser les correctifs pour les problèmes existants dans votre code. L’analyse du code peut également empêcher les développeurs d’introduire de nouveaux problèmes. Des analyses peuvent être planifiées pour des jours et heures spécifiques, ou être déclenchées lorsqu’un événement spécifique se produit dans le dépôt, tel qu’un envoi (push). Si l’analyse du code détecte une vulnérabilité ou une erreur potentielle dans le code, GitHub affiche une alerte dans le dépôt. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour endommager la confidentialité, l’intégrité ou la disponibilité du projet. (Aucune stratégie associée) | Moyenne |
(Préversion) L’analyse des secrets doit être activée dans les référentiels GitHub | GitHub analyse les dépôts à la recherche de types connus de secrets, afin d’empêcher toute utilisation frauduleuse de secrets qui ont été accidentellement validés dans des dépôts. L’analyse des secrets analyse l’intégralité de l’historique Git sur toutes les branches présentes dans le dépôt GitHub à la recherche de secrets. Les jetons et les clés privées qu’un fournisseur de services peut émettre pour l’authentification sont des exemples de secrets. Si un secret est archivé dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut utiliser le secret pour accéder au service externe avec ces privilèges. Les secrets doivent être stockés dans un emplacement dédié et sécurisé en dehors du dépôt du projet. (Aucune stratégie associée) | Élevé |
(Préversion) L’analyse Dependabot doit être activée dans les référentiels GitHub | GitHub envoie des alertes Dependabot lorsqu’il détecte des vulnérabilités dans les dépendances de code qui affectent les dépôts. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Quand le code dépend d’un package qui présente une faille de sécurité, cette dépendance vulnérable peut entraîner une série de problèmes. (Aucune stratégie associée) | Moyenne |
Les recommandations Defender pour DevOps remplacent l’analyseur de vulnérabilité déprécié pour les workflows CI/CD qui était inclus dans Defender pour les conteneurs.
Apprenez-en davantage sur Defender pour DevOps.
Le Tableau de bord de conformité réglementaire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l’état de conformité de Microsoft
Le tableau de bord de conformité dans Defender pour le cloud est un outil clé pour les clients, qui les aide à comprendre et à suivre leur état de conformité. Les clients peuvent surveiller en permanence les environnements conformément aux exigences de nombreuses normes et réglementations.
Désormais, vous pouvez gérer entièrement votre posture de conformité en attestant manuellement des contrôles opérationnels ainsi que d’autres contrôles. Vous pouvez fournir des preuves de conformité pour des contrôles non automatisés. Avec les évaluations automatisées, vous pouvez générer un rapport complet de conformité dans une étendue sélectionnée, en traitant l’ensemble des contrôles d’une norme donnée.
En outre, avec des informations de contrôle plus riches, ainsi que des détails et preuves approfondis concernant l’état de conformité de Microsoft, vous disposez à portée de main toutes les informations requises pour les audits.
Voici certains des nouveaux avantages offerts :
Les actions manuelles des clients fournissent un mécanisme permettant d’attester manuellement la conformité avec des contrôles non automatisés. Y compris la possibilité de lier des preuves, ainsi que de définir une date de conformité et une date d’expiration.
Détails de contrôle plus riches pour les normes prises en charge qui montrant les actions de Microsoft et les actions manuelles des clients en plus des actions client automatisées existantes.
Les actions Microsoft fournissent une transparence dans l’état de conformité de Microsoft qui inclut les procédures d’évaluation d’audit, les résultats des tests et les réponses Microsoft aux écarts.
Les offres de conformité fournissent un emplacement central pour vérifier les produits Azure, Dynamics 365 et Power Platform, ainsi que leurs certifications de conformité réglementaire respectives.
Apprenez-en davantage sur la manière d’améliorer votre conformité réglementaire à l’aide de Defender pour le cloud.
Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
Nous avons renommé la page de provisionnement automatique en Paramètres et surveillance.
Le provisionnement automatique a été conçu pour permettre l’activation à grande échelle de prérequis dont ont besoin les fonctionnalités et capacités avancées de Defender pour le cloud. Pour mieux prendre en charge nos capacités étendues, nous allons lancer une nouvelle expérience avec les modifications suivantes :
La page des plans Defender pour le cloud inclut désormais les éléments suivants :
- Quand vous activez un plan Defender qui nécessite des composants de supervision, ces composants sont activés pour le provisionnement automatique avec les paramètres par défaut. Ces paramètres peuvent être modifiés à tout moment.
- Vous pouvez accéder aux paramètres du composant de surveillance pour chaque plan Defender à partir de la page de celui-ci.
- La page des plans Defender indique clairement si tous les composants de surveillance sont en place pour chaque plan Defender ou si votre couverture de surveillance est incomplète.
Page Paramètres et surveillance :
- Chaque composant de supervision indique les plans Defender auxquels il a trait.
Apprenez-en davantage sur la gestion de vos paramètres de surveillance.
Gestion de la posture de sécurité cloud Defender (CSPM)
L’un des piliers de Microsoft Defender pour le cloud en lien avec la sécurité du cloud est la Gestion de la posture de sécurité cloud (CSPM). La CSPM fournit des conseils de renforcement qui vous aident à améliorer efficacement et effectivement votre sécurité. La CSPM vous donne également une visibilité de votre situation de sécurité actuelle.
Nous annonçons un nouveau plan Defender : Defender CSPM. Ce plan améliore les fonctionnalités de sécurité de Defender pour le cloud et inclut les fonctionnalités nouvelles et étendues suivantes :
- Évaluation continue de la configuration de sécurité de vos ressources cloud
- Recommandations de sécurité pour corriger les erreurs de configuration et les faiblesses
- Degré de sécurisation
- Gouvernance
- Conformité aux normes
- Graphique de sécurité du cloud
- Analyse du chemin d’attaque
- Analyse sans agent des machines
Découvrez-en plus sur le plan Defender CSPM.
Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
Pour les analystes de sécurité, il est essentiel d’identifier les risques potentiels associés aux recommandations de sécurité et de comprendre les vecteurs d’attaque afin qu’ils puissent hiérarchiser efficacement leurs tâches.
Defender pour le cloud facilite la hiérarchisation en mappant les recommandations de sécurité Azure, AWS et GCP à l’infrastructure MITRE ATT&CK. Le framework MITRE ATT&CK est une base de connaissances mondialement accessible des tactiques et techniques adversaires basées sur des observations réelles, ce qui permet aux clients de renforcer la configuration sécurisée de leurs environnements.
Le framework MITRE ATT&CK est intégré de trois façons :
- Les recommandations correspondent aux tactiques et techniques MITRE ATT&CK.
- Interrogez les tactiques et techniques MITRE ATT&CK sur les recommandations à l’aide d’Azure Resource Graph.
Defender pour les conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Microsoft Defender pour les conteneurs fournit désormais une analyse des vulnérabilités sans agent pour ELASTIC Container Registry (ERC) dans Amazon AWS. Extension de la couverture des environnements multicloud, dans le prolongement de la publication, plus tôt cette année, d’une protection contre les menaces avancées et d’un renforcement de l’environnement Kubernetes pour AWS et Google GCP. Le modèle sans agent crée des ressources AWS dans vos comptes pour analyser vos images sans extraire d’images de vos comptes AWS et sans empreinte sur votre charge de travail.
L’analyse d’évaluation des vulnérabilités sans agent pour les images dans les référentiels ERC permet de réduire la surface d’attaque de vos ressources conteneurisées en analysant en continu les images afin d’identifier et gérer les vulnérabilités des conteneurs. Avec cette nouvelle version, Defender pour le cloud analyse les images conteneur envoyées au dépôt et réévalue continuellement les images conteneur DEC dans le Registre. Les résultats sont disponibles dans Microsoft Defender pour le cloud en tant que recommandations, et vous pouvez utiliser des flux de travail automatisés intégrés de Defender pour le cloud afin de prendre des mesures en fonction des résultats, comme l’ouverture d’un ticket pour corriger une vulnérabilité de gravité élevée dans une image.
Apprenez-en davantage sur l’évaluation des vulnérabilités des images Amazon ECR.
Septembre 2022
Les mises à jour en septembre sont les suivantes :
- Supprimer les alertes basées sur des entités Container et Kubernetes
- Prise en charge par Defender pour serveurs du monitoring de l’intégrité des fichiers avec l’agent Azure Monitor
- Dépréciation des API d’évaluations héritées
- Recommandations supplémentaires ajoutées à l’identité
- Alertes de sécurité supprimées pour les machines signalant les alertes à des espaces de travail Log Analytics multilocataires
Supprimer les alertes basées sur des entités Container et Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- StatefulSet Kubernetes
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
Découvrez-en plus sur les règles de suppression des alertes.
Prise en charge par Defender pour serveurs du monitoring de l’intégrité des fichiers avec l’agent Azure Monitor
Le monitoring de l’intégrité des fichiers permet d’examiner les fichiers du système d’exploitation et les registres pour déterminer s’ils contiennent des modifications susceptibles d’indiquer une attaque.
FIM est désormais disponible dans une nouvelle version basée sur l’agent Azure Monitor (AMA, Azure Monitor Agent), que vous pouvez déployer par le biais de Defender pour le cloud.
Pour plus d’informations, consultez Monitoring de l’intégrité des fichiers avec l’agent Azure Monitor.
Dépréciation des API d’évaluations héritées
Les API suivantes sont déconseillées :
- Tâches de sécurité
- états de sécurité
- Synthèses de sécurité
Ces trois API exposaient d’anciens formats d’évaluations et sont remplacées par les API d’évaluations et les API de sous-évaluations. Toutes les données exposées par ces API héritées sont également disponibles dans les nouvelles API.
Recommandations supplémentaires ajoutées à l’identité
Recommandations de Defender pour le cloud permettant d’améliorer la gestion des utilisateurs et des comptes.
Nouvelles recommandations
La nouvelle version inclut les fonctionnalités suivantes :
Étendue d’évaluation étendue : amélioration de la couverture des comptes d’identité sans authentification multi-facteur et comptes externes sur les ressources Azure (au lieu des abonnements uniquement) permettant aux administrateurs de sécurité d’afficher les attributions de rôles par compte.
Intervalle d’actualisation amélioré : les recommandations sur l’identité ont désormais un intervalle d’actualisation de 12 heures.
Fonctionnalité d’exemption de compte : Defender pour le cloud dispose de nombreuses fonctionnalités qui permettent de personnaliser l’expérience utilisateur et de vérifier que le niveau de sécurité reflète les priorités de sécurité de votre organisation. Par exemple, vous pouvez exempter les ressources et les recommandations de votre score de sécurité.
Cette mise à jour vous permet d’exempter des comptes spécifiques de l’évaluation avec les six recommandations listées dans le tableau suivant.
En règle générale, vous exemptez les comptes de « verre de rupture » d’urgence des recommandations de l’authentification multifacteur, car ces comptes sont souvent délibérément exclus des exigences de l’authentification multifacteur d’une organisation. Vous pouvez également disposer de comptes externes auxquels vous souhaitez autoriser l’accès, pour lesquels l’authentification MFA n’est pas activée.
Conseil
Quand vous exemptez un compte, il n’est pas affiché comme étant non sain. Il n’indique pas non plus qu’un abonnement n’est pas sain.
Recommandation Clé d’évaluation Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur 6240402e-f77c-46fa-9060-a7ce53997754 Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur c0cb17b2-0607-48a7-b0e0-903ed22de39b Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés 20606e75-05c4-48c0-9d97-add6daa2109a Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés 050ac097-3dda-4d24-ab6d-82568e7a50cf Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Les recommandations, bien qu’en préversion, s’affichent en regard des recommandations actuellement en disponibilité générale.
Alertes de sécurité supprimées pour les machines signalant les alertes à des espaces de travail Log Analytics multilocataires
Auparavant, Defender pour le cloud vous permettait de choisir l’espace de travail auquel vos agents Log Analytics signalaient leurs alertes. Lorsqu’un ordinateur appartient à un locataire (locataire A), mais que son agent Log Analytics a signalé à un espace de travail dans un autre locataire (« Locataire B »), les alertes de sécurité relatives à l’ordinateur ont été signalées au premier locataire (locataire A).
Avec cette modification, les alertes à propos des machines connectées à un espace de travail Log Analytics dans un autre locataire n’apparaissent plus dans Defender pour le cloud.
Si vous souhaitez continuer à recevoir les alertes dans Defender pour le cloud, connectez l’agent Log Analytics des machines concernées à l’espace de travail dans le même locataire que la machine.
Découvrez-en plus sur les alertes de sécurité.
Août 2022
Les mises à jour en août sont les suivantes :
- Les vulnérabilités pour les images en cours d’exécution sont désormais visibles avec Defender pour les conteneurs sur vos conteneurs Windows
- Intégration d’Azure Monitor Agent maintenant en préversion
- Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Les vulnérabilités pour les images en cours d’exécution sont désormais visibles avec Defender pour les conteneurs sur vos conteneurs Windows
Defender pour les conteneurs affiche désormais les vulnérabilités pour l’exécution de conteneurs Windows.
Lorsque des vulnérabilités sont détectées, Defender pour le cloud génère la recommandation de sécurité suivante répertoriant les problèmes détectés : Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
Intégration d’Azure Monitor Agent maintenant en préversion
Defender pour le cloud inclut désormais la prise en charge de la préversion d’Azure Monitor Agent Azure Monitor (AMA). AMA est destiné à remplacer l’agent Log Analytics hérité (également appelé Microsoft Monitoring Agent (MMA)), qui est en voie de dépréciation. AMA offre ne nombreux avantages par rapport aux agents hérités.
Dans Defender pour le cloud, lorsque vous activez l’approvisionnement automatique pour AMA, l’agent est déployé sur des machines virtuelles existantes et nouvelles et sur les machines avec Azure Arc détectées dans vos abonnements. Si des plans Defender pour le cloud sont activés, AMA collecte des informations de configuration et des journaux des événements à partir des machines virtuelles Azure et Azure Arc. L’intégration d’AMA est en préversion. Nous vous recommandons donc de l’utiliser dans les environnements de test plutôt que dans les environnements de production.
Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Le tableau suivant liste les alertes qui ont été dépréciées :
Nom de l’alerte | Description | Tactique | Gravité |
---|---|---|---|
Détection d’une opération de création Docker sur un nœud Kubernetes (VM_ImageBuildOnNode) |
Les journaux de la machine indiquent une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés. | Évasion de défense | Faible |
Demande suspecte à l’API Kubernetes (VM_KubernetesAPI) |
Les journaux de la machine indiquent qu’une demande suspecte a été adressée à l’API Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis. | LateralMovement | Moyenne |
Le serveur SSH s’exécute à l’intérieur d’un conteneur (VM_ContainerSSH) |
Les journaux de la machine indiquent qu’un serveur SSH est en cours d’exécution dans un conteneur Docker. Bien que ce comportement puisse être intentionnel, il indique fréquemment qu’un conteneur est mal configuré ou a subi une violation. | Exécution | Moyenne |
Ces alertes sont utilisées pour avertir un utilisateur de l’activité suspecte liée à un cluster Kubernetes. Les alertes seront remplacées par des alertes correspondantes qui font partie des alertes de conteneur Microsoft Defender pour le cloud (K8S.NODE_ImageBuildOnNode
, K8S.NODE_ KubernetesAPI
et K8S.NODE_ ContainerSSH
) qui garantiront une meilleure fidélité et un contexte complet pour examiner et agir sur les alertes. En savoir plus sur les alertes pour les Clusters Kubernetes.
Les vulnérabilités de conteneur incluent désormais des informations détaillées sur les packages
L’évaluation des vulnérabilités de Defender pour les conteneurs inclut maintenant des informations détaillées sur les packages pour chaque résultat, notamment le nom du package, le type de package, le chemin, la version installée et la version corrigée. Ces informations sur les packages vous permettent d’identifier les packages vulnérables pour que vous puissiez ensuite corriger la vulnérabilité ou supprimer le package.
Ces informations détaillées sur les packages sont disponibles pour les nouvelles analyses d’images.
Juillet 2022
Les mises à jour du mois de juillet incluent :
- Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
- L’évaluation des vulnérabilités de Defender pour les conteneurs ajoute la prise en charge de la détection des packages spécifiques à la langue (préversion)
- Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
- Intégration à Entra Permissions Management
- Les recommandations Key Vault ont changé en « audit »
- Déconseiller l’utilisation des stratégies d’application API pour App Service
Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
Nous sommes heureux d’annoncer que l’agent de sécurité natif cloud pour la protection du runtime Kubernetes est désormais disponible en disponibilité générale !
Les déploiements de production de clusters Kubernetes continuent de croître à mesure que les clients continuent à conteneuriser leurs applications. Pour faciliter cette croissance, l’équipe Defender pour les conteneurs a développé un agent de sécurité natif cloud orienté Kubernetes.
Le nouvel agent de sécurité est un DaemonSet Kubernetes, basé sur la technologie eBPF et entièrement intégré aux clusters AKS dans le cadre du profil de sécurité AKS.
L’activation de l’agent de sécurité est disponible via l’approvisionnement automatique, le flux de recommandations, AKS RP ou à grande échelle à l’aide de Azure Policy.
Vous pouvez déployer l'agent Defender dès aujourd'hui sur vos clusters AKS.
Avec cette annonce, la protection du runtime/la détection des menaces (charge de travail) est désormais également en disponibilité générale.
En savoir plus sur la disponibilité des fonctionnalités de Defender pour les conteneurs.
Vous pouvez également passer en revue toutes les alertes disponibles.
Notez que si vous utilisez la version préliminaire, l’indicateur de fonctionnalité AKS-AzureDefender
n’est plus nécessaire.
L’évaluation des vulnérabilités de Defender pour les conteneurs ajoute la prise en charge de la détection des packages spécifiques à la langue (préversion)
L’évaluation des vulnérabilités de Defender pour les conteneurs est en mesure de détecter les vulnérabilités dans les packages de système d’exploitation déployés via le gestionnaire de package du système d’exploitation. Nous avons maintenant étendu ces capacités d’évaluation des vulnérabilités pour détecter les vulnérabilités incluses dans des packages spécifiques à la langue.
Cette fonctionnalité est disponible en préversion et uniquement pour les images Linux.
Pour afficher tous les packages spécifiques à la langue inclus qui ont été ajoutés, consultez la liste complète des fonctionnalités de Defender pour les conteneurs et de leur disponibilité.
Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
L’infrastructure Operations Management (OMI) est un regroupement de services informatiques destinés à gérer vos environnements locaux et de cloud depuis une interface unique. Plutôt que de déployer et de gérer des ressources locales, les composants OMI sont entièrement hébergés dans Azure.
Log Analytics intégré à Azure HDInsight exécutant OMI version 13 nécessite un correctif pour corriger la vulnérabilité CVE-2022-29149. Passez en revue le rapport sur cette vulnérabilité dans le guide des correctifs de sécurité Microsoft pour plus d’informations sur l’identification des ressources affectées par cette vulnérabilité et les étapes de correction.
Si Defender pour les serveurs est activé avec l’évaluation des vulnérabilités, vous pouvez utiliser ce classeur pour identifier les ressources affectées.
Intégration à Entra Permissions Management
Defender pour le cloud intègre Microsoft Entra Permissions Management, une solution CIEM (Cloud Infrastructure Entitlement Management) qui offre une visibilité et un contrôle complets des autorisations pour toutes les identités et toutes les ressources dans Azure, AWS et GCP.
Chaque abonnement Azure, compte AWS et projet GCP que vous intégrez affiche désormais une vue de votre index PCI (Permission Creep Index).
En savoir plus sur Entra Permission Management (anciennement Cloudknox)
Les recommandations Key Vault ont changé en « audit »
L’effet des recommandations Key Vault répertoriées ici a été remplacé par « audit » :
Nom de la recommandation | ID de recommandation |
---|---|
La période de validité des certificats stockés dans Azure Key Vault ne doit pas dépasser 12 mois | fc84abc0-eee6-4758-8372-a7681965ca44 |
Les secrets Key Vault doivent avoir une date d’expiration | 14257785-9437-97fa-11ae-898cfb24302b |
Les clés Key Vault doivent avoir une date d’expiration | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Déconseiller l’utilisation des stratégies d’application API pour App Service
Nous déconseillons l’utilisation des stratégies suivantes avec les stratégies correspondantes qui existent déjà pour inclure des applications API :
Fonctionnalité destinée à être déconseillée | Modification en |
---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juin 2022
Les mises à jour du mois de juin incluent :
- Disponibilité générale pour Microsoft Defender pour Azure Cosmos DB
- Disponibilité générale de Defender pour SQL sur les machines pour les environnements AWS et GCP
- Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
- Filtrer les alertes de sécurité par adresse IP
- Alertes par groupe de ressources
- Approvisionnement automatique de solution unifiée Microsoft Defender pour point de terminaison
- Déprécier la stratégie « L'application API doit uniquement être accessible via HTTPS »
- Nouvelles alertes de Key Vault
Disponibilité générale pour Microsoft Defender pour Azure Cosmos DB
Microsoft Defender pour Azure Cosmos DB est désormais en disponibilité générale (GA) et prend en charge les types de comptes d’API SQL (Core).
Cette nouvelle version en disponibilité générale fait partie de la suite de protection des bases de données Microsoft Defender pour le cloud, qui inclut différents types de bases de données SQL et MariaDB. Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB.
En activant ce plan, vous serez alerté des injections SQL potentielles, des mauvais acteurs connus, des schémas d’accès suspects et des explorations potentielles de votre base de données par des identités compromises ou des insiders malveillants.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes fournissent les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
Microsoft Defender pour Azure Cosmos DB analyse en continu le flux de télémétrie généré par les services Azure Cosmos DB et les croise avec Microsoft Threat Intelligence et les modèles comportementaux pour détecter toute activité suspecte. Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB et n’a aucun impact sur les performances de votre base de données.
En savoir sur Microsoft Defender pour Azure Cosmos DB.
Grâce à l’ajout de la prise en charge d’Azure Cosmos DB, Defender pour le cloud fournit désormais l’une des offres de protection des charges de travail les plus complètes pour les bases de données cloud. Les équipes de sécurité et les propriétaires de base de données peuvent désormais avoir une expérience centralisée pour gérer leur sécurité de base de données de leurs environnements.
Découvrez comment activer des protections pour vos bases de données.
Disponibilité générale de Defender pour SQL sur les machines pour les environnements AWS et GCP
Les fonctionnalités de protection de base de données fournies par Microsoft Defender pour le cloud ont ajouté la prise en charge de vos serveurs SQL hébergés dans des environnements AWS ou GCP.
À l’aide de Defender pour SQL, les entreprises peuvent désormais protéger l’ensemble de leurs bases de données, qu’elles soient hébergées sur Azure, AWS, GCP ou sur des machines locales.
Microsoft Defender pour SQL offre une expérience multicloud unifiée permettant d’afficher les recommandations de sécurité, les alertes de sécurité et les résultats de l’évaluation des vulnérabilités pour le serveur SQL et le système d’exploitation Windows sous-jacent.
À l’aide de l’expérience d’intégration multicloud, vous pouvez activer et appliquer la protection des bases de données pour les serveurs SQL s’exécutant sur AWS EC2, RDS Custom pour SQL Server et le moteur de calcul GCP. Une fois que vous avez activé l’un de ces plans, toutes les ressources prises en charge qui existent au sein de l’abonnement sont protégées. Les ressources futures créées sur le même abonnement seront également protégées.
Découvrez comment protéger et connecter votre environnement AWS et votre organisation GCP avec Microsoft Defender pour le cloud.
Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
Aujourd’hui, les menaces croissantes pour les organisations étendent les limites du personnel de sécurité pour protéger leurs charges de travail en expansion. Les équipes de sécurité sont mises en œuvre pour implémenter les protections définies dans leurs stratégies de sécurité.
À présent, avec l’expérience de gouvernance en préversion, les équipes de sécurité peuvent affecter la correction des recommandations de sécurité aux propriétaires de ressources et exiger une planification de correction. Elles peuvent avoir une transparence totale sur la progression de la correction et être averties lorsque les tâches sont en retard.
En savoir plus sur l’expérience de gouvernance dans Aider votre organisation à corriger les problèmes de sécurité liés à la gouvernance des recommandations.
Filtrer les alertes de sécurité par adresse IP
Dans de nombreux cas d’attaques, vous souhaitez suivre les alertes en fonction de l’adresse IP de l’entité impliquée dans l’attaque. Jusqu’à présent, l’adresse IP apparaissait uniquement dans la section « Entités associées » dans le panneau d’alerte unique. À présent, vous pouvez filtrer les alertes dans la page des alertes de sécurité pour afficher les alertes liées à l’adresse IP, et vous pouvez rechercher une adresse IP spécifique.
Alertes par groupe de ressources
La possibilité de filtrer, trier et regrouper par groupe de ressources est ajoutée à la page Alertes de sécurité.
Une colonne de groupe de ressources est ajoutée à la grille des alertes.
Un nouveau filtre est ajouté, ce qui vous permet d’afficher toutes les alertes pour des groupes de ressources spécifiques.
Vous pouvez désormais également regrouper vos alertes par groupe de ressources pour afficher toutes vos alertes pour chacun de vos groupes de ressources.
Approvisionnement automatique de solution unifiée Microsoft Defender pour point de terminaison
Jusqu’à présent, l’intégration à Microsoft Defender pour point de terminaison (MDE) inclut l’installation automatique de la nouvelle solution unifiée MDE pour les machines (abonnements Azure et connecteurs multiclouds) avec Defender pour serveurs Plan 1 activé et pour les connecteurs multiclouds avec Defender pour serveurs Plan 2 activé. Le plan 2 pour les abonnements Azure a activé la solution unifiée pour les machines Linux et les serveurs Windows 2019 et 2022 uniquement. Les serveurs Windows 2012R2 et 2016 utilisaient l’ancienne solution MDE dépendant de l’agent Log Analytics.
Maintenant, la nouvelle solution unifiée est disponible pour toutes les machines dans les deux plans, pour les abonnements Azure et les connecteurs multiclouds. Pour les abonnements Azure avec le plan 2 Serveurs qui ont activé l’intégration MDE après le 20 juin 2022, la solution unifiée activée par défaut pour toutes les machines Azure avec le Plan 2 Defender pour serveurs activé avec l’intégration MDE avant le 20 juin 2022 peut désormais activer l’installation de solution unifiée pour les serveurs Windows 2012R2 et 2016 via le bouton dédié dans la page Intégrations :
En savoir plus sur l’intégration de MDE dans Defender pour les serveurs.
Déconseiller la stratégie « L'application API doit uniquement être accessible via HTTPS »
La stratégie API App should only be accessible over HTTPS
est déconseillée. Cette stratégie est remplacée par la stratégie Web Application should only be accessible over HTTPS
, qui est renommée en App Service apps should only be accessible over HTTPS
.
Pour en savoir plus sur les définitions de stratégie pour Azure App Service, consultez Définitions intégrées d’Azure Policy pour Azure App Service .
Nouvelles alertes de Key Vault
Pour développer les protections contre les menaces fournies par Microsoft Defender pour Key Vault, nous avons ajouté deux nouvelles alertes.
Ces alertes vous informent d’un accès inhabituel refusé détecté pour l’un de vos coffres de clés.
Alerte (type d’alerte) | Description | Tactiques MITRE | severity |
---|---|---|---|
Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé (KV_DeniedAccountVolumeAnomaly) |
Un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Découverte | Faible |
Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés (KV_UserAccessDeniedAnomaly) |
Un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. | Accès initial, découverte | Faible |
Mai 2022
Les mises à jour du mois de mai incluent :
- Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
- L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
- Ajouter et supprimer le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
Il existe à présent des paramètres au niveau du connecteur dédiés à Defender pour serveurs dans le multicloud.
Ces nouveaux paramètres au niveau du connecteur fournissent une granularité pour la tarification et la configuration de l’approvisionnement automatique par connecteur, indépendamment de l’abonnement.
Tous les composants d’approvisionnement automatique disponibles au niveau du connecteur (Azure Arc, MDE et évaluations des vulnérabilités) sont activés par défaut, et la nouvelle configuration prend en charge les niveaux tarifaires Plan 1 et Plan 2.
Les mises à jour de l’interface utilisateur incluent une réflexion sur le niveau tarifaire sélectionné et les composants requis configurés.
Modifications apportées à l’évaluation des vulnérabilités
Defender pour les conteneurs affiche désormais les vulnérabilités qui ont des gravités de niveau moyen et bas non corrigibles.
Dans le cadre de cette mise à jour, les vulnérabilités avec des gravités moyennes et faibles sont désormais affichées, que les correctifs soient disponibles ou non. Cette mise à jour offre une visibilité maximale, tout en vous permettant de filtrer les vulnérabilités non souhaitées à l’aide de la règle de désactivation fournie.
En savoir plus sur Gestion des vulnérabilités
L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
Lorsque vous connectez des comptes AWS, JIT évalue automatiquement la configuration réseau des groupes de sécurité de votre instance et recommande les instances qui ont besoin de protection, car leurs ports de gestion sont exposés. Cela est similaire à la façon dont JIT fonctionne avec Azure. Lorsque vous intégrez des instances EC2 non protégées, JIT bloque l’accès public aux ports de gestion et les ouvre uniquement dans le cadre de requêtes autorisées pour un délai limité.
Découvrez comment JIT protège vos instances AWS EC2
Ajouter et supprimer le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
L’agent Defender est requis pour que Defender pour les conteneurs fournisse les protections du runtime et collecte les signaux des nœuds. Vous pouvez maintenant utiliser Azure CLI pour ajouter et supprimer l’agent Defender pour un cluster AKS.
Remarque
Cette option est incluse dans Azure CLI 3.7 et versions ultérieures.
Avril 2022
Les mises à jour du mois d’avril incluent :
- Nouveaux plans Defender pour les serveurs
- Nouvel emplacement des recommandations personnalisées
- Script PowerShell pour diffuser des alertes vers Splunk et QRadar
- Déprécié la recommandation Azure Cache pour Redis
- Nouvelle variante d’alerte pour Microsoft Defender pour Stockage (préversion) pour détecter l’exposition des données sensibles
- Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
- Consultez les journaux d’activité liés à une alerte de sécurité
Nouveaux plans Defender pour les serveurs
Microsoft Defender pour les serveurs est désormais proposé en deux plans incrémentiels :
- Defender pour les serveurs Plan 2, anciennement Defender pour les serveurs
- Defender pour les serveurs Plan 1, comprenant le support pour Microsoft Defender pour les points de terminaison uniquement
Alors que Defender pour les serveurs Plan 2 continue de fournir une protection complète contre les menaces et les vulnérabilités à vos charges de travail cloud et locales, Microsoft Defender pour les serveurs Plan 1 fournit uniquement une protection des points de terminaison, intégrée nativement à Defender pour point de terminaison. En savoir plus sur les plans Defender pour les serveurs.
Si vous avez utilisé Defender pour les serveurs jusqu’à présent, aucune action n’est nécessaire.
En outre, Defender pour le cloud démarre également la prise en charge progressive de l’agent unifié Defender pour les points de terminaison pour Windows Server 2012 R2 et 2016. Defender pour les serveurs Plan 1 déploie le nouvel agent unifié sur les charges de travail Windows Server 2012 R2 et 2016.
Nouvel emplacement des recommandations personnalisées
Les recommandations personnalisées sont celles créées par un utilisateur ; elles n’ont aucun effet sur le niveau de sécurité. Les recommandations personnalisées sont désormais disponibles sous l’onglet Toutes les recommandations.
Utilisez le nouveau filtre « type de recommandation » pour localiser les recommandations personnalisées.
Apprenez-en davantage dans Créer des stratégies et des initiatives de sécurité personnalisées.
Script PowerShell pour diffuser des alertes vers Splunk et QRadar
Nous vous recommandons d’utiliser Event Hubs et un connecteur intégré pour exporter des alertes de sécurité vers Splunk et IBM QRadar. Vous pouvez maintenant utiliser un script PowerShell pour configurer les ressources Azure nécessaires pour exporter des alertes de sécurité pour votre abonnement ou locataire.
Téléchargez et exécutez le script PowerShell. Après avoir fourni quelques détails sur votre environnement, le script configure les ressources pour vous. Le script produit ensuite la sortie que vous utilisez dans la plateforme SIEM pour terminer l’intégration.
Pour plus d’informations, consultez Les alertes Stream à Splunk et QRadar.
Déprécié la recommandation Azure Cache pour Redis
La recommandation Azure Cache for Redis should reside within a virtual network
(Préversion) est déconseillée. Nous avons modifié nos conseils pour la sécurisation des instances de Azure Cache pour Redis. Nous vous recommandons d’utiliser un point de terminaison privé pour restreindre l’accès à votre instance de Azure Cache pour Redis, au lieu d’un réseau virtuel.
Nouvelle variante d’alerte pour Microsoft Defender pour Stockage (préversion) pour détecter l’exposition des données sensibles
Les alertes de Microsoft Defender pour Stockage vous avertissent lorsque les acteurs de la menace tentent d’analyser et d’exposer, correctement ou pas, mal configurés, des conteneurs de stockage ouverts publiquement pour essayer d’exfiltrer les informations sensibles.
Pour accélérer le triage et le temps de réponse, lorsque l’exfiltration de données potentiellement sensibles peut s’être produite, nous avons publié une nouvelle variante de l’alerte Publicly accessible storage containers have been exposed
existante.
La nouvelle alerte, Publicly accessible storage containers with potentially sensitive data have been exposed
, est déclenchée avec un niveau de gravité High
, une fois une découverte réussie d’un ou plusieurs conteneurs de stockage ouverts publiquement avec des noms qui ont été détectés statistiquement à être exposés publiquement, ce qui suggère qu’ils peuvent contenir des informations sensibles.
Alerte (type d’alerte) | Description | Tactique MITRE | severity |
---|---|---|---|
PRÉVERSION - Les conteneurs de stockage accessibles publiquement avec des données potentiellement sensibles ont été exposés (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Quelqu’un a analysé votre compte stockage Azure et exposé des conteneurs qui autorisent l’accès public. Un ou plusieurs conteneurs exposés ont des noms qui indiquent qu’ils peuvent contenir des données sensibles. Cela indique généralement la reconnaissance par un acteur de menace qui recherche des conteneurs de stockage accessibles publiquement mal configurés qui peuvent contenir des données sensibles. Une fois qu’un acteur de menace découvre correctement un conteneur, il peut continuer en exfiltrant les données. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Élevé |
Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
La réputation d’une adresse IP peut indiquer si l’activité d’analyse provient d’un acteur de menace connu ou d’un acteur qui utilise le réseau Tor pour masquer son identité. Ces deux indicateurs suggèrent qu’il existe une intention malveillante. La réputation de l’adresse IP est fournie par Microsoft Threat Intelligence.
L’ajout de la réputation de l’adresse IP au titre de l’alerte permet d’évaluer rapidement l’intention de l’acteur, et ainsi la gravité de la menace.
Les alertes suivantes incluent ces informations :
Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered
Par exemple, les informations ajoutées au titre de l’alerte Publicly accessible storage containers have been exposed
ressemblent à ceci :
Publicly accessible storage containers have been exposed
by a suspicious IP address
Publicly accessible storage containers have been exposed
by a Tor exit node
Toutes les alertes pour Microsoft Defender pour Stockage continueront d’inclure des informations sur les menaces dans l’entité IP dans la section Entités associées de l’alerte.
Consulter les journaux d’activité liés à une alerte de sécurité
Dans le cadre des actions que vous pouvez effectuer pour évaluer une alerte de sécurité, vous pouvez trouver les journaux de plateforme associés dans Inspecter le contexte de la ressource pour obtenir un contexte sur la ressource affectée. Microsoft Defender pour le cloud identifie les journaux de plateforme qui se trouvent à moins d’un jour de l’alerte.
Les journaux de plateforme peuvent vous aider à évaluer la menace de sécurité et à identifier les étapes que vous pouvez effectuer pour atténuer le risque identifié.
Mars 2022
Les mises à jour du mois de mars incluent :
- Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
- Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
- Defender pour les conteneurs peut désormais rechercher les vulnérabilités dans les images Windows (préversion)
- Nouvelle alerte pour Microsoft Defender pour le stockage (préversion)
- Configurer les paramètres de notifications par e-mail à partir d’une alerte
- Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
- Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
- Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
- L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
- Dépréciation des recommandations relatives aux appareils Microsoft Defender pour IoT
- Dépréciation des alertes relatives aux appareils Microsoft Defender pour IoT
- Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
- Analyse du registre pour les images Windows dans ACR prend maintenant en charge les clouds nationaux
Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
Les fonctionnalités de gestion de l’état de la sécurité du cloud fournies par Microsoft Defender pour le cloud offrent maintenant la prise en charge de vos environnements AWS et GCP dans votre degré de sécurisation.
Les entreprises peuvent désormais voir leur état de sécurité global, dans différents environnements, comme Azure, AWS et GCP.
La page Degré de sécurisation est remplacée par le tableau de bord Posture de sécurité. Le tableau de bord Posture de sécurité vous permet d’afficher un score global pour tous vos environnements, ou une répartition de votre situation de sécurité en fonction de l’ensemble des environnements que vous choisissez.
La page Recommandations a également été repensée pour fournir de nouvelles fonctionnalités, comme la sélection d’un environnement cloud, des filtres avancés basés sur le contenu (groupe de ressources, compte AWS, projet GCP, etc.), une interface utilisateur améliorée pour les faibles résolutions, la prise en charge des requêtes ouvertes dans le graphe des ressources, et bien plus encore. Vous pouvez en savoir plus sur la posture de sécurité globale et les recommandations de sécurité.
Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
Les modifications apportées à notre feuille de route et à nos priorités ont supprimé le besoin de l’agent de collecte des données du trafic réseau. Les deux recommandations suivantes et leurs stratégies associées ont été dépréciées.
Recommandation | Description | Gravité |
---|---|---|
L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Defender pour le cloud utilise l’agent Microsoft Dependency pour collecter les données du trafic sur vos machines virtuelles Azure afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de renforcement de la sécurité du réseau et menaces réseau spécifiques. | Medium |
L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Defender pour le cloud utilise l’agent Microsoft Dependency pour collecter les données du trafic sur vos machines virtuelles Azure afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de renforcement de la sécurité et menaces réseau spécifiques. | Moyenne |
Defender pour les conteneurs peut désormais rechercher les vulnérabilités dans les images Windows (préversion)
L’analyse d’image Defender pour les conteneurs prend désormais en charge les images Windows hébergées dans Azure Container Registry. Cette fonctionnalité est gratuite en préversion, et elle entraînera un coût lorsqu’elle sera en disponibilité générale.
Apprenez-en davantage dans Analyse des vulnérabilités dans les images avec Microsoft Defender pour les conteneurs.
Nouvelle alerte pour Microsoft Defender pour le stockage (préversion)
Afin de développer les protections contre les menaces fournies par Microsoft Defender pour le stockage, nous avons ajouté une nouvelle alerte en préversion.
Les acteurs des menaces utilisent des applications et des outils pour découvrir et accéder aux comptes de stockage. Microsoft Defender pour le stockage détecte ces applications et outils pour vous permettre de les bloquer et de corriger votre posture.
Cette alerte en préversion se nomme Access from a suspicious application
. L’alerte s’applique uniquement à Stockage Blob Azure et à ADLS Gen2.
Alerte (type d’alerte) | Description | Tactique MITRE | Gravité |
---|---|---|---|
PRÉVERSION - Accès à partir d’une application suspecte (Storage.Blob_SuspiciousApp) |
Indique qu’une application suspecte a réussi à accéder à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2 |
Accès initial | Moyenne |
Configurer les paramètres de notifications par e-mail à partir d’une alerte
Une nouvelle section a été ajoutée à l’interface utilisateur des alertes ; elle vous permet d’afficher et de changer les destinataires des notifications par e-mail pour les alertes déclenchées sur l’abonnement actuel.
Découvrez comment Configurer des notifications par e-mail pour les alertes de sécurité.
Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
L’alerte en préversion suivante est déconseillée :
Nom de l’alerte | Description |
---|---|
PRÉVERSION – Activité à partir d’une adresse IP à risque (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Une activité utilisateur depuis une adresse IP qui a été identifiée comme adresse IP de proxy anonyme a été détectée. Ces proxys sont utilisés par des individus souhaitant masquer l’adresse IP de leur appareil et peuvent être utilisés dans un but malveillant. Cette détection utilise un algorithme Machine Learning qui réduit les faux positifs, tels que les adresses IP mal étiquetées qui sont largement utilisées par d’autres utilisateurs de l’organisation. Requiert une licence active Microsoft Defender for Cloud Apps. |
Une nouvelle alerte a été créée pour fournir ces informations et s’y ajouter. De plus, les alertes plus récentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) ne demandent pas de licence pour Microsoft Defender pour les applications cloud (anciennement Microsoft Cloud App Security).
Découvrez plus d’alertes pour Resource Manager.
Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
La recommandation Vulnerabilities in container security configurations should be remediated
a été déplacée de la section Niveau de sécurité vers la section Bonnes pratiques.
L’expérience utilisateur actuelle fournit uniquement le score lorsque les contrôles de conformité ont réussi. La plupart des clients ont des difficultés à satisfaire tous les contrôles requis. Nous travaillons sur l’amélioration de l’expérience pour cette recommandation et, une fois publiée, celle-ci sera redéplacée vers le niveau de sécurité.
Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
Comme les organisations utilisent de moins en moins les certificats de gestion pour gérer leurs abonnements, et que nous avons récemment annoncé le retrait du modèle de déploiement Services cloud (Classic), nous avons déprécié la recommandation Defender pour le cloud suivante et sa stratégie associée :
Recommandation | Description | Gravité |
---|---|---|
Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion | Les certificats de gestion permettent à toute personne qui les utilise pour s’authentifier de gérer les abonnements auxquels ils sont associés. Pour gérer les abonnements de manière plus sécurisée, il est recommandé d’utiliser des principaux de service avec Resource Manager afin de limiter le rayon d’impact en cas de compromission de certificat. Cela automatise également la gestion des ressources. (Stratégie associée : Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion) |
Medium |
En savoir plus :
- Le modèle de déploiement de Cloud Services (Classic) est mis hors service le 31 août 2024
- Présentation d’Azure Cloud Services (Classic)
- Workflow de l’architecture de machine virtuelle Microsoft Azure (Classic), y compris les concepts de base du workflow RDFE
L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
L’implémentation héritée de la norme ISO 27001 sera supprimée du tableau de bord de conformité réglementaire de Defender pour le cloud. Si vous effectuez le suivi de votre conformité ISO 27001 avec Defender pour le cloud, intégrez la nouvelle norme ISO 27001:2013 pour tous les groupes d’administration ou abonnements appropriés.
Dépréciation des recommandations relatives aux appareils Microsoft Defender pour IoT
Les recommandations relatives aux appareils Microsoft Defender pour IoT ne sont plus visibles dans Microsoft Defender pour le cloud. Ces recommandations restent néanmoins disponibles dans la page Recommandations de Microsoft Defender pour IoT.
Les recommandations suivantes sont dépréciées :
Clé d’évaluation | Recommandations |
---|---|
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b : appareils IoT | Ports ouverts sur l’appareil |
ba975338-f956-41e7-a9f2-7614832d382d : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne d’entrée |
beb62be3-5e78-49bd-ac5f-099250ef3c7c : appareils IoT | Stratégie de pare-feu permissive trouvée dans l’une des chaînes |
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne de sortie |
5f65e47f-7a00-4bf3-acae-90ee441ee876 : appareils IoT | Échec de validation de la base du système d’exploitation |
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879 : appareils IoT | Agent envoyant des messages sous-exploités |
2acc27c6-5fdb-405e-9080-cb66b850c8f5 : appareils IoT | Mise à niveau de la suite de chiffrement TLS requise |
d74d2738-2485-4103-9919-69c7e63776ec : appareils IoT | Auditd processus arrêté d’envoi d’événements |
Dépréciation des alertes relatives aux appareils Microsoft Defender pour IoT
Les alertes relatives aux appareils Microsoft Defender pour IoT ne sont plus visibles dans Microsoft Defender pour le cloud. Ces alertes sont néanmoins disponibles dans la page Alerte de Microsoft Defender pour IoT ainsi que dans Microsoft Sentinel.
Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS et GCP. Ce plan sans agent évalue vos ressources multi-cloud conformément aux recommandations de sécurité propres au cloud. Celles-ci sont incluses dans votre niveau de sécurité. La conformité des ressources est évaluée à l’aide de normes intégrées. La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS avec vos ressources Azure.
Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos instances de calcul dans AWS et GCP. Le plan Defender pour les serveurs comprend la licence intégrée pour Microsoft Defender pour point de terminaison, l’analyse de l’évaluation des vulnérabilités, et bien plus encore. Découvrez toutes les fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter votre environnement AWS et votre organisation GCP avec Microsoft Defender pour le cloud.
Analyse du registre pour les images Windows dans ACR prend maintenant en charge les clouds nationaux
L’analyse du registre pour les images Windows est désormais prise en charge dans Azure Government et Microsoft Azure géré par 21Vianet. Cet ajout est actuellement en préversion.
En savoir plus sur la disponibilité de la fonctionnalité.
Février 2022
Les mises à jour de février sont les suivantes :
- Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
- CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
- Microsoft Defender pour Azure Cosmos DB (préversion)
- Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
Defender pour les conteneurs ne protégeait auparavant que les charges de travail Kubernetes s’exécutant dans Azure Kubernetes Service. Nous avons maintenant étendu la couverture protectrice de façon à inclure les clusters Kubernetes avec Azure Arc.
Découvrez comment configurer la protection de vos charges de travail Kubernetes pour AKS et les clusters Kubernetes avec Azure Arc.
CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
La nouvelle intégration automatisée des environnements GCP vous permet de protéger les charges de travail GCP avec Microsoft Defender pour le cloud. Defender pour le cloud protège vos ressources avec les plans suivants :
Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources GCP. Ce plan sans agent évalue vos ressources GCP conformément aux recommandations de sécurité propres à GCP, qui sont fournies avec Defender pour le cloud. Les recommandations GCP sont incluses dans votre degré de sécurisation, et les ressources sont évaluées pour la conformité à la norme CIS GCP intégrée. La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources dans Azure, AWS et GCP.
Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos instances de calcul GCP. Ce plan comprend la licence intégrée pour Microsoft Defender pour point de terminaison, l’analyse de l’évaluation des vulnérabilités, et bien plus encore.
Pour obtenir la liste complète des fonctionnalités disponibles, consultez Fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter vos projets GCP avec Microsoft Defender pour le cloud.
Microsoft Defender pour Azure Cosmos DB (préversion)
Nous avons étendu la couverture de la base de données de Microsoft Defender pour le cloud. Vous pouvez maintenant activer la protection de vos bases de données Azure Cosmos DB.
Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte toutes les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Microsoft Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les acteurs malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’insiders malveillants.
Il analyse en permanence le flux de données client généré par les services Azure Cosmos DB.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes sont affichées dans Microsoft Defender pour le cloud avec les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
L’activation du service n’a aucun impact sur les performances de la base de données, car Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB.
Pour plus d’informations, consultez Vue d’ensemble de Microsoft Defender pour Azure Cosmos DB.
Nous présentons également une nouvelle expérience d’activation pour la sécurité des bases de données. Vous pouvez maintenant activer la protection Microsoft Defender pour le cloud dans votre abonnement afin de protéger tous les types de bases de données comme Azure Cosmos DB, Azure SQL Database, les serveurs Azure SQL sur ordinateur et les bases de données relationnelles open source Microsoft Defender via un processus d’activation. Certains types de ressources peuvent être inclus ou exclus lors de la configuration de votre plan.
Découvrez comment activer la sécurité de votre base de données au niveau de l’abonnement.
Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Suite à notre annonce récente CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP, Microsoft Defender pour les conteneurs a étendu sa protection contre les menaces Kubernetes, son analyse comportementale et ses stratégies de contrôle d’admission intégrées aux clusters standard Google Kubernetes Engine (GKE). Vous pouvez facilement intégrer tous les clusters standard GKE existants ou nouveaux à votre environnement via nos fonctionnalités d’intégration automatique. Pour obtenir la liste complète des fonctionnalités disponibles, consultez Sécurité des conteneurs avec Microsoft Defender pour le cloud.
Janvier 2022
Les mises à jour de janvier sont les suivantes :
- Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT&CK® Matrix
- Recommandations pour activer les plans dans Microsoft Defender sur les espaces de travail (en préversion)
- Approvisionnement automatique de l’agent Log Analytics sur des machines Azure avec Azure Arc (préversion)
- Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
- Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
- Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
- Renommage de deux recommandations
- Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
- Ajout du workbook « Alertes actives »
- Ajout de la recommandation « Mise à jour système » au cloud du secteur public
Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT&CK® Matrix
La couche de gestion cloud est un service essentiel, connecté à toutes vos ressources cloud. De ce fait, il est également une cible potentielle pour les attaquants. Nous recommandons aux équipes des opérations de sécurité de surveiller attentivement la couche de gestion des ressources.
Microsoft Defender pour Resource Manager supervise automatiquement les opérations de gestion des ressources dans votre organisation, qu’elles soient effectuées via le portail Azure, les API REST Azure, Azure CLI ou d’autres clients programmatiques Azure. Defender pour le cloud exécute une analyse de sécurité avancée pour détecter les menaces et vous avertit en cas d’activité suspecte.
Les protections du plan améliorent nettement la résilience de l’organisation face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Defender pour le cloud.
En décembre 2020, nous avons introduit la préversion de Defender pour Resource Manager. En mai 2021, le plan a été mis en disponibilité générale.
Avec cette mise à jour, nous avons intégralement revu l’objectif du plan Microsoft Defender pour Resource Manager. Le plan mis à jour comprend une multitude de nouvelles alertes axées sur l’identification d’un appel suspect d’opérations à haut risque. Ces nouvelles alertes fournissent une surveillance approfondie des attaques dans la matrice MITRE ATT&CK® complète pour les techniques basées sur le cloud.
Cette matrice couvre l’éventail suivant d’intentions potentielles des acteurs des menaces qui peuvent cibler les ressources de votre organisation : l’accès initial, l’exécution, la persistance, l’élévation des privilèges, le contournement des défenses, l’accès aux informations d’identification, la découverte, le mouvement latéral, la collecte, l’exfiltration et l’impact.
Les nouvelles alertes de ce plan Defender couvrent ces intentions, comme l’indique le tableau suivant.
Conseil
Ces alertes figurent également sur la page de référence des alertes.
Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | severity |
---|---|---|---|
Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’accès à des ressources soumises restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour un accès initial aux ressources limitées dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès initial | Moyenne |
Appel suspect d’une opération d’exécution à haut risque détecté (préversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur une machine de votre abonnement, susceptible d’indiquer une tentative d’exécution de code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Exécution | Moyenne |
Appel suspect d’une opération de persistance à haut risque détecté (préversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’établissement d’une persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour établir la persistance de votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Persistance | Moyenne |
Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’élévation des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour élever les privilèges quand il compromet les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Réaffectation de privilèges | Moyenne |
Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de contournement des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un intervenant représentant une menace peut utiliser ces opérations pour éviter d’être détecté quand il compromet les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Évasion de défense | Moyenne |
Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’accès à des informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès aux informations d’identification | Moyenne |
Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour compromettre des ressources supplémentaires de votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Déplacement latéral | Moyenne |
Appel suspect d’une opération de collecte de données à haut risque détecté (préversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur les ressources de votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Collection | Moyenne |
Appel suspect d’une opération d’impact à haut risque détecté (préversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de modification de la configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Impact | Moyenne |
En outre, les deux alertes suivant de ce plan ont été retirées de la préversion :
Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | Gravité |
---|---|---|---|
Opération Azure Resource Manager depuis une adresse IP suspecte (ARM_OperationFromSuspiciousIP) |
Microsoft Defender pour Resource Manager a détecté une opération à partir d’une adresse IP qui a été marquée comme suspecte dans les flux de renseignement sur les menaces. | Exécution | Moyenne |
Opération Azure Resource Manager depuis une adresse IP proxy suspecte (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée à des services proxy comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Moyenne |
Recommandations pour activer les plans Microsoft Defender sur les espaces de travail (préversion)
Pour tirer parti de toutes les fonctionnalités de sécurité disponibles dans Microsoft Defender pour les serveurs et Microsoft Defender pour SQL sur les machines, les plans doivent être activés à la fois au niveau de l’abonnement et au niveau de l’espace de travail.
Lorsqu’une machine fait partie d’un abonnement dans lequel l’un de ces plans est activé, les protections complètes vous sont facturées. Toutefois, si cette machine dépend d’un espace de travail sur lequel aucun plan n’est activé, vous ne bénéficiez pas de ces avantages.
Nous avons ajouté deux recommandations qui mettent en évidence les espaces de travail pour lesquels ces plans ne sont pas activés, mais dont dépendent des machines issues d’abonnements avec plan.
Les recommandations, qui offrent toutes les deux une correction automatisée (l’action « Corriger »), sont les suivantes :
Recommandation | Description | Gravité |
---|---|---|
Microsoft Defender pour les serveurs doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. En savoir plus dans Vue d’ensemble de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Moyenne |
Microsoft Defender pour SQL sur les ordinateurs doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. En savoir plus dans Vue d’ensemble de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Moyenne |
Approvisionnement automatique de l’agent Log Analytics sur des machines avec Azure Arc d’activés (préversion)
Defender pour le cloud utilise l’agent Log Analytics pour collecter des données relatives à la sécurité sur les machines. L’agent lit les configurations et les journaux des événements de sécurité, puis copie les données dans votre espace de travail pour analyse.
Les paramètres d’approvisionnement automatique de Defender pour le cloud comportent un bouton bascule pour chaque type d’extension pris en charge, et notamment l’agent Log Analytics.
Dans une extension supplémentaire de nos fonctionnalités de cloud hybride, nous avons ajouté une option permettant d’approvisionner automatiquement l’agent Log Analytics sur des machines connectées à Azure Arc.
Tout comme les options d’approvisionnement automatique, elle est configurée au niveau de l’abonnement.
Lorsque vous activez cette option, il vous est demandé d’indiquer l’espace de travail.
Notes
Pour cette préversion, vous ne pouvez pas sélectionner les espaces de travail par défaut qui ont été créés par Defender pour le cloud. Afin de recevoir l’ensemble complet des fonctionnalités de sécurité disponibles pour les serveurs avec Azure Arc, vérifiez que la solution de sécurité appropriée est installée sur l’espace de travail sélectionné.
Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
Nous avons supprimé la recommandation Les données sensibles de vos bases de données SQL doivent être classées dans le cadre d’une révision de la façon dont Defender pour le cloud identifie et protège les données sensibles présentes dans vos ressources cloud.
Une notification préalable concernant cette modification est affichée depuis six mois sur la page Modifications importantes à venir de Microsoft Defender pour le cloud.
Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
L’alerte suivante n’était auparavant disponible que pour les organisations qui avaient activé le plan Microsoft Defender pour DNS.
Avec cette mise à jour, l’alerte s’affiche également dans les abonnements pour lesquels le plan Microsoft Defender pour les serveurs ou le plan Defender pour App Service est activé.
En outre, Microsoft Threat Intelligence a étendu la liste des domaines malveillants connus aux domaines associés à l’exploitation des vulnérabilités bien connues de Log4j.
Alerte (type d’alerte) | Description | Tactiques MITRE | severity |
---|---|---|---|
Communication avec un domaine suspect identifié par le renseignement sur les menaces (AzureDNS_ThreatIntelSuspectDomain) |
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. | Accès initial, persistance, exécution, commande et contrôle, et exploitation | Moyenne |
Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
Pour aider nos utilisateurs à partager rapidement le détail d’une alerte avec d’autres personnes (par exemple les analystes SOC, les propriétaires des ressources et les développeurs), nous avons ajouté la capacité d’extraire facilement toutes les informations relatives à une alerte spécifique en cliquant sur un bouton du volet d’informations de l’alerte de sécurité.
Le nouveau bouton Copier l’alerte JSON place les détails de l’alerte, au format JSON , dans le Presse-papiers de l’utilisateur.
Renommage de deux recommandations
À des fins de cohérence avec d’autres noms de recommandations, nous avons renommé les deux recommandations suivantes :
Recommandation de résoudre les vulnérabilités découvertes dans les images conteneurs en cours d’exécution
- Ancien nom : Les vulnérabilités des images conteneurs en cours d’exécution doivent être corrigées (optimisé par Qualys)
- Nouveau nom : Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs en cours d’exécution
Recommandation d’activer les journaux de diagnostic pour Azure App Service
- Ancien nom : Les journaux de diagnostic doivent être activés dans App Service
- Nouveau nom : Les journaux de diagnostic d’App Service doivent être activés
Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
Nous avons déprécié la recommandation Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés.
Nom de stratégie | Description | Effet(s) | Version |
---|---|---|---|
Les conteneurs de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des conteneurs aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour le moteur AKS et Kubernetes avec Azure Arc. Pour plus d’informations, consultez Comprendre Azure Policy pour les clusters Kubernetes. | audit, deny, disabled | 6.1.2 |
La recommandation Les services doivent écouter sur les ports autorisés uniquement doit être utilisée pour limiter les ports qu’une application expose sur Internet.
Ajout du workbook « Alertes actives »
Pour aider nos utilisateurs à comprendre les menaces actives dans leurs environnements et à hiérarchiser les alertes actives pendant le processus de correction, nous avons ajouté le workbook Alertes actives.
Le classeur d’alertes actives permet aux utilisateurs d’afficher un tableau de bord unifié de leurs alertes agrégées par gravité, type, balise, tactiques MITRE ATT&CK et emplacement. Pour plus d’informations, consultez Utiliser le workbook « Alertes actives ».
Ajout de la recommandation « Mise à jour système » au cloud du secteur public
La recommandation « Les mises à jour système doivent être installées sur vos machines » est maintenant disponible sur tous les clouds du secteur public.
Il est probable que cette modification aura un impact sur le score de sécurité de votre abonnement au cloud du secteur public. Nous pensons que la modification entraîne un score inférieur, mais il est possible que l’inclusion de la recommandation entraîne une augmentation du score dans certains cas.
Décembre 2021
Les mises à jour en décembre sont les suivantes :
- Disponibilité générale du plan Microsoft Defender pour les conteneurs
- Disponibilité générale des nouvelles alertes pour Microsoft Defender pour le stockage
- Améliorations apportées aux alertes pour Microsoft Defender pour le stockage
- Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
Disponibilité générale du plan Microsoft Defender pour les conteneurs
Il y a plus de deux ans, nous avons introduit Defender pour Kubernetes et Defender pour les registres de conteneur dans le cadre de l’offre Azure Defender incluse dans Microsoft Defender pour le cloud.
Avec la publication de Microsoft Defender pour les conteneurs, nous avons fusionné ces deux plans Defender existants.
Le nouveau plan :
- combine les fonctionnalités des deux plans existants, notamment la détection des menaces pour les clusters Kubernetes et l’évaluation des vulnérabilités pour les images stockées dans des registres de conteneurs
- offre de nouvelles fonctionnalités et des améliorations, notamment la prise en charge du multicloud, la détection des menaces au niveau de l’hôte avec plus de 60 nouvelles analyses prenant en charge Kubernetes et l’évaluation des vulnérabilités pour les images exécutées
- présente l’intégration native Kubernetes à grande échelle. Par défaut, lorsque vous activez le plan, tous les composants pertinents sont configurés pour être déployés automatiquement
Avec cette version, la disponibilité et la présentation de Defender pour Kubernetes et Defender pour les registres de conteneurs ont changé comme suit :
- Nouveaux abonnements. Les deux plans de conteneurs précédents ne sont plus disponibles
- Abonnements existants. Lorsqu’ils apparaissent dans le Portail Azure, les plans apparaissent comme Déconseillé et sont associés à des instructions sur la mise à niveau vers le nouveau plan
Le nouveau plan est gratuit pour le mois de décembre 2021. Pour plus d’informations sur les modifications potentielles relatives à la facturation apportées à Defender pour les conteneurs par rapport aux anciens plans, ainsi que sur les avantages introduits dans ce plan, consultez Présentation de Microsoft Defender pour les conteneurs.
Pour plus d'informations, consultez les pages suivantes :
- Vue d’ensemble de Microsoft Defender pour les conteneurs
- Activer Microsoft Defender pour les conteneurs
- Présentation de Microsoft Defender pour les conteneurs - Microsoft Tech Community
- Microsoft Defender pour les conteneurs | Defender pour le cloud sur le terrain 3 - YouTube
Disponibilité générale des nouvelles alertes pour Microsoft Defender pour le stockage
Les acteurs de menaces utilisent des outils et des scripts pour analyser les conteneurs ouverts publiquement dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés incluant des données sensibles.
Microsoft Defender pour le stockage détecte ces scanneurs pour vous permettre de les bloquer et de corriger votre posture.
L’alerte d’aperçu détectée a été appelée « Analyse anonyme des conteneurs de stockage public ». Pour clarifier les informations concernant les événements suspects détectés, nous les avons divisé en deux nouvelles alertes. Ces alertes ne concernent que le Stockage Blob Azure.
Nous avons amélioré la logique de détection, mis à jour les métadonnées d’alerte et modifié le nom et le type des alertes.
Les nouvelles alertes sont les suivantes :
Alerte (type d’alerte) | Description | Tactique MITRE | severity |
---|---|---|---|
Des conteneurs de stockage accessibles publiquement ont été découverts (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Une découverte de conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou des outils d’analyse connus tels que Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Moyenne |
Échec de l’analyse des conteneurs de stockage accessibles publiquement (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Une série de tentatives d’analyse des conteneurs de stockage ouverts publiquement ayant échoué ont été effectuées au cours de la dernière heure. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou des outils d’analyse connus tels que Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Faible |
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Vue d’ensemble de Microsoft Defender pour le stockage
- Liste des alertes fournies par Microsoft Defender pour le stockage
Améliorations apportées aux alertes pour Microsoft Defender pour le stockage
Les alertes d’accès initiales sont désormais plus précises et comportent davantage de données pour soutenir les enquêtes.
Les acteurs de menaces utilisent diverses techniques dans l’accès initial pour s’introduire dans un réseau. Deux des alertes Microsoft Defender pour le stockage qui détectent des anomalies comportementales à ce stade disposent désormais d’une logique de détection améliorée et de données supplémentaires pour soutenir les enquêtes.
Si vous avez configuré des automations ou défini des règles de suppression d’alerte pour ces alertes par le passé, mettez-les à jour conformément à ces modifications.
Détection de l’accès à partir d’un nœud de sortie Tor
L’accès à partir d’un nœud de sortie Tor peut indiquer qu’un acteur de menace tente de masquer son identité.
L’alerte est désormais configurée pour être générée uniquement pour l’accès authentifié, afin d’accroitre la précision et renforcer la confiance quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Un modèle périphérique aura un niveau de gravité élevé, tandis que les modèles moins inhabituels présenteront une gravité moyenne.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès à un compte de stockage à partir d’un nœud de sortie Tor
- Nom de l’alerte (nouveau) : Accès authentifié à partir d’un nœud de sortie Tor
- Types d’alerte : Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Description : un ou plusieurs conteneurs de stockage/partages de fichiers dans votre compte de stockage ont été sollicités avec succès à partir d’une adresse IP connue en tant que nœud de sortie actif de Tor (un proxy d’anonymisation). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
- Tactique MITRE : accès initial
- Gravité : élevée/moyenne
Accès non authentifié inhabituel
Un changement au niveau des modèles d’accès peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture à des conteneurs de stockage, soit en exploitant une erreur dans les configurations d’accès, soit en modifiant les autorisations d’accès.
Cette alerte de gravité moyenne est désormais ajustée avec une logique comportementale améliorée, une plus grande précision et une confiance renforcée quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès anonyme à un compte de stockage
- Nom de l’alerte (nouveau) : Accès non authentifié inhabituel à un conteneur de stockage
- Types d’alerte : Storage.Blob_AnonymousAccessAnomaly
- Description : ce compte de stockage a fait l’objet d’un accès sans authentification, ce qui constitue un changement par rapport au modèle d’accès courant. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure
- Tactique MITRE : collection
- Gravité : Moyenne
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Présentation de Microsoft Defender pour le stockage
- Liste des alertes fournies par Microsoft Defender pour le stockage
Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
L’alerte suivante a été supprimée de nos alertes de la couche réseau en raison d’un manque d’efficacité :
Alerte (type d’alerte) | Description | Tactiques MITRE | severity |
---|---|---|---|
Détection possible d’une activité analyse des ports sortants (PortSweeping) |
L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis}. Ce trafic peut être le résultat d’une activité d’analyse des ports. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Si ce comportement est intentionnel, veuillez noter que l’analyse des ports est contraire aux conditions d’utilisation du service Azure. Si ce comportement n’est pas intentionnel, cela peut signifier que votre ressource a été compromise. | Découverte | Moyenne |
Novembre 2021
Notre version d’Ignite comprend les éléments suivants :
- Azure Security Center et Azure Defender deviennent Microsoft Defender pour le cloud
- Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
- Classer par ordre de priorité les actions de sécurité en fonction du niveau de sensibilité des données (avec la technologie Microsoft Purview) (en préversion)
- Évaluations étendues des contrôles de sécurité avec le benchmark de sécurité Azure v3
- Synchronisation bidirectionnelle (facultative) des alertes du connecteur Microsoft Sentinel en disponibilité générale (GA)
- Nouvelle recommandation pour l’envoi (push) des journaux AKS (Azure Kubernetes Service) vers Sentinel
- Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Autres changements apportés en novembre :
- Ajout de la solution Gestion des menaces et des vulnérabilités Microsoft en tant que solution d’évaluation des vulnérabilités - En disponibilité générale (GA)
- Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Microsoft Defender pour les serveurs - En disponibilité générale (GA)
- Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
- Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
- Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
- Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut – préversion
- L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Azure Security Center et Azure Defender deviennent Microsoft Defender pour le cloud
D’après le rapport sur l’état du cloud en 2021, 92 % des organisations ont désormais une stratégie multicloud. Chez Microsoft, notre objectif est de centraliser la sécurité des environnements et d’aider les équipes de sécurité à travailler plus efficacement.
Microsoft Defender pour le cloud est une solution CSPM (gestion de la posture de sécurité cloud) et CWP (protection de charge de travail cloud). Elle détecte les faiblesses de votre configuration cloud, contribue à renforcer l’ensemble de la posture de sécurité de votre environnement et protège les charges de travail dans les environnements multi-clouds et hybrides.
Dans Ignite 2019, nous avons partagé notre vision consistant à créer l’approche la plus complète possible pour la sécurisation de votre patrimoine numérique et l’intégration des technologies XDR sous la marque Microsoft Defender. L’unification d’Azure Security Center et d’Azure Defender sous le nouveau nom Microsoft Defender pour le cloud reflète les fonctionnalités intégrées de notre offre de sécurité ainsi que notre capacité à prendre en charge n’importe quelle plateforme cloud.
Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
Une nouvelle page Paramètres de l’environnement offre une visibilité et un contrôle accrus sur vos groupes d’administration, vos abonnements et vos comptes AWS. La page est conçue pour intégrer les comptes AWS à grande échelle : connectez votre compte de gestion AWS, et vous intégrerez automatiquement les comptes existants et futurs.
Une fois que vous avez ajouté vos comptes AWS, Defender pour le cloud protège vos ressources AWS avec tout ou partie des plans suivants :
- Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS. Ce plan sans agent évalue vos ressources AWS conformément aux recommandations de sécurité spécifiques à AWS. Celles-ci sont incluses dans votre niveau de sécurité. Les ressources sont également évaluées par rapport à leur conformité aux standards intégrés spécifiques à AWS (AWS CIS, AWS PCI DSS et AWS Foundational Security Best Practices). La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS avec vos ressources Azure.
- Microsoft Defender pour Kubernetes étend sa détection des menaces contre les conteneurs et ses défenses avancées à vos clusters Amazon EKS Linux.
- Microsoft Defender pour les serveurs ajoute la détection des menaces et les défenses avancées à vos instances EC2 Linux et Windows. Ce plan comprend la licence intégrée de Microsoft Defender pour point de terminaison, des bases de référence de sécurité et des évaluations au niveau de l’OS, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), le monitoring de l’intégrité des fichiers (FIM), etc.
Découvrez plus en détail la connexion de vos comptes AWS à Microsoft Defender pour le cloud.
Classer par ordre de priorité les actions de sécurité en fonction du niveau de sensibilité des données (avec la technologie Microsoft Purview) (en préversion)
Les ressources de données restent une cible populaire pour les auteurs de menaces. Il est donc crucial pour les équipes de sécurité d’identifier, de classer par ordre de priorité et de sécuriser les ressources de données sensibles dans leurs environnements cloud.
Pour résoudre ce problème, Microsoft Defender pour le cloud intègre désormais les informations sur la sensibilité d’Microsoft Purview. Microsoft Purview est un service de gouvernance unifiée des données qui fournit des insights riches sur la sensibilité de vos données dans les charges de travail multiclouds et locales.
L’intégration à Microsoft Purview étend votre visibilité de la sécurité dans Defender pour le cloud, du niveau de l’infrastructure aux données, offrant ainsi une toute nouvelle façon de classer par ordre de priorité les ressources et les activités de sécurité pour vos équipes de sécurité.
Découvrez davantage d’informations dans Classer par ordre de priorité les actions de sécurité en fonction du degré de sensibilité des données.
Évaluations étendues des contrôles de sécurité avec le benchmark de sécurité Azure v3
Les recommandations de sécurité dans Defender pour le cloud sont prises en charge par Azure Security Benchmark.
Le benchmark de sécurité Azure constitue l’ensemble des recommandations spécifiques à Azure et créées par Microsoft concernant les bonnes pratiques de sécurité et de conformité basées sur les frameworks de conformité courants. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
À partir d’Ignite 2021, le benchmark de sécurité Azure v3 est disponible dans le tableau de bord de conformité réglementaire de Defender pour le cloud et activé en tant que nouvelle initiative par défaut pour tous les abonnements Azure protégés par Microsoft Defender pour le cloud.
Les améliorations de la version v3 incluent les éléments suivants :
Mappages supplémentaires aux frameworks du secteur PCI-DSS v3.2.1 et CIS Controls v8.
Conseils plus précis et actionnables pour les contrôles grâce à l’introduction des éléments suivants :
- Principes de sécurité - Fournit un insight des objectifs de sécurité globaux qui constituent le fondement de nos recommandations.
- Aide Azure - Guide technique pour répondre à ces objectifs.
Les nouveaux contrôles incluent la sécurité DevOps pour les problèmes tels que la modélisation des menaces et la sécurité de la chaîne d’approvisionnement des logiciels ainsi que la gestion des clés et des certificats pour les bonnes pratiques dans Azure.
Apprenez-en davantage dans Présentation du Benchmark de sécurité Azure.
Synchronisation bidirectionnelle (facultative) des alertes du connecteur Microsoft Sentinel en disponibilité générale (GA)
En juillet, nous avons annoncé une fonctionnalité en préversion, la synchronisation bidirectionnelle des alertes, pour le connecteur intégré de Microsoft Sentinel (solution native cloud SIEM et SOAR de Microsoft). Cette fonctionnalité est désormais en disponibilité générale (GA).
Quand vous connectez Microsoft Defender pour le cloud à Microsoft Sentinel, l’état des alertes de sécurité est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Defender pour le cloud, cette alerte s’affiche également comme étant fermée dans Microsoft Sentinel. Le changement d’état d’une alerte dans Defender pour le cloud n’affecte pas l’état des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel synchronisée, mais uniquement l’état de l’alerte synchronisée.
Quand vous activez la synchronisation bidirectionnelle des alertes, vous synchronisez automatiquement l’état des alertes Defender pour le cloud d’origine avec les incidents Microsoft Sentinel qui contiennent les copies de toutes ces alertes. Ainsi, par exemple, quand un incident Microsoft Sentinel contenant une alerte Defender pour le cloud est fermé, Defender pour le cloud ferme automatiquement l’alerte d’origine correspondante.
Découvrez davantage d’informations dans Connecter les alertes Azure Defender à partir d’Azure Security Center et Envoyer en streaming les alertes vers Azure Sentinel.
Nouvelle recommandation pour l’envoi (push) des journaux AKS (Azure Kubernetes Service) vers Sentinel
Afin d’améliorer davantage la valeur combinée de Defender pour le cloud et de Microsoft Sentinel, nous allons désormais mettre en évidence les instances d’Azure Kubernetes Service qui n’envoient pas de données de journal à Microsoft Sentinel.
Les équipes SecOps peuvent choisir l’espace de travail Microsoft Sentinel approprié directement à partir de la page des détails des recommandations et activer immédiatement le streaming des journaux bruts. Cette connexion transparente entre les deux produits permet aux équipes de sécurité de garantir une couverture complète de la journalisation des charges de travail pour rester maîtres de l’ensemble de leur environnement.
La nouvelle recommandation « Les journaux de diagnostic du service Kubernetes doivent être activés » comprend l’option « Corriger » pour une correction plus rapide.
Nous avons également amélioré la recommandation « L’audit sur SQL Server doit être activé » avec les mêmes fonctionnalités de streaming que celles de Sentinel.
Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Nous avons amélioré les recommandations de sécurité de Defender pour le cloud afin d’illustrer leur position sur le framework MITRE ATT&CK®. Cette base de connaissances mondialement accessible recense les tactiques et techniques des acteurs de menaces basées sur des observations réelles. Elle fournit davantage de contexte pour vous aider à comprendre les risques associés aux recommandations pour votre environnement.
Vous trouverez ces tactiques là où vous accédez aux informations de recommandation :
Les résultats de requête Azure Resource Graph pour les recommandations pertinentes incluent les tactiques et techniques MITRE ATT&CK®.
Les pages de détails des recommandations affichent le mappage de toutes les recommandations pertinentes :
La page de recommandations dans Defender pour le cloud dispose d’un nouveau filtre pour sélectionner des recommandations en fonction de leur tactique associée :
Apprenez-en davantage dans Consulter vos recommandations de sécurité.
Ajout de la solution Gestion des menaces et des vulnérabilités Microsoft en tant que solution d’évaluation des vulnérabilités - En disponibilité générale (GA)
En octobre, nous avons annoncé une extension de l’intégration entre Microsoft Defender pour les serveurs et Microsoft Defender pour point de terminaison afin de permettre la prise en charge d’un nouveau fournisseur d’évaluation des vulnérabilités pour vos machines : Gestion des menaces et des vulnérabilités Microsoft. Cette fonctionnalité est désormais en disponibilité générale (GA).
Utilisez la gestion des menaces et des vulnérabilités pour découvrir les vulnérabilités et les erreurs de configuration en quasi-temps réel grâce à l’intégration à Microsoft Defender pour point de terminaison, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus dans Investiguer les faiblesses avec la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.
Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Microsoft Defender pour les serveurs - En disponibilité générale (GA)
En août, nous avons annoncé la prise en charge en préversion du déploiement du capteur Defender pour point de terminaison pour Linux sur les machines Linux compatibles. Cette fonctionnalité est désormais en disponibilité générale (GA).
Microsoft Defender pour les serveurs comprend une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
Defender pour le cloud génère des alertes et des recommandations de sécurité détaillées. Vous pouvez les afficher dans le portail ou au moyen d’outils de programmation. Si nécessaire, vous pouvez également exporter en partie ou en totalité ces informations à des fins de suivi avec d’autres outils de supervision dans votre environnement.
La fonctionnalité d’exportation continue de Defender pour le cloud vous permet de personnaliser entièrement ce qui doit être exporté et où cela doit être exporté. Découvrez davantage d’informations dans Exporter en continu les données Microsoft Defender pour le cloud.
Même s’il s’agit d’une fonctionnalité en continu, il existe également une option permettant d’exporter des captures instantanées hebdomadaires. Jusqu’à présent, ces captures instantanées hebdomadaires se limitaient aux données liées au niveau de sécurité et à la conformité réglementaire. Nous avons ajouté la possibilité d’exporter les recommandations et résultats de sécurité.
Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
En octobre, nous avons annoncé l’ajout de solutions d’évaluation des vulnérabilités à la page de provisionnement automatique de Defender pour le cloud. Cela concerne les machines virtuelles Azure et les machines Azure Arc des abonnements protégés par Azure Defender pour les serveurs. Cette fonctionnalité est désormais en disponibilité générale (GA).
Si l’intégration à Microsoft Defender pour point de terminaison est activée, Defender pour le cloud offre un choix de solutions d’évaluation des vulnérabilités :
- (NOUVEAU) Le module Gestion des menaces et des vulnérabilités de Microsoft de Microsoft Defender pour point de terminaison (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
En octobre, nous avons annoncé de nouveaux filtres pour la page d’inventaire des ressources afin de sélectionner les machines exécutant des logiciels spécifiques, et même de spécifier les versions souhaitées. Cette fonctionnalité est désormais en disponibilité générale (GA).
Vous pouvez interroger les données d’inventaire logiciel dans l’Afficheur Azure Resource Graph.
Pour utiliser ces fonctionnalités, vous devez activer l’intégration à Microsoft Defender pour point de terminaison.
Pour plus de détails, y compris des exemples de requêtes Kusto pour Azure Resource Graph, consultez Accéder à un inventaire logiciel.
Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut
Afin de garantir la sécurité par défaut des charges de travail Kubernetes, Defender pour le cloud inclut des stratégies et des recommandations de durcissement au niveau de Kubernetes, notamment des options de mise en œuvre avec contrôle d’admission Kubernetes.
Dans le cadre de ce projet, nous avons ajouté une stratégie et une recommandation (désactivées par défaut) pour limiter le déploiement sur les clusters Kubernetes. La stratégie se trouve dans l’initiative par défaut, mais elle s’applique uniquement aux organisations qui s’inscrivent à la préversion associée.
Vous pouvez ignorer sans problème les stratégies ainsi que la recommandation (« Les clusters Kubernetes doivent limiter le déploiement d’images vulnérables »). Cela n’a aucun impact sur votre environnement.
Si vous souhaitez participer à la préversion, vous devez être membre de l’anneau d’aperçu. Si vous n’êtes pas encore membre, envoyez une demande ici. Les membres sont notifiés au lancement de la préversion.
L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Pour améliorer la présentation des ressources dans l’inventaire des ressources, nous avons supprimé l’élément « source-computer-IP » du modèle de nommage des machines locales.
- Format précédent :
machine-name_source-computer-id_VMUUID
- À partir de cette mise à jour :
machine-name_VMUUID
Octobre 2021
Les mises à jour d’octobre sont les suivantes :
- Ajout de Gestion des menaces et des vulnérabilités de Microsoft comme solution d’évaluation des vulnérabilités (en préversion)
- Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
- Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
- Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
- Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
- Les pages de détails sur les recommandations affichent maintenant les recommandations associées
- Nouvelles alertes relatives à Azure Defender pour Kubernetes (préversion)
Ajout de Gestion des menaces et des vulnérabilités de Microsoft comme solution d’évaluation des vulnérabilités (en préversion)
Nous avons étendu l’intégration entre Azure Defender pour les serveurs et Microsoft Defender pour point de terminaison afin de permettre la prise en charge d’un nouveau fournisseur d’évaluation des vulnérabilités pour vos machines : Gestion des menaces et des vulnérabilités Microsoft.
Utilisez la gestion des menaces et des vulnérabilités pour découvrir les vulnérabilités et les erreurs de configuration en quasi-temps réel grâce à l’intégration à Microsoft Defender pour point de terminaison, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus dans Investiguer les faiblesses avec la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.
Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
La page d’approvisionnement automatique de Security Center comprend désormais l’option permettant d’activer automatiquement une solution d’évaluation des vulnérabilités sur les machines virtuelles Azure et les machines Azure Arc sur des abonnements protégés par Azure Defender pour les serveurs.
Si l’intégration à Microsoft Defender pour point de terminaison est activée, Defender pour le cloud offre un choix de solutions d’évaluation des vulnérabilités :
- (NOUVEAU) Le module Gestion des menaces et des vulnérabilités de Microsoft de Microsoft Defender pour point de terminaison (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
La page Inventaire des ressources comprend désormais un filtre permettant de sélectionner les machines exécutant un logiciel spécifique, et même de spécifier les versions qui vous intéressent.
En outre, vous pouvez interroger les données d’inventaire logiciel dans Azure Resource Graph Explorer.
Pour utiliser ces nouvelles fonctionnalités, vous devez activer l’intégration à Microsoft Defender pour point de terminaison.
Pour plus de détails, y compris des exemples de requêtes Kusto pour Azure Resource Graph, consultez Accéder à un inventaire logiciel.
Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
En juillet 2021, nous avons annoncé une réorganisation logique d’Azure Defender pour les alertes Resource Manager
Pendant la réorganisation des plans Defender, nous avons déplacé les alertes d’Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Avec cette mise à jour, nous avons modifié les préfixes de ces alertes pour qu’elles correspondent à cette réaffectation et remplacé « ARM_ » par « VM_ », comme indiqué dans le tableau suivant :
Nom d’origine | À partir de cette modification |
---|---|
ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
ARM_AmDisablement | VM_AmDisablement |
ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
En savoir plus sur les plans Azure Defender pour Resource Manager et Azure Defender pour les serveurs.
Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
La recommandation « Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut » empêche l’utilisation de l’espace de noms par défaut pour une plage de types de ressource. Deux des types de ressource inclus dans cette recommandation ont été supprimés : ConfigMap et Secret.
Pour en savoir plus sur cette recommandation et sur le renforcement de vos clusters Kubernetes, consultez Comprendre Azure Policy pour les clusters Kubernetes.
Les pages de détails sur les recommandations affichent maintenant les recommandations associées
Pour clarifier les relations entre les différentes recommandations, nous avons ajouté une zone Recommandations associées aux pages de détails de nombreuses recommandations.
Les trois types de relations qui sont affichés sur ces pages sont les suivants :
- Condition préalable : recommandation qui doit être complétée avant la recommandation sélectionnée
- Alternative : recommandation différente qui offre une autre façon d’atteindre les objectifs de la recommandation sélectionnée
- Dépendante : recommandation pour laquelle la recommandation sélectionnée est une condition préalable
Pour chaque recommandation associée, le nombre de ressources non saines est indiqué dans la colonne « Ressources affectées ».
Conseil
Si une recommandation associée est grisée, sa dépendance n’est pas encore terminée et n’est donc pas disponible.
Voici un exemple de recommandations associées :
Security Center vérifie la présence de solutions d’évaluation des vulnérabilités prises en charge sur vos ordinateurs :
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuellesSi une vulnérabilité est détectée, vous serez informé des vulnérabilités découvertes :
Les vulnérabilités de vos machines virtuelles doivent être corrigées
Bien entendu, Security Center ne peut pas vous notifier les vulnérabilités découvertes, sauf s’il trouve une solution d’évaluation des vulnérabilités prise en charge.
Par conséquent :
- Recommandation #1 est une condition préalable à la recommandation #2
- La recommandation #2 dépend de la recommandation #1
Nouvelles alertes relatives à Azure Defender pour Kubernetes (préversion)
Pour étendre les protections contre les menaces fournies par Azure Defender pour Kubernetes, nous avons ajouté deux alertes en préversion.
Ces alertes sont générées à partir d’un nouveau modèle Machine Learning et des fonctionnalités analytiques avancées de Kubernetes, qui mesurent plusieurs attributs de déploiement et d’attribution de rôles par rapport aux activités antérieures dans le cluster ainsi que dans tous les clusters faisant l’objet d’un monitoring par Azure Defender.
Alerte (type d’alerte) | Description | Tactique MITRE | Gravité |
---|---|---|---|
Déploiement anormal d’un pod (préversion) (K8S_AnomalousPodDeployment) |
L’analyse du journal d’audit Kubernetes a détecté un déploiement de pod anormal compte tenu de l’activité antérieure de déploiement de pod. Cette activité est considérée comme une anomalie lorsque l’on prend en compte la façon dont les différentes fonctionnalités vues dans l’opération de déploiement sont dans les relations entre elles. Les fonctionnalités surveillées par cette analyse incluent le registre d’images de conteneur utilisé, le compte qui effectue le déploiement, le jour de la semaine, la fréquence à laquelle ce compte effectue des déploiements de pod, l’agent utilisateur utilisé dans l’opération ou d’autres fonctionnalités. Il est également possible de déterminer s’il s’agit d’un espace de noms dans lequel le déploiement du pod se produit souvent. Les principales raisons justifiant le déclenchement de cette alerte en tant qu’activité anormale sont détaillées dans les propriétés étendues de l’alerte. | Exécution | Moyenne |
Autorisations de rôle excessives affectées dans le cluster Kubernetes (préversion) (K8S_ServiceAcountPermissionAnomaly) |
L’analyse des journaux d’audit Kubernetes a détecté une attribution de rôle d’autorisations excessive à votre cluster. D’après l’examen des attributions de rôles, les autorisations répertoriées sont rares pour le compte de service spécifique. Cette détection prend en compte les attributions de rôles antérieures au même compte de service sur les clusters contrôlés par Azure, le volume par autorisation et l’impact de l’autorisation spécifique. Le modèle de détection d’anomalies utilisé pour cette alerte prend en compte la façon dont cette autorisation est utilisée sur tous les clusters analysés par Azure Defender. | Réaffectation de privilèges | Faible |
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Septembre 2021
En septembre, la mise à jour suivante a été publiée :
Deux nouvelles recommandations pour auditer les configurations de système d’exploitation pour la conformité de la ligne de base de sécurité Azure (en préversion)
Les deux recommandations suivantes ont été publiées pour évaluer la conformité de vos machines à la Base de référence de sécurité Windows et à la Base de référence de sécurité Linux :
- Pour les machines Windows, les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)
- Pour les machines Linux, les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)
Ces recommandations utilisent la fonctionnalité de configuration d’invité d’Azure Policy pour comparer la configuration du système d’exploitation d’une machine à la ligne de base définie dans le Benchmark de sécurité Azure.
Pour en savoir plus sur l’utilisation de ces recommandations, consultez Renforcer la configuration du système d’exploitation d’une machine à l’aide de la configuration d’invité.
Août 2021
Les mises à jour en août sont les suivantes :
- Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Azure Defender pour les serveurs (en préversion)
- Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
- Dépannage et conseils intégrés pour la résolution des problèmes courants
- Rapports d’audit Azure du tableau de bord de conformité réglementaire publiés pour la mise à la disposition générale
- Dépréciation de la recommandation « Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines »
- Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés avec Azure Private Link
- Security Center peut désormais approvisionner automatiquement l’extension de configuration d’invité d’Azure Policy (en préversion)
- Les recommandations prennent désormais en charge « Appliquer ».
- Exportations CSV de données de recommandation désormais limitées à 20 Mo
- La page des recommandations compte désormais plusieurs vues
Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Azure Defender pour les serveurs (en préversion)
Azure Defender pour les serveurs comprend une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Security Center. À partir de Security Center, vous pouvez également accéder à la console Microsoft Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
Pendant la période de préversion, vous allez déployer le capteur Defender pour point de terminaison pour Linux sur vos machines Linux de deux manières, selon que vous les avez déjà déployées sur vos machines Windows :
- Utilisateurs existants pour lesquels les fonctionnalités de sécurité renforcée de Defender pour le cloud sont activées et disposant de Microsoft Defender pour point de terminaison pour Windows
- Nouveaux utilisateurs qui n’ont jamais activé l’intégration avec Microsoft Defender pour point de terminaison pour Windows
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
Nous avons ajouté deux recommandations en préversion pour déployer et gérer les solutions de protection des points de terminaison sur vos machines. Ces deux recommandations incluent la prise en charge des machines virtuelles Azure et des machines connectées aux serveurs Azure Arc.
Recommandation | Description | Gravité |
---|---|---|
Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. En savoir plus sur la façon dont est évalué Endpoint Protection pour les machines (Stratégie associée : Superviser la solution Endpoint Protection manquante dans Azure Security Center) |
Élevé |
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici. L’évaluation de la protection des points de terminaison est documentée ici. (Stratégie associée : Superviser la solution Endpoint Protection manquante dans Azure Security Center) |
Medium |
Notes
Les recommandations indiquent un intervalle d’actualisation de 8 heures, mais dans certains scénarios, cela peut prendre beaucoup plus de temps. Par exemple, lorsqu’une machine locale est supprimée, Security Center met 24 heures à identifier la suppression. Ensuite, l’évaluation prend jusqu’à 8 heures pour renvoyer les informations. Dans cette situation spécifique, il peut falloir 32 heures pour que la machine soit supprimée de la liste des ressources affectées.
Dépannage et conseils intégrés pour la résolution des problèmes courants
Une nouvelle zone dédiée des pages Security Center dans le portail Azure fournit un ensemble classé et qui ne cesse de s’allonger de documents d’aide autonome pour relever les défis courants liés à Security Center et Azure Defender.
Lorsque vous êtes confronté à un problème ou que vous recherchez des conseils auprès de notre équipe de support technique, la page Diagnostiquer et résoudre les problèmes peut vous aider à trouver la solution :
Rapports d’audit Azure du tableau de bord de conformité réglementaire publiés pour la mise à la disposition générale
La barre d’outils du tableau de bord de conformité réglementaire offre des rapports de certification Azure et Dynamics pour les normes appliquées à vos abonnements.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
Pour plus d’informations, consultez Générer des rapports d’état de conformité et des certificats.
Dépréciation de la recommandation « Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines »
Nous avons constaté que la recommandation Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines influe sur les scores de sécurité de manière incohérente avec le focus CSPM (Cloud Security Posture Management) de Security Center. En règle générale, CSPM est associé à l’identification des erreurs de configuration de sécurité. Les problèmes d’intégrité de l’agent n’entrent pas dans cette catégorie de problèmes.
En outre, la recommandation est une anomalie par rapport aux autres agents liés à Security Center : il s’agit du seul agent présentant une recommandation relative aux problèmes d’intégrité.
La recommandation a été déconseillée.
Suite à cette dépréciation, nous avons apporté des modifications mineures aux recommandations relatives à l’installation de l’agent de Log Analytics (L’agent Log Analytics doit être installé sur... ).
Il est probable que cette modification influe sur vos scores de sécurité. Pour la plupart des abonnements, nous pensons que cette modification se traduira par un score plus élevé, mais il est possible que les mises à jour apportées à la recommandation d’installation se traduisent par un score moins élevé dans certains cas.
Conseil
La page Inventaire des ressources est également concernée par cette modification, car elle affiche l’état de surveillance des machines (surveillées, non surveillées ou partiellement surveillées, un état qui fait référence à un agent avec problèmes d’intégrité).
Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés avec Azure Private Link
Azure Defender pour les registres de conteneurs comprend un analyseur de vulnérabilités pour examiner les images de vos registres Azure Container Registry. Découvrez comment analyser vos registres et corriger les résultats dans Analyse des vulnérabilités dans les images avec Azure Defender pour les registres de conteneurs.
Pour limiter l’accès à un registre hébergé dans Azure Container Registry, attribuez des adresses IP privées de réseau virtuel aux points de terminaison du registre et utilisez Azure Private Link, comme expliqué dans Établir une connexion privée à un registre de conteneurs Azure à l’aide d’Azure Private Link.
Dans le cadre de nos efforts continus visant à prendre en charge des environnements et des cas d’utilisation supplémentaires, Azure Defender analyse également les registres de conteneur protégés avec Azure Private Link.
Security Center peut désormais approvisionner automatiquement l’extension de configuration d’invité d’Azure Policy (en préversion)
Azure Policy peut vérifier les paramètres à l’intérieur d’une machine, tant pour les machines s’exécutant dans Azure que pour les machines connectées à Arc. La validation est effectuée par le client et l’extension de configuration d’invité. Pour en savoir plus, consultez Présentation de la fonctionnalité de configuration des invités d'Azure Policy.
Avec cette mise à jour, vous pouvez désormais configurer Security Center pour provisionner automatiquement l’extension sur toutes les machines prises en charge.
Apprenez-en davantage sur le fonctionnement de l’approvisionnement automatique dans Configurer l’approvisionnement automatique d’agents et d’extensions.
Les recommandations prennent désormais en charge « Appliquer »
Security Center comprend deux fonctionnalités qui permettent de s’assurer que les ressources nouvellement créées sont approvisionnées de manière sécurisée : appliquer et refuser. Lorsqu’une recommandation offre ces options, vous pouvez vous assurer que vos exigences en matière de sécurité sont satisfaites chaque fois qu’un utilisateur tente de créer une ressource :
- Refuser empêche la création de ressources non saines
- Appliquer corrige automatiquement les ressources non conformes créées
Avec cette mise à jour, l’option Appliquer est désormais disponible dans les recommandations pour activer les plans Azure Defender (comme Azure Defender pour App Service doit être activé, Azure Defender pour Key Vault doit être activé, Azure Defender pour Stockage doit être activé).
Pour plus d’informations sur ces options, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Exportations CSV de données de recommandation désormais limitées à 20 Mo
Nous créons une limite de 20 Mo lors de l’exportation des données de recommandations Security Center .
S’il vous faut exporter de plus grands volumes de données, utilisez les filtres disponibles avant sélection ou sélectionnez des sous-ensembles de vos abonnements et téléchargez les données par lots.
Apprenez-en davantage sur l’exécution d’une exportation CSV de vos recommandations de sécurité.
La page des recommandations compte désormais plusieurs vues
La page des recommandations compte désormais deux onglets vous permettant d’afficher les recommandations relatives à vos ressources :
- Recommandations relatives aux scores de sécurité : utilisez cet onglet pour afficher la liste des recommandations regroupées par contrôle de sécurité. Pour plus d’informations sur ces contrôles, consultez Contrôles de sécurité et recommandations.
- Toutes les recommandations : utilisez cet onglet pour afficher la liste des recommandations sous forme de liste simple. Cet onglet permet également de comprendre l’initiative (y compris les normes de conformité réglementaire) qui a généré la recommandation. Pour plus d’informations sur les initiatives et leurs relations avec les recommandations, consultez Présentation des stratégies de sécurité, des initiatives et des recommandations.
Juillet 2021
Les mises à jour du mois de juillet incluent :
- Le connecteur Azure Sentinel comprend désormais une synchronisation d’alerte bidirectionnelle facultative (en préversion)
- Réorganisation logique d’Azure Defender pour les alertes Gestionnaire des ressources
- Améliorations apportées à la recommandation pour activer Azure Disk Encryption (ADE)
- Exportation continue du score de sécurité et des données de conformité réglementaire publiées pour la disponibilité générale (GA)
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
- Le champ API Évaluations « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
- Modèle de classeur « conformité au fil du temps » ajouté à la Galerie de classeurs Azure Monitor
Le connecteur Azure Sentinel comprend désormais une synchronisation d’alerte bidirectionnelle facultative (en préversion)
Security Center s’intègre en mode natif avec Azure Sentinel, la solution SIEM et SOAR cloud native d’Azure.
Azure Sentinel comprend des connecteurs intégrés pour Azure Security Center au niveau de l’abonnement et du locataire. Pour plus d’informations, consultez Diffuser en continu des alertes vers Azure Sentinel.
Lorsque vous connectez Azure Defender à Azure Sentinel, l’état des alertes Azure Defender qui sont ingérées dans Azure Sentinel est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Azure Defender, cette alerte s’affiche également comme étant fermée dans Azure Sentinel. La modification de l’état d’une alerte dans Azure Defender n’affecte pas l’état des incidents Azure Sentinel qui contiennent l’alerte Azure Sentinel synchronisée, uniquement celui de l’alerte synchronisée.
Lorsque vous activez la fonctionnalité de préversion, synchronisation d’alerte bidirectionnelle, elle synchronise automatiquement l’état des alertes Azure Defender d’origine avec les incidents Azure Sentinel qui contiennent des copies de ces alertes Azure Defender. Ainsi, par exemple, lorsqu’un incident Azure Sentinel contenant une alerte Azure Defender est fermé, Azure Defender ferme automatiquement l’alerte d’origine correspondante.
Apprenez-en davantage dans Connecter les alertes Azure Defender à partir d’Azure Security Center.
Réorganisation logique d’Azure Defender pour les alertes Gestionnaire des ressources
Les alertes énumérées ci-dessous ont été fournies dans le cadre du plan Azure Defender pour Resource Manager.
Dans le cadre d’une réorganisation logique de certains des plans Azure Defender, nous avons déplacé certaines alertes d’Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Les alertes sont organisées en fonction de deux principes essentiels :
- Les alertes qui fournissent une protection de plan de contrôle, sur de nombreux types de ressources Azure, font partie d’Azure Defender pour Resource Manager
- Les alertes qui protègent des charges de travail spécifiques font partie du plan Azure Defender associé à la charge de travail correspondante.
Voici les alertes qui faisaient partie d’Azure Defender pour Resource Manager, et qui, suite à cette modification, font désormais partie d’Azure Defender pour les serveurs :
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
En savoir plus sur les plans Azure Defender pour Resource Manager et Azure Defender pour les serveurs.
Améliorations apportées à la recommandation pour activer Azure Disk Encryption (ADE)
Suite aux commentaires des utilisateurs, nous avons renommé la recommandation Le chiffrement de disque doit être appliqué sur les machines virtuelles.
La nouvelle recommandation utilise le même ID d’évaluation et est appelée Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage.
La description a également été mise à jour pour mieux expliquer l’objectif de cette recommandation de sécurisation renforcée :
Recommandation | Description | Gravité |
---|---|---|
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Pour plus d’informations, consultez la comparaison des différentes technologies de chiffrement de disque utilisées dans Azure. Utilisez Azure Disk Encryption pour chiffrer toutes ces données. Ignorez cette recommandation si : (1) vous utilisez la fonctionnalité de chiffrement au niveau de l’hôte ou (2) le chiffrement côté serveur sur Disques managés répond à vos exigences de sécurité. Découvrez-en plus sur le chiffrement côté serveur du Stockage sur disque Azure. |
Élevé |
Exportation continue du score de sécurité et des données de conformité aux réglementations publiées pour la disponibilité générale (GA)
L'exportation continue fournit le mécanisme d’exportation de vos alertes de sécurité et des recommandations de suivi avec d’autres outils de surveillance dans votre environnement.
Lorsque vous configurez l’exportation continue, vous configurez les éléments exportés ainsi que leur emplacement. Apprenez-en davantage dans la présentation de l’exportation continue.
Nous avons amélioré et développé cette fonctionnalité au fil du temps :
En novembre 2020, nous avons ajouté l’option en préversion pour diffuser les modifications apportées à votre score de sécurité.
En décembre 2020, nous avons ajouté l’option en préversion pour transmettre en continu les modifications apportées à vos données d’évaluation de conformité réglementaire.
Avec cette mise à jour, ces deux options sont en disponibilité générale (GA).
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
En février 2021, nous avons ajouté un troisième type de données en préversion aux options de déclencheur de vos automatisations de workflow : les modifications apportées aux évaluations de conformité réglementaire. Pour plus d’informations, consultez Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire.
Avec cette mise à jour, cette option de déclencheur est disponible en disponibilité générale.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Le champ d’API d’évaluation « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
En mai 2021, nous avons mis à jour l’API Évaluation avec deux nouveaux champs, FirstEvaluationDate et StatusChangeDate. Pour plus d’informations, consultez Développement de l’API Évaluations avec deux nouveaux champs.
Ces champs étaient accessibles via l’API REST, Azure Resource Graph, l’exportation continue et les exportations CSV.
Avec cette modification, nous mettons à disposition les informations dans le schéma d’espace de travail Log Analytics et à partir d’applications logiques.
Modèle de classeur « conformité dans le temps » ajouté à la Galerie de classeurs Azure Monitor
En mars, nous avons annoncé l’expérience des classeurs Azure Monitor intégrés dans Security Center (voir Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis).
La version initiale comprenait trois modèles pour générer des rapports dynamiques et visuels relatifs à la posture de sécurité de votre organisation.
Nous avons maintenant ajouté un classeur dédié au suivi de la conformité d’un abonnement avec les normes réglementaires ou sectorielles qui s’y appliquent.
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Juin 2021
Les mises à jour du mois de juin incluent :
- Nouvelle alerte pour Azure Defender pour Key Vault
- Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
- Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Nouvelle alerte pour Azure Defender pour Key Vault
Pour développer les protections contre les menaces fournies par Azure Defender pour Key Vault, nous avons ajouté l’alerte suivante :
Alerte (type d’alerte) | Description | Tactique MITRE | Gravité |
---|---|---|---|
Accès à partir d’une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccess) |
Un coffre de clés a fait l’objet d’un accès réussi par une IP qui a été identifiée par Microsoft Threat Intelligence comme adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. | Accès aux informations d’identification | Moyenne |
Pour plus d'informations, consultez les pages suivantes :
- Présentation d’Azure Defender pour Key Vault
- Répondre aux alertes Azure Defender pour Key Vault
- Liste des alertes fournies par Azure Defender pour Key Vault
Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
Security Center comprend plusieurs recommandations pour chiffrer les données au repos avec des clés gérées par le client, telles que :
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK)
Dans Azure, les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme. Par conséquent, l’utilisation de clés gérées par le client doit être appliquée uniquement lorsque cela est nécessaire pour la conformité à une stratégie spécifique que votre organisation choisit de mettre en vigueur.
Avec cette modification, les recommandations d’utilisation de clés CMK sont désormais désactivées par défaut. Si cela est pertinent pour votre organisation, vous pouvez les activer en remplaçant le paramètre d’effet de la stratégie de sécurité correspondante par AuditIfNotExists ou Appliquer. En savoir plus dans Activer une recommandation de sécurité.
Cette modification est reflétée dans le nom de la recommandation avec un nouveau préfixe, [Activer si nécessaire] , comme indiqué dans les exemples suivants :
- [Activer si nécessaire] Les comptes de stockage doivent utiliser une clé gérée par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
Azure Defender pour Kubernetes s’est récemment développé pour protéger les clusters Kubernetes hébergés localement et dans plusieurs environnements multiclouds. Découvrez-en plus dans Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion).
Pour signifier que les alertes de sécurité fournies par Azure Defender pour Kubernetes ne sont plus limitées aux clusters sur Azure Kubernetes Service, nous avons remplacé le préfixe des types d’alertes « AKS_ » par « K8S_ ». Le cas échéant, les noms et les descriptions ont également été mis à jour. Par exemple, cette alerte :
Alerte (type d’alerte) | Description |
---|---|
Détection d’un outil de test d’intrusion Kubernetes (AKS_PenTestToolsKubeHunter) |
L’analyse du journal d’audit de Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Modification de cette alerte :
Alerte (type d’alerte) | Description |
---|---|
Détection d’un outil de test d’intrusion Kubernetes (K8S_PenTestToolsKubeHunter) |
L’analyse du journal d’audit de Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Toutes les règles de suppression qui font référence à des alertes commençant par « AKS_ » ont été automatiquement converties. Si vous avez configuré des exportations SIEM ou des scripts d’automatisation personnalisés qui font référence à des alertes Kubernetes par type d’alerte, vous avez besoin de les mettre à jour avec les nouveaux types d’alerte.
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Les deux recommandations suivantes ont été dépréciées :
- La version du système d'exploitation (SE) doit être mise à jour pour vos rôles service cloud. Par défaut, Azure met régulièrement à jour votre SE invité vers la dernière image prise en charge d’un produit de la famille de SE que vous avez spécifiée dans votre configuration de service (.cscfg), tel que Windows Server 2016.
- Les services Kubernetes doivent être mis à niveau vers une version Kubernetes non vulnérable. Les évaluations de cette recommandation ne sont pas aussi étendues que nous le voulions. Nous prévoyons de remplacer la recommandation par une version améliorée qui est mieux adaptée à vos besoins en matière de sécurité.
Mai 2021
Les mises à jour du mois de mai incluent :
- Azure Defender pour DNS et Azure Defender pour Resource Manager en disponibilité générale
- Azure Defender pour les bases de données relationnelles open source en disponibilité générale
- Nouvelles alertes pour Azure Defender pour Resource Manager
- Analyse des vulnérabilités CI/CD des images conteneur avec les workflows GitHub et Azure Defender (préversion)
- Plus de requêtes Resource Graph disponibles pour certaines recommandations
- Changement de la gravité de la recommandation de classification des données SQL
- Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
- Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
- Développement de l’API Évaluations avec deux nouveaux champs
- L’inventaire des ressources obtient un filtre d’environnement cloud
Azure Defender pour DNS et Azure Defender pour Resource Manager en disponibilité générale
Ces deux plans de protection contre les menaces au niveau cloud natif sont désormais en disponibilité générale.
Ces nouvelles protections améliorent nettement votre résilience face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Ressource Manager – Supervise automatiquement toutes les opérations de gestion de ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS – Supervise en continu toutes les requêtes DNS émanant de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Pour simplifier le processus d’activation de ces plans, utilisez les recommandations suivantes :
- Azure Defender pour Resource Manager doit être activé
- Azure Defender pour DNS doit être activé
Notes
L’activation des plans Azure Defender engendre des frais. Découvrez-en plus sur les détails des prix par région dans la page des tarifs de Security Center.
Azure Defender pour les bases de données relationnelles open source en disponibilité générale
Azure Security Center étend son offre de protection SQL avec un nouveau bundle pour couvrir vos bases de données relationnelles open source :
- Azure Defender pour serveurs de base de données Azure SQL : défend vos serveurs Azure SQL natifs
- Azure Defender pour serveurs SQL sur des machines : étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux.
- Azure Defender pour les bases de données relationnelles open source : protège vos serveurs uniques Azure Database pour MySQL, pour PostgreSQL et for MariaDB
Azure Defender pour les bases de données relationnelles open source supervise en permanence vos serveurs à la recherche de menaces de sécurité et détecte les activités anormales de base de données indiquant des menaces potentielles envers Azure Database pour MySQL, pour PostgreSQL et for MariaDB. Quelques exemples :
- Détection précise des attaques par force brute : Azure Defender pour les bases de données relationnelles open source fournit des informations détaillées sur les attaques par force brute tentées et réussies. Cela vous permet d’investiguer et de répondre avec une meilleure compréhension de la nature et de l’état de l’attaque sur votre environnement.
- Détection des alertes comportementales : Azure Defender pour les bases de données relationnelles open source vous avertit des comportements suspects et inattendus sur vos serveurs, tels que les modifications apportées au modèle d’accès à votre base de données.
- Détection basée sur les informations sur les menaces - Azure Defender applique le renseignement sur les menaces de Microsoft et de vastes base de connaissances pour faire surface aux alertes de menace afin de pouvoir agir contre eux.
Pour en savoir plus, consultez Présentation d’Azure Defender pour les bases de données relationnelles open source.
Nouvelles alertes pour Azure Defender pour Resource Manager
Pour développer les protections contre les menaces fournies par Azure Defender pour Resource Manager, nous avons ajouté les alertes suivantes :
Alerte (type d’alerte) | Description | Tactiques MITRE | Gravité |
---|---|---|---|
Autorisations accordées à un rôle RBAC de manière inhabituelle pour votre environnement Azure (préversion) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender pour Resource Manager a détecté une attribution de rôle RBAC qui est inhabituelle par rapport à d’autres attributions effectuées par le même attributeur / pour le même attributaire / dans votre locataire en raison des anomalies suivantes : heure d’attribution, adresse de l’attributeur, attributeur, méthode d’authentification, entités attribuées, logiciel client utilisé, extension d’attribution. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente d’accorder des autorisations à un autre compte d’utilisateur dont il est propriétaire. | Mouvement latéral, évasion de la défense | Moyenne |
Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégié dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection. | Mouvement latéral, évasion de la défense | Faible |
Opération Azure Resource Manager depuis une adresse IP suspecte (préversion) (ARM_OperationFromSuspiciousIP) |
Azure Defender pour Resource Manager a détecté une opération depuis une adresse IP qui a été marquée comme suspecte dans les flux de renseignement sur les menaces. | Exécution | Moyenne |
Opération Azure Resource Manager depuis une adresse IP proxy suspecte (préversion) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender pour Resource Manager a détecté une opération de gestion des ressources depuis une adresse IP associée à des services proxy comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Moyenne |
Pour plus d'informations, consultez les pages suivantes :
- Présentation d’Azure Defender pour Resource Manager
- Répondre aux alertes Azure Defender pour Resource Manager
- Liste des alertes fournies par Azure Defender pour Resource Manager
Analyse des vulnérabilités CI/CD des images conteneur avec les workflows GitHub et Azure Defender (préversion)
Azure Defender pour les registres de conteneurs offre désormais aux équipes DevSecOps une observabilité des workflows GitHub Actions.
La nouvelle fonctionnalité d’analyse des vulnérabilités pour les images conteneur, utilisant Trivy, vous aide à rechercher les vulnérabilités courantes dans leurs images conteneur avant d’envoyer les images vers des registres de conteneurs.
Les rapports d’analyse de conteneur sont résumés dans Azure Security Center, ce qui offre aux équipes de sécurité un meilleur insight et une meilleure compréhension de la source des images conteneur vulnérables ainsi que des workflows et dépôts desquels elles proviennent.
Apprenez-en davantage dans Identifier les images conteneur vulnérables dans vos workflows CI/CD.
Plus de requêtes Resource Graph disponibles pour certaines recommandations
Toutes les recommandations de Security Center permettent d’afficher les informations relatives à l’état des ressources affectées en utilisant Azure Resource Graph à partir du bouton Ouvrir une requête. Pour plus d’informations sur cette fonctionnalité puissante, consultez Passer en revue les données de recommandation dans l’Explorateur Azure Resource Graph.
Security Center comporte des analyseurs de vulnérabilités intégrés pour analyser vos machines virtuelles, vos serveurs SQL et leurs hôtes ainsi que les registres de conteneurs pour les vulnérabilités de sécurité. Les résultats sont retournés sous forme de recommandations avec toutes les découvertes individuelles pour chaque type de ressource rassemblées dans une vue unique. Les recommandations sont les suivantes :
- Les vulnérabilités dans les images Azure Container Registry doivent être corrigées (avec Qualys)
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
- Les résultats des vulnérabilités des bases de données SQL doivent être résolus
- Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
Une fois cette modification apportée, vous pouvez aussi utiliser le bouton Ouvrir une requête pour ouvrir la requête qui affiche les résultats de la sécurité.
Le bouton Ouvrir une requête offre des options supplémentaires pour d’autres recommandations, le cas échéant.
Découvrez plus d’informations sur les analyseurs de vulnérabilités de Security Center :
- Analyseur de vulnérabilités intégré Qualys d’Azure Defender pour les machines Azure et hybrides
- Analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les serveurs SQL
- Analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les registres de conteneurs
Changement de la gravité de la recommandation de classification des données SQL
La gravité de la recommandation Les données sensibles de vos bases de données SQL doivent être classifiées est passée d’élevé à un niveau faible.
Cela fait partie d’une modification en cours de cette recommandation annoncée dans notre prochaine page de modifications.
Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
Azure propose le lancement fiable pour améliorer de manière fluide la sécurité des machines virtuelles de 2e génération. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Apprenez-en davantage dans Lancement fiable pour les machines virtuelles Azure.
Important
Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
Le lancement fiable est actuellement disponible en préversion publique. La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge.
La recommandation de Security Center, vTPM doit être activé sur les machines virtuelles prises en charge, garantit que vos machines virtuelles Azure utilisent un vTPM. Cette version virtualisée d’un module de plateforme sécurisée matériel permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Lorsque le vTPM est activé, l’extension Attestation d’invité peut valider à distance le démarrage sécurisé. Les recommandations suivantes garantissent le déploiement de cette extension :
- Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge
- L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge
- L’extension Guest Attestation doit être installée sur les groupes Virtual Machine Scale Sets Windows pris en charge
- L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge
- L’extension Guest Attestation doit être installée sur les groupes Virtual Machine Scale Sets Linux pris en charge
Apprenez-en davantage dans Lancement fiable pour les machines virtuelles Azure.
Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
Les recommandations suivantes vous permettent de renforcer davantage vos clusters Kubernetes
- Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut : pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount, empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes.
- Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API : pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes API sur des clusters Kubernetes, désactivez le montage automatique des informations d’identification de l’API.
- Les clusters Kubernetes ne doivent pas octroyer de fonctionnalités de sécurité CAPSYSADMIN
Découvrez comment Security Center peut protéger vos environnements conteneurisés dans Sécurité des conteneurs dans Security Center.
Développement de l’API Évaluations avec deux nouveaux champs
Nous avons ajouté les deux champs suivants à l’API REST Évaluations :
- FirstEvaluationDate : Heure à laquelle la recommandation a été créée et évaluée pour la première fois. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
- StatusChangeDate : Heure de la dernière modification de l’état de la recommandation. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
La valeur initiale par défaut de ces champs (pour toutes les recommandations) est 2021-03-14T00:00:00+0000000Z
.
Pour accéder à ces informations, vous pouvez utiliser l’une des méthodes indiquées dans le tableau ci-dessous.
Outil | Détails |
---|---|
Appel d’API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
Azure Resource Graph | securityresources where type == "microsoft.security/assessments" |
Exportation continue | Les deux champs dédiés seront disponibles dans les données de l’espace de travail Log Analytics |
Exportation CSV | Les deux champs sont inclus dans les fichiers CSV. |
Découvrez-en plus sur l’API REST Évaluations.
L’inventaire des ressources obtient un filtre d’environnement cloud
La page d’inventaire des ressources de Security Center propose de nombreux filtres pour affiner rapidement la liste des ressources affichées. Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Un nouveau filtre offre la possibilité d’affiner la liste en fonction des comptes cloud que vous avez connectés avec les fonctionnalités multiclouds de Security Center :
Découvrez plus d’informations sur les fonctionnalités multiclouds :
Avril 2021
Les mises à jour du mois d’avril incluent :
- Actualisation de la page d’intégrité des ressources (en préversion)
- Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
- Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
- L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (WVD) publié en disponibilité générale
- Recommandations concernant l’activation d’Azure Defender pour DNS et de Resource Manager (en préversion)
- Ajout de trois normes de conformité réglementaire : Azure CIS 1.3.0, CMMC niveau 3 et New Zealand ISM Restricted
- Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
- Recommandations CMK déplacées dans le contrôle de sécurité des bonnes pratiques
- Onze alertes Azure Defender déconseillées
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
- Vignette « Azure Defender pour SQL sur des machines » supprimée du tableau de bord Azure Defender
- 21 recommandations ont été déplacé entre les contrôles de sécurité
Actualisation de la page d’intégrité des ressources (en préversion)
L’intégrité des ressources a été développée, améliorée et perfectionnée pour fournir une vue instantanée de l’état d’intégrité global d’une ressource unique.
Vous pouvez consulter des informations détaillées sur la ressource et toutes les recommandations qui s’y appliquent. De plus, si vous utilisez les plans de protection avancée de Microsoft Defender, les alertes de sécurité en suspens pour cette ressource spécifique s’affichent également.
Pour ouvrir la page d’intégrité des ressources pour une ressource, sélectionnez n’importe quelle ressource dans la page d’inventaire des ressources.
Cette page d’aperçu dans les pages du portail de Security Center affiche les éléments suivants :
- Informations sur la ressource : groupe de ressources et abonnement auxquels elle est associée, emplacement géographique, etc.
- Fonctionnalité de sécurité appliquée : indique si Azure Defender est activé pour la ressource.
- Nombre de recommandations en suspens et d’alertes : nombre de recommandations de sécurité en suspens et d’alertes Azure Defender.
- Recommandations et alertes actionnables : deux onglets listent les recommandations et les alertes qui s’appliquent à la ressource.
Découvrez-en plus dans le Tutoriel : Examiner l’intégrité de vos ressources.
Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
Azure Defender pour les registres de conteneurs comprend un analyseur de vulnérabilité intégré. Cet analyseur analyse immédiatement toute image que vous envoyez à votre registre et toute image extraite au cours des 30 derniers jours.
De nouvelles vulnérabilités sont découvertes tous les jours. Avec cette mise à jour, les images conteneur qui ont été extraites de vos registres au cours des 30 derniers jours sont réanalysées chaque semaine. Procéder ainsi permet de s’assurer que les vulnérabilités nouvellement découvertes sont identifiées dans vos images.
L’analyse est facturée par image, aucuns frais supplémentaires ne sont donc facturés pour ces analyses.
Apprenez-en davantage sur cet analyseur en consultant Analyse des vulnérabilités dans les images avec Azure Defender pour les registres de conteneurs.
Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
Azure Defender pour Kubernetes étend ses fonctionnalités de protection contre les menaces afin de protéger vos clusters où qu'ils soient déployés. L’intégration de Kubernetes avec Azure Arc et de ses nouvelles capacités d’extensions a rendu cela possible.
Lorsque vous avez activé Azure Arc sur vos clusters Kubernetes non Azure, une nouvelle recommandation d'Azure Security Center propose d'y déployer l'agent Azure Defender en quelques clics seulement.
Utilisez la recommandation (L’extension d’Azure Defender doit être installée sur les clusters Kubernetes avec Azure Arc) et l’extension pour protéger les clusters Kubernetes déployés via d’autres fournisseurs de cloud, mais pas sur leurs services Kubernetes managés.
Cette intégration entre Azure Security Center, Azure Defender et Kubernetes avec Azure Arc offre les avantages suivants :
- Approvisionnement aisé de l'agent Azure Defender sur les clusters Kubernetes avec Azure Arc non protégés (manuellement et à grande échelle)
- Surveillance de l'agent Azure Defender et de son état d'approvisionnement à partir du portail Azure Arc
- Les recommandations de sécurité de Security Center sont signalées sur la nouvelle page Sécurité du portail Azure Arc
- Les menaces de sécurité identifiées par Azure Defender sont signalées sur la nouvelle page Sécurité du portail Azure Arc
- Les clusters Kubernetes avec Azure Arc sont intégrés à la plateforme et à l’expérience Azure Security Center
Pour en savoir plus, consultez Utiliser Azure Defender pour Kubernetes avec vos clusters Kubernetes locaux et multicloud.
L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (WVD) publié en disponibilité générale
Microsoft Defender for Endpoint est une solution holistique de sécurité des points de terminaison dans le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l’utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender pour point de terminaison.
Quand vous activez Azure Defender pour les serveurs sur Windows Server, le plan inclut une licence pour Defender pour point de terminaison. Si vous avez déjà activé Azure Defender pour les serveurs et que vous disposez de serveurs Windows Server 2019 dans votre abonnement, ceux-ci recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
La prise en charge a été étendue de façon à inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Notes
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez que la solution répond aux prérequis décrits dans Activer l’intégration de Microsoft Defender pour point de terminaison.
Recommandations concernant l’activation d’Azure Defender pour DNS et de Resource Manager (en préversion)
Deux nouvelles recommandations ont été ajoutées afin de simplifier le processus d’activation d’Azure Defender pour Resource Manager et d’Azure Defender pour DNS:
- Azure Defender pour Resource Manager doit être activé - Defender pour Resource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes.
- Azure Defender pour DNS doit être activé - Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en supervisant en continu toutes les requêtes DNS émises par vos ressources Azure. Azure Defender vous avertit des activités suspectes au niveau de la couche DNS.
L’activation des plans Azure Defender engendre des frais. Découvrez-en plus sur les détails des prix par région dans la page des tarifs de Security Center.
Conseil
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
Ajout de trois normes de conformité réglementaire : Azure CIS 1.3.0, CMMC niveau 3 et New Zealand ISM Restricted
Nous avons ajouté trois normes à utiliser avec Azure Security Center. À l’aide du tableau de bord de conformité réglementaire, vous pouvez désormais suivre votre conformité avec :
Vous pouvez les attribuer à vos abonnements comme décrit dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour en savoir plus :
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
- Tutoriel : Améliorer votre conformité aux normes
- Questions fréquentes (FAQ) - Tableau de bord de conformité réglementaire
Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
L'extension Configuration des invités d'Azure effectue des signalements auprès de Security Center pour renforcer les paramètres relatifs aux invités de vos machines virtuelles. L'extension n'est pas nécessaire pour les serveurs avec Arc car elle est incluse dans l’Agent de la machine connectée Arc. L'extension nécessite une identité gérée par le système sur la machine.
Nous avons ajouté quatre nouvelles recommandations à Security Center pour tirer le meilleur parti de cette extension.
Deux recommandations vous invitent à installer l'extension et l'identité gérée par le système correspondante :
- L’extension Guest Configuration doit être installée sur vos machines
- L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
Une fois l'extension installée et exécutée, elle commence l'audit de vos machines et vous êtes invité à renforcer les paramètres tels que la configuration du système d'exploitation et les paramètres d'environnement. Les deux recommandations suivantes vous inviteront à renforcer vos machines Windows et Linux comme décrit :
- Windows Defender Exploit Guard doit être activé sur vos machines
- L’authentification auprès des machines Linux doit exiger des clés SSH
Pour en savoir plus, consultez Présentation de la fonctionnalité de configuration des invités d'Azure Policy.
Les recommandations CMK ont été déplacées dans le contrôle de sécurité des bonnes pratiques
Le programme de sécurité de chaque organisation comprend des exigences en matière de chiffrement de données. Par défaut, les données des clients Azure sont chiffrées au repos avec des clés gérées par le service. Toutefois, les clés gérées par le client (CMK) sont généralement nécessaires pour répondre aux normes de conformité réglementaire. Les CMK vous permettent de chiffrer vos données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Ainsi, le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion, vous sont donnés.
Les contrôles de sécurité d’Azure Security Center sont des groupes logiques de recommandations de sécurité associées, qui reflètent vos surfaces d’attaque vulnérables. Chaque contrôle comprend un nombre maximal de points que vous pouvez ajouter à votre degré de sécurisation si vous appliquez toutes les recommandations indiquées dans le contrôle, pour toutes vos ressources. Le contrôle de sécurité Implémenter les bonnes pratiques de sécurité vaut zéro point. Les recommandations de ce contrôle n’ont donc pas d’incidence sur votre degré de sécurisation.
Les recommandations listées ci-dessous sont en cours de déplacement vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité pour mieux refléter leur nature facultative. Ce déplacement garantit que ces recommandations se trouvent dans le contrôle le plus approprié pour atteindre leur objectif.
- Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK)
- Les comptes Azure AI services doivent activer le chiffrement des données avec une clé gérée par le client (CMK)
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
Onze alertes Azure Defender déconseillées
Les onze alertes Azure Defender répertoriées ci-dessous sont désormais déconseillées.
Ces deux alertes seront remplacées par de nouvelles alertes offrant une meilleure couverture :
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PRÉVERSION - Détection de l’exécution de la fonction « Get-AzureDomainInfo » du kit de ressources MicroBurst ARM_MicroBurstRunbook PRÉVERSION - Détection de l’exécution de la fonction « Get-AzurePasswords » du kit de ressources MicroBurst Les neuf alertes suivantes concernent un connecteur IPC (Azure Active Directory Identity Protection) déjà déconseillé :
AlertType AlertDisplayName UnfamiliarLocation Propriétés de connexion inhabituelles AnonymousLogin Adresse IP anonyme InfectedDeviceLogin Adresse IP liée à un programme malveillant ImpossibleTravel Voyage inhabituel MaliciousIP Adresse IP malveillante LeakedCredentials Informations d’identification divulguées PasswordSpray Pulvérisation de mots de passe LeakedCredentials Azure AD Threat Intelligence AADAI Azure AD AI Conseil
Ces neuf alertes IPC n'ont jamais été des alertes Security Center. Ils font partie du connecteur Azure Active Directory (AAD) Identity Protection (IPC) qui les envoyait à Security Center. Au cours des deux dernières années, les seuls clients qui ont vu ces alertes sont des organisations qui ont configuré l’exportation (depuis le connecteur vers ASC) en 2019 ou une version antérieure. AAD IPC a continué à les montrer dans ses propres systèmes d’alertes et il a continué d’être disponible dans Azure Sentinel. La seule modification est qu’elles n’apparaissent plus dans Security Center.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
Les deux recommandations suivantes sont désormais déconseillées et les changements peuvent avoir un léger impact sur votre niveau de sécurité :
- Vos machines doivent être redémarrées pour appliquer les mises à jour système
- L’agent de surveillance doit être installé sur vos machines. Cette recommandation se réfère uniquement aux machines locales, et une partie de sa logique sera transférée vers une autre recommandation : Les problèmes d'intégrité de l'agent Log Analytics doivent être résolus sur vos machines.
Nous vous recommandons de vérifier vos configurations d’exportation continue et d’automatisation du workflow pour voir si ces recommandations y sont incluses. En outre, tous les tableaux de bord et autres outils de supervision susceptibles de les utiliser doivent être mis à jour en conséquence.
Vignette « Azure Defender pour SQL sur des machines » supprimée du tableau de bord Azure Defender
La zone de couverture du tableau de bord Azure Defender comprend des vignettes correspondant aux plans Azure Defender concernés de votre environnement. En raison d’un problème lié au signalement du nombre de ressources protégées et non protégées, nous avons décidé de supprimer temporairement l’état de couverture des ressources pour Azure Defender pour SQL sur des machines jusqu’à ce que le problème soit résolu.
Recommandations déplacées entre les contrôles de sécurité
Les recommandations suivantes ont été déplacées vers d’autres contrôles de sécurité. Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées, qui reflète les surfaces d’attaque vulnérables. Ce déplacement garantit que toutes ces recommandations sont dans le contrôle le plus approprié pour atteindre son objectif.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
Recommandation | Modification et impact |
---|---|
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL L’évaluation des vulnérabilités doit être activée sur vos instances managées SQL Les vulnérabilités de vos bases de données SQL doivent être corrigées Les vulnérabilités sur vos bases de données SQL dans les machines virtuelles doivent être corrigées |
Déplacement de Corriger les vulnérabilités (d’une valeur de 6 points) vers Corriger les configurations de sécurité (d’une valeur de 4 points). Ces recommandations ont un impact réduit sur votre score, en fonction de votre environnement. |
Plusieurs propriétaires doivent être affectés à votre abonnement Les variables de compte Automation doivent être chiffrées Appareils IoT – Le processus audité a arrêté d’envoyer des événements Appareils IoT – Échec de la validation de la base du système d’exploitation Appareils IoT – Mise à niveau de la suite de chiffrement TLS requise Appareils IoT – Ports ouverts sur l’appareil Appareils IoT – Stratégie de pare-feu permissive trouvée dans l’une des chaînes Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne d’entrée Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne de sortie Les journaux de diagnostic dans IoT Hub doivent être activés Appareils IoT – Agent envoyant des messages sous-exploités Appareils IoT : la stratégie de filtre IP par défaut devrait être refusée Appareils IoT : plage d’adresses IP large pour la règle de filtre IP Appareils IoT : les intervalles et la taille des messages des agents doivent être ajustés Appareils IoT : informations d’identification et d’authentification identiques Appareils IoT : le processus audité a arrêté d’envoyer des événements Appareils IoT : la configuration de ligne de base du système d’exploitation doit être corrigée |
Déplacement vers Implémenter les meilleures pratiques de sécurité. Lorsqu’une recommandation se déplace vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité, ce qui n’est pas du tout judicieux, la recommandation n’affecte plus votre score sécurisé. |
Mars 2021
Les mises à jour du mois de mars incluent :
- Gestion du Pare-feu Azure intégrée à Security Center
- L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
- Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis
- Le tableau de bord de conformité réglementaire comprend désormais les rapports d’audit Azure (préversion)
- Les données de recommandation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
- Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
- Deux recommandations héritées n’écrivent plus de données directement dans le journal d’activité Azure
- Améliorations de la page Suggestions
Gestion du Pare-feu Azure intégrée à Security Center
Lorsque vous ouvrez Azure Security Center, la première page qui s’affiche est la page de présentation.
Ce tableau de bord interactif fournit une vue unifiée de la posture de sécurité de vos charges de travail cloud hybrides. En outre, elle affiche des alertes de sécurité, des informations de couverture, etc.
Pour vous aider à visualiser l’état de votre sécurité avec une expérience centralisée, nous avons intégré Azure Firewall Manager à ce tableau de bord. Vous pouvez désormais vérifier l’état de couverture du Pare-feu sur tous les réseaux et gérer de façon centralisée les stratégies de pare-feu Azure à partir de Security Center.
En savoir plus sur ce tableau de bord dans la page Vue d’ensemble d’Azure Security Center.
L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
Security Center comprend un analyseur de vulnérabilités intégré pour vous aider à découvrir, suivre et corriger les vulnérabilités potentielles des bases de données. Les résultats de vos analyses d’évaluation fournissent une vue d’ensemble de l’état de sécurité de vos machines SQL ainsi que des détails sur les éventuels problèmes de sécurité découverts.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Pour plus d’informations, consultez Désactiver des découvertes spécifiques.
Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis
Dans le cadre d’Ignite Spring 2021, nous avons annoncé une expérience intégrée des classeurs Azure Monitor dans Security Center.
Vous pouvez utiliser la nouvelle intégration pour commencer à utiliser les modèles prêtes à l’emploi à partir de la galerie de Security Center. À l’aide de modèles de classeur, vous pouvez accéder à des rapports dynamiques et visuels et créer des rapports visuels pour suivre la posture de sécurité de votre organisation. Vous pouvez aussi créer des classeurs basés sur des données Security Center ou tout autre type de données pris en charge, et déployer rapidement des classeurs de communauté de la communauté GitHub de Security Center.
Trois modèles de rapport sont fournis :
- Évolution du degré de sécurisation : suivez les scores de vos abonnements et les modifications apportées aux recommandations pour vos ressources
- Mises à jour du système : visualisez les mises à jour système manquantes par ressources, système d’exploitation, gravité, etc.
- Résultats de l’évaluation des vulnérabilités : visualisez les découvertes des analyses de vulnérabilités de vos ressources Azure
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Le tableau de bord de conformité réglementaire comprend désormais les rapports d’audit Azure (préversion)
À partir de la barre d’outils du tableau de bord de conformité réglementaire, vous pouvez désormais télécharger les rapports de certification Azure et Dynamics.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
En savoir plus sur la Gestion des normes dans votre tableau de bord de conformité réglementaire.
Les données de recommandation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
Les pages de détails de recommandation incluent désormais le bouton de barre d’outils « Explorer dans ARG ». Utilisez ce bouton pour ouvrir une requête Azure Resource Graph et explorer, exporter et partager les données de la recommandation.
Azure Resource Graph (ARG) fournit un accès instantané aux informations relatives aux ressources de vos environnements cloud avec des fonctionnalités robustes de filtrage, de regroupement et de tri. Il s’agit d’un moyen rapide et efficace de demander des informations dans les abonnements Azure par programmation ou depuis le Portail Azure.
Apprenez-en davantage sur Azure Resource Graph.
Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Nous fournissons trois stratégies Azure Policy « DeployIfNotExist » qui créent et configurent des procédures d’automatisation des workflows pour vous permettre de déployer vos automatisations dans votre organisation :
Objectif | Stratégie | ID de stratégie |
---|---|---|
Automatisation du flux de travail pour les alertes de sécurité | Déployer l’automatisation de workflow pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
Automatisation du flux de travail pour les recommandations de sécurité | Déployer l’automatisation de workflow pour les recommandations Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Automatisation des workflows pour les modifications de conformité réglementaire | Déployer l’automatisation des workflows pour la conformité réglementaire Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Il existe deux mises à jour des fonctionnalités de ces stratégies :
- Quand elles sont affectées, leur activation reste appliquée.
- Vous pouvez maintenant personnaliser ces stratégies et mettre à jour les paramètres, même s’ils ont déjà été déployés. Par exemple, vous pouvez ajouter ou modifier une clé d’évaluation.
Prise en main des modèles d’automatisation de flux de travail.
En savoir plus sur la façon d’Automatiser les réponses aux déclencheurs Security Center.
Deux recommandations héritées n’écrivent plus de données directement dans le journal d’activité Azure
Security Center transmet les données de la quasi totalité des recommandations de sécurité à Azure Advisor qui, à son tour, les écrit dans le journal d’activité Azure.
Pour deux recommandations, les données sont écrites simultanément et directement dans le journal d’activité Azure. Avec cette modification, Security Center cesse d’écrire des données pour ces recommandations de sécurité héritées directement dans le journal d’activité. Au lieu de cela, nous exportons les données vers Azure Advisor, comme c’est le cas pour toutes les autres recommandations.
Les deux recommandations héritées sont les suivantes :
- Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines
- Les vulnérabilités de la configuration de sécurité sur vos machines doivent être corrigées
Si vous accédiez à des informations pour ces deux recommandations dans la catégorie « Recommandation de type TaskDiscovery » du journal d’activité, ces informations ne sont plus disponibles.
Améliorations de la page Suggestions
Nous avons publié une version améliorée de la liste des suggestions pour présenter plus d’informations en un clin d’œil.
Sur cette page, vous verrez désormais :
- Score maximal et score actuel pour chaque contrôle de sécurité.
- Icônes qui remplaçant des balises telles que Corriger et Version préliminaire.
- Une nouvelle colonne présentant l'initiative de stratégie associée à chaque suggestion ; visible lorsque « Regrouper par contrôles » est désactivé.
Apprenez-en davantage dans Recommandations de sécurité dans Azure Security Center.
Février 2021
Les mises à jour de février sont les suivantes :
- Nouvelle page d’alertes de sécurité dans le portail Azure en disponibilité générale
- Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
- L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
- Lien direct vers la stratégie dans la page des détails de la recommandation
- La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
- Améliorations de la page d’inventaire des ressources
Nouvelle page d’alertes de sécurité dans le portail Azure en disponibilité générale
La page des alertes de sécurité d’Azure Security Center a été repensée pour fournir les éléments suivants :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Bouton pour créer des exemples d’alerte - pour évaluer les fonctionnalités d’Azure Defender et tester la configuration de vos alertes (pour l’intégration SIEM, les notifications par e-mail et les automatisations de workflow), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender.
- Alignement avec l’expérience d’incident d’Azure Sentinel – pour les clients qui utilisent les deux produits, il est maintenant plus simple de passer de l’un à l’autre et il est facile d’apprendre l’un de l’autre.
- Amélioration des performances pour les grandes listes d’alertes.
- Navigation au clavier dans la liste des alertes.
- Alertes à partir d’Azure Resource Graph – vous pouvez effectuer des requêtes sur des alertes dans Azure Resource Graph, l’API de type Kusto pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Apprenez-en davantage sur Azure Resource Graph.
- Créer une fonctionnalité d’exemples d’alerte - Pour créer des exemples d’alertes à partir de la nouvelle expérience Alertes, consultez Générer des exemples d’alertes Azure Defender.
Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
Nous sommes heureux d’annoncer la disponibilité générale de l’ensemble des recommandations prévues pour la protection des charges de travail Kubernetes.
Afin de garantir la sécurisation par défaut des charges de travail Kubernetes, Security Center a ajouté des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Lorsque Azure Policy pour Kubernetes est installé sur votre cluster AKS (Azure Kubernetes Service), toutes les requêtes adressées au serveur d’API Kubernetes sont analysées par rapport à l’ensemble prédéfini de bonnes pratiques (affiché sous la forme de 13 recommandations de sécurité) avant d’être conservées sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Notes
Lorsque les recommandations étaient en préversion, elles ne portaient pas atteinte à l’intégrité des ressources de cluster AKS, et n’étaient pas incluses dans les calculs de votre niveau de sécurité. Avec l’annonce de cette disponibilité générale, elles seront désormais intégrées dans le calcul du niveau. Si vous ne les avez pas encore corrigé, cela peut avoir un léger impact sur votre niveau de sécurité. Mettez-les en place dans la mesure du possible, comme indiqué dans Appliquer les recommandations d’Azure Security Center.
L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
Microsoft Defender for Endpoint est une solution holistique de sécurité des points de terminaison dans le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l’utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender pour point de terminaison.
Quand vous activez Azure Defender pour les serveurs sur Windows Server, le plan inclut une licence pour Defender pour point de terminaison. Si vous avez déjà activé Azure Defender pour les serveurs et que vous disposez de serveurs Windows Server 2019 dans votre abonnement, ceux-ci recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
La prise en charge a été étendue de façon à inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Notes
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez que la solution répond aux prérequis décrits dans Activer l’intégration de Microsoft Defender pour point de terminaison.
Lien direct vers la stratégie dans la page des détails de la recommandation
Lorsque vous examinez les détails d’une recommandation, il est souvent utile de pouvoir consulter la stratégie sous-jacente. Pour chaque recommandation prise en charge par une stratégie, il existe un nouveau lien dans la page des détails de la recommandation :
Utilisez ce lien pour afficher la définition de stratégie et passer en revue la logique d’évaluation.
La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
La recommandation Les données sensibles de vos bases de données SQL doivent être classifiées n’a plus d’incidence sur votre niveau de sécurité. Le contrôle de sécurité Appliquer la classification des données qui le contient a maintenant une valeur de score sécurisé de 0.
Pour obtenir la liste complète de tous les contrôles de sécurité, ainsi que leurs scores et une liste des recommandations dans chacun d’eux, consultez les contrôles de sécurité et leurs recommandations.
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
Nous avons ajouté un troisième type de données aux options de déclencheur de vos automatisations de workflow : les modifications apportées aux évaluations de conformité réglementaire.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Améliorations de la page d’inventaire des ressources
La page d’inventaire des ressources de Security Center a été améliorée :
Les récapitulatifs en haut de la page incluent désormais les abonnements non inscrits, montrant le nombre d’abonnements pour lesquels Security Center n’est pas activé.
Des filtres ont été développés et améliorés pour inclure les éléments suivants :
Totaux - Chaque filtre présente le nombre de ressources qui répondent aux critères de chaque catégorie
Contient des filtres d’exemptions (facultatif) - limitez les résultats aux ressources qui ont ou non des exemptions. Ce filtre n’apparaît pas par défaut, mais il est accessible à partir du bouton Ajouter un filtre.
En savoir plus sur la façon d’Explorer et gérer vos ressources avec l’inventaire des ressources.
Janvier 2021
Les mises à jour de janvier sont les suivantes :
- Le benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center
- L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
- Le degré de sécurisation pour les groupes d’administration est désormais disponible en préversion
- L’API Degré de sécurisation est en disponibilité générale
- Protections DNS non résolues ajoutées à Azure Defender pour App Service
- Les connecteurs multiclouds sont en disponibilité générale (GA)
- Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
- Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
- Ajout de 35 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
- Exportation CSV de la liste filtrée de recommandations
- Ressources « non applicables » désormais signalées comme « Conformes » dans les évaluations Azure Policy
- Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Le benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center
Le Benchmark de sécurité Azure est l’ensemble des directives propres à Azure et créées par Microsoft contenant les bonnes pratiques de sécurité et de conformité basées sur les infrastructures de conformité courantes. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
Au cours des derniers mois, la liste des recommandations de sécurité intégrée Security Center a été considérablement allongée en vue d’étendre la couverture de ce benchmark.
À partir de cette version, le benchmark est la base des recommandations de Security Center et entièrement intégré en tant qu’initiative de stratégie par défaut.
La documentation de chacun des services Azure comprend une page consacrée à la base de référence de sécurité. Ces bases de référence s’appuient sur le benchmark de sécurité Azure.
Si vous utilisez le tableau de bord de conformité réglementaire de Security Center, vous verrez deux instances du benchmark pendant une période de transition :
Les recommandations existantes ne sont pas affectées, et les modifications sont automatiquement reflétées dans Security Center à mesure que le benchmark se développe.
Pour en savoir plus, consultez les pages suivantes :
- En savoir plus sur le Benchmark de sécurité Azure
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
En octobre, nous avions annoncé la préversion de l’analyse des serveurs Azure Arc à l’aide de l’analyseur d’évaluation des vulnérabilités intégré à Azure Defender pour les serveurs (avec Qualys).
Celle-ci est maintenant en disponibilité générale.
Une fois que vous avez activé Azure Arc sur vos machines non-Azure, Security Center propose de déployer l’analyseur de vulnérabilité intégré dessus, manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance d’Azure Defender pour les serveurs afin de consolider votre programme de gestion des vulnérabilités dans l’ensemble de vos ressources Azure et non-Azure.
Principales fonctionnalités :
- Supervision de l’état de provisionnement de l’analyseur d’évaluation des vulnérabilités sur les machines Azure Arc
- Provisionnement de l’agent d’évaluation des vulnérabilités intégré sur des machines Windows Azure Arc Windows et Linux non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et Azure Arc
Découvrez-en plus sur les serveurs Azure Arc.
Le degré de sécurisation pour les groupes d’administration est maintenant disponible en préversion
La page Degré de sécurisation affiche désormais les degrés de sécurisation agrégés de vos groupes d’administration, en plus du niveau d’abonnement. Vous pouvez maintenant voir la liste des groupes d’administration de votre organisation, ainsi que le degré de sécurisation de chaque groupe d’administration.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
L’API Degré de sécurisation est en disponibilité générale
Vous pouvez désormais accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation. Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple :
- Utiliser l’API Niveau de sécurité pour obtenir le niveau d’un abonnement spécifique.
- Utiliser l’API Contrôles du niveau de sécurité pour lister les contrôles de sécurité et le niveau actuel de vos abonnements.
Découvrez des outils externes accessibles avec l’API Niveau de sécurité dans la zone consacrée au niveau de sécurité de notre communauté GitHub.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
Protections DNS non résolues ajoutées à Azure Defender pour App Service
La prise de contrôle des sous-domaines constitue une menace grave et courante pour les organisations. Une prise de contrôle de sous-domaine peut se produire quand un enregistrement DNS pointe vers un site web déprovisionné. Ces enregistrements DNS sont également appelés entrées « DNS non résolues ». Les enregistrements CNAME sont particulièrement vulnérables à cette menace.
Les prises de contrôle des sous-domaines permettent aux acteurs de menace de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante.
Azure Defender pour App Service détecte désormais les entrées DNS non résolues lorsqu’un site web App Service est désactivé. C’est à ce moment-là que l’entrée DNS pointe vers une ressource qui n’existe pas et que votre site web devient vulnérable à la prise de contrôle de sous-domaine. Ces protections sont disponibles pour les domaines gérés par Azure DNS et pour ceux gérés par un bureau d’enregistrement de domaines externes. En outre, elles s’appliquent aussi bien à App Service sur Windows qu’à App Service sur Linux.
En savoir plus :
- Table de référence des alertes App Service : comprend deux nouvelles alertes Azure Defender qui se déclenchent lorsqu’une entrée DNS non résolue est détectée
- Empêcher les entrées DNS non résolues et la prise de contrôle des sous-domaines : découvrez la menace que constitue la prise de sous-domaine et les entrées DNS non résolues
- Présentation d’Azure Defender pour App Service
Les connecteurs multiclouds sont en disponibilité générale (GA)
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Lorsque vous connectez vos projets AWS ou GCP, leurs outils de sécurité natifs comme AWS Security Hub ou GCP Security Command Center sont intégrés à Azure Security Center.
Cette fonctionnalité Security Center fournit une visibilité et une protection pour l’ensemble des environnements cloud principaux. Voici quelques-uns des avantages de cette intégration :
- Provisionnement automatique des agents - Security Center utilise Azure Arc pour déployer l’agent Log Analytics sur vos instances AWS
- Gestion des stratégies
- Gestion des vulnérabilités
- Détection de point de terminaison et réponse incorporée (EDR)
- Détection des erreurs de configuration de sécurité
- Vue montrant les recommandations de sécurité de tous les fournisseurs de cloud
- Incorporer toutes vos ressources dans les calculs du degré de sécurisation de Security Center
- Évaluations de conformité réglementaire de vos ressources AWS et GCP
Dans le menu de Defender pour le cloud, sélectionnez Connecteurs multiclouds pour afficher les options permettant de créer des connecteurs :
Pour en savoir plus :
Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
Nous sommes en train d’étendre la fonctionnalité d’exemption afin de pouvoir y inclure des recommandations entières. Pour cela, nous ajoutons des options permettant d’affiner les recommandations de sécurité que Security Center fournit concernant vos abonnements, vos groupes d’administration ou vos ressources.
Il arrive parfois qu’une ressource soit signalée comme non saine alors que le problème est résolu par un outil tiers, ce que Security Center n’a pas détecté. D’autres fois, il arrive qu’une recommandation s’affiche dans une étendue à laquelle elle n’est pas censée appartenir. La recommandation peut ne pas convenir à un abonnement. Ou encore, il est possible que votre organisation ait décidé d’accepter les risques liés à une ressource ou à une recommandation précise.
Avec cette fonctionnalité en préversion, vous pouvez désormais créer une exemption pour une recommandation dans les buts suivants :
Exempter une ressource pour qu’elle ne soit plus listée parmi les ressources non saines et n’impacte pas votre degré de sécurisation. La ressource sera listée comme non applicable, avec le motif « exemptée » et la justification de votre choix.
Exempter un abonnement ou un groupe d’administration pour que la recommandation n’impacte pas votre degré de sécurisation et ne s’affiche plus pour l’abonnement ou le groupe d’administration. Cela concerne les ressources existantes et futures. La recommandation sera signalée avec la justification que vous avez choisie pour l’étendue sélectionnée.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
Si un utilisateur ne dispose pas des autorisations pour voir les données Security Center, il verra un lien lui permettant de demander des autorisations à l’administrateur général de son organisation. Sa demande doit comprendre le rôle dont il souhaite les autorisations, ainsi que la raison pour laquelle il en a besoin.
Pour plus d’informations, consultez Demander des autorisations à l’échelle du locataire quand les vôtres sont insuffisantes.
Ajout de 35 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
Le Benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center.
Pour étendre la couverture de ce benchmark, les 35 recommandations suivantes (en préversion) ont été ajoutées à Security Center.
Conseil
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
Contrôle de sécurité | Nouvelles recommandations |
---|---|
Activer le chiffrement des données au repos | - Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK) - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs MySQL - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs PostgreSQL – Les comptes Azure AI services doivent activer le chiffrement des données avec une clé gérée par le client (CMK) - Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK) - Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement |
Implémenter les bonnes pratiques de sécurité | - Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité - L’approvisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement - La notification par e-mail pour les alertes à gravité élevée doit être activée - La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée - La protection contre la suppression définitive doit être activée sur les coffres de clés - La suppression réversible doit être activée sur les coffres de clés |
Gérer l’accès et les autorisations | - Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée |
Protéger les applications contre les attaques DDoS | - Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway - Web Application Firewall (WAF) doit être activé pour le service Azure Front Door Service) |
Restreindre l’accès réseau non autorisé | - Le pare-feu doit être activé sur Key Vault - Le point de terminaison privé doit être configuré pour Key Vault - App Configuration doit utiliser une liaison privée - Azure Cache pour Redis doit se trouver dans un réseau virtuel - Les domaines Azure Event Grid doivent utiliser une liaison privée - Les rubriques Azure Event Grid doivent utiliser une liaison privée - Les espaces de travail Azure Machine Learning doivent utiliser une liaison privée - Azure SignalR Service doit utiliser une liaison privée - Azure Spring Cloud doit utiliser l’injection de réseau - Les registres de conteneurs ne doivent pas autoriser un accès réseau sans restriction - Les registres de conteneurs doivent utiliser une liaison privée - L’accès au réseau public doit être désactivé pour les serveurs MariaDB - L’accès au réseau public doit être désactivé pour les serveurs MySQL - L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL - Le compte de stockage doit utiliser une connexion de liaison privée - Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau - Les modèles VM Image Builder doivent utiliser une liaison privée |
Liens connexes :
- En savoir plus sur le Benchmark de sécurité Azure
- En savoir plus sur Azure Database for MariaDB
- En savoir plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Exportation CSV de la liste filtrée de recommandations
En novembre 2020, nous avons ajouté des filtres à la page recommandations.
Avec cette annonce, nous changeons le comportement du bouton Télécharger au format CSV afin que l’exportation CSV inclue uniquement les recommandations actuellement affichées dans la liste filtrée.
Par exemple, dans l’image ci-dessous vous pouvez constater que la liste est filtrée sur deux recommandations. Le fichier CSV généré comprend les détails de l’état de chaque ressource affectée par ces deux recommandations.
Apprenez-en davantage dans Recommandations de sécurité dans Azure Security Center.
Ressources « non applicables » désormais signalées comme « Conformes » dans les évaluations Azure Policy
Avant, les ressources qui étaient évaluées pour une recommandation et considérées comme non applicables apparaissaient dans Azure Policy comme étant « Non conformes ». Aucune action de l’utilisateur ne pouvait les faire passer à l’état « Conforme ». Depuis ce changement, ces ressources s’affichent comme étant « Conformes » par souci de clarté.
La seule incidence sera observée dans Azure Policy, où le nombre de ressources compatibles augmentera. Il n’y aura aucune incidence sur votre degré de sécurisation dans Azure Security Center.
Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Nous avons ajouté une nouvelle fonctionnalité en préversion aux outils d’exportation continue pour l’exportation des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire.
Quand vous définissez une exportation continue, définissez la fréquence d’exportation :
- Streaming : les évaluations sont envoyées lorsque l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour ne se produit, aucune donnée n’est envoyée).
- Captures instantanées : une capture instantanée de l’état actuel de toutes les évaluations de conformité réglementaire est envoyée chaque semaine (il s’agit d’une fonctionnalité en préversion pour les captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire).
Pour plus d’informations sur toutes les possibilités de cette fonctionnalité, consultez Exporter en continu des données Security Center.
Décembre 2020
Les mises à jour en décembre sont les suivantes :
- Azure Defender pour les serveurs SQL sur les machines est en disponibilité générale
- La prise en charge par Azure Defender pour SQL de pool SQL dédié Azure Synapse Analytics est en disponibilité générale
- Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
- Deux nouveaux plans Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
- Nouvelle page des alertes de sécurité dans le portail Azure (préversion)
- Expérience Security Center relancée dans Azure SQL Database et SQL Managed Instance
- Outils et filtres d’inventaire des ressources mis à jour
- Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
- La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
- L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
Azure Defender pour les serveurs SQL sur les machines est en disponibilité générale
Azure Security Center propose deux plans Azure Defender pour les serveurs SQL :
- Azure Defender pour serveurs de base de données Azure SQL : défend vos serveurs Azure SQL natifs
- Azure Defender pour serveurs SQL sur des machines : étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux.
Avec cette annonce, Azure Defender pour SQL protège désormais vos bases de données et leurs données où qu’elles se trouvent.
Azure Defender pour SQL comprend les fonctionnalités d’évaluation des vulnérabilités. L’outil d’évaluation des vulnérabilités comprend les fonctionnalités avancées suivantes :
- Configuration de base de référence (nouveau) pour affiner intelligemment les résultats des analyses de vulnérabilité à ceux susceptibles de représenter des problèmes de sécurité réels. Une fois que vous avez établi votre état de sécurité de base de référence, l’outil d’évaluation des vulnérabilités signale uniquement les écarts par rapport à cet état de base de référence. Les résultats correspondant à la base de référence sont considérés comme corrects lors des analyses ultérieures. Cela vous permet, à vous et à vos analystes, de concentrer votre attention sur ce qui est le plus important.
- Informations de référence détaillées pour vous aider à comprendre les résultats découverts et en quoi ils concernent vos ressources.
- Scripts de correction pour vous aider à atténuer les risques identifiés.
En savoir plus sur Azure Defender pour SQL.
La prise en charge par Azure Defender pour SQL de pool SQL dédié Azure Synapse Analytics est en disponibilité générale
Azure Synapse Analytics (anciennement SQL DW) est un service d’analytique qui combine l’entreposage des données d’entreprise et l’analytique de Big Data. Les pools SQL dédiés sont les fonctionnalités d’entreposage de données d’entreprise d’Azure Synapse. Apprenez-en davantage dans Qu’est-ce qu’Azure Synapse Analytics (anciennement SQL DW) ?.
Azure Defender pour SQL protège vos pools SQL dédiés avec :
- Protection avancée contre les menaces pour détecter les menaces et les attaques
- Fonctionnalités d’évaluation des vulnérabilités pour identifier et corriger les problèmes de configuration de la sécurité
La prise en charge par Azure Defender pour SQL des pools SQL dédiés Azure Synapse Analytics est ajoutée automatiquement au bundle de bases de données Azure SQL dans Azure Security Center. Il existe un nouvel onglet Azure Defender pour SQL dans votre page d’espace de travail Synapse dans le Portail Azure.
En savoir plus sur Azure Defender pour SQL.
Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
Si un utilisateur ayant le rôle Azure Active Directory d’Administrateur général peut avoir des responsabilités à l’échelle du locataire, il peut ne pas disposer des autorisations Azure lui permettant de consulter les informations à l’échelle de l’organisation dans Azure Security Center.
Pour vous attribuer des autorisations de niveau locataire, suivez les instructions fournies dans S’accorder des autorisations à l’échelle du locataire.
Deux nouveaux plans Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
Nous avons ajouté deux nouvelles fonctionnalités de protection étendue natives cloud contre les menaces pour votre environnement Azure.
Ces nouvelles protections améliorent nettement votre résilience face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Ressource Manager – Supervise automatiquement toutes les opérations de gestion de ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS – Supervise en continu toutes les requêtes DNS émanant de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Nouvelle page des alertes de sécurité dans le portail Azure (préversion)
La page des alertes de sécurité d’Azure Security Center a été repensée pour fournir les éléments suivants :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Bouton permettant de créer des exemples d’alertes – pour évaluer les fonctionnalités Azure Defender et tester la configuration de vos alertes (pour l’intégration SIEM, les notifications par e-mail et les automatisations de workflow), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender.
- Alignement avec l’expérience d’incident d’Azure Sentinel – pour les clients qui utilisent les deux produits, le basculement entre eux est désormais une expérience plus simple et il est aisé d’apprendre l’un de l’autre.
- Amélioration des performances pour de grandes listes d’alertes.
- Navigation au clavier dans la liste des alertes.
- Alertes à partir d’Azure Resource Graph – vous pouvez effectuer des requêtes sur des alertes dans Azure Resource Graph, l’API de type Kusto pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Apprenez-en davantage sur Azure Resource Graph.
Pour accéder à la nouvelle expérience, utilisez le lien « Essayer maintenant » dans la bannière en haut de la page des alertes de sécurité.
Pour créer des exemples d’alertes à partir de la nouvelle expérience Alertes, consultez Générer des exemples d’alertes Azure Defender.
Expérience Security Center relancée dans Azure SQL Database et SQL Managed Instance
L’expérience Security Center dans SQL permet d’accéder aux fonctionnalités Security Center et Azure Defender pour SQL suivantes :
- Recommandations de sécurité Security Center analyse régulièrement l’état de sécurité de toutes les ressources Azure connectées pour identifier les erreurs de configuration de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités et d’améliorer la posture de sécurité des organisations.
- Alertes de sécurité : service de détection qui supervise en continu les activités Azure SQL pour repérer les menaces telles que l’injection de code SQL, les attaques par force brute et l’abus de privilèges. Ce service déclenche des alertes de sécurité détaillées et orientées action dans Security Center et fournit des options pour poursuivre les investigations avec Azure Sentinel, la solution SIEM native de Microsoft.
- Résultats : service d’évaluation des vulnérabilités qui supervise en continu les configurations Azure SQL et aide à corriger les vulnérabilités. Les analyses d’évaluation fournissent une vue d’ensemble des états de sécurité Azure SQL ainsi que des résultats de sécurité détaillés.
Outils et filtres d’inventaire des ressources mis à jour
La page d’inventaire dans Azure Security Center a été actualisée avec les modifications suivantes :
Guides et commentaires ajoutés à la barre d’outils. Un volet contenant des liens vers des informations et des outils connexes s’ouvre.
Filtre des abonnements ajouté aux filtres par défaut disponibles pour vos ressources.
Lien Ouvrir une requête pour ouvrir les options du filtre actuel en tant que requête Azure Resource Graph (anciennement « Afficher dans l’Explorateur Resource Graph »).
Options des opérateurs pour chaque filtre. Vous pouvez désormais choisir un autre opérateur logique que « = ». Par exemple, vous souhaiterez peut-être rechercher toutes les ressources avec des recommandations actives dont les titres incluent la chaîne « chiffrer ».
Apprenez-en davantage sur l’inventaire dans Explorer et gérer vos ressources avec l’inventaire des ressources.
Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
La recommandation « Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes » a été déplacée du contrôle de sécurité Gérer l’accès et les autorisations (valeur de 4 points au maximum) dans Implémenter les bonnes pratiques de sécurité (qui ne vaut aucun point).
La garantie qu’une application web demande un certificat renforce certainement sa sécurité. Toutefois, ce n’est pas pertinent pour les applications web publiques. si vous accédez à votre site sur HTTP et non HTTPS, vous ne recevez pas de certificat client. Ainsi, si votre application nécessite des certificats clients, vous ne devez pas autoriser les requêtes adressées à votre application via HTTP. Pour en savoir plus, consultez Configurer l’authentification mutuelle TLS pour Azure App Service.
Avec ce changement, la recommandation est désormais une bonne pratique qui n’impacte pas votre degré de sécurisation.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
Azure Security Center supervise toutes les ressources connectées et génère des recommandations de sécurité. Utilisez ces recommandations pour renforcer l’état de votre cloud hybride et effectuer le suivi de la conformité aux stratégies et normes pertinentes pour vos organisation, secteur d’activité et pays/région.
Comme Security Center continue d’étendre sa couverture et de développer ses fonctionnalités, la liste des recommandations de sécurité augmente chaque mois. Par exemple, consultez Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure.
Avec cette liste qui ne cesse de s’allonger, un filtrage des recommandations est nécessaire pour trouver celles qui présentent le plus grand intérêt. En novembre, nous avons ajouté des filtres à la page Recommandations (consultez La liste des recommandations comprend désormais des filtres).
Les filtres ajoutés ce mois-ci fournissent des options pour affiner la liste des recommandations en fonction des éléments suivants :
Environnement : affichez les recommandations pour vos ressources AWS, GCP ou Azure (ou n’importe quelle combinaison)
Gravité : affichez les recommandations en fonction de la classification de gravité définie par Security Center
Actions de réponse : Affichez les recommandations en fonction de la disponibilité des options de réponse Security Center : Corriger, Refuser et Appliquer
Conseil
Le filtre d’actions de réponse remplace le filtre Correctif rapide disponible (Oui/Non) .
Apprenez-en davantage sur chacune de ces options de réponse :
L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
Les outils d’exportation continue d’Azure Security Center vous permettent d’exporter les recommandations et alertes de Security Center en vue de les utiliser avec d’autres outils de supervision dans votre environnement.
L’exportation continue vous permet de personnaliser entièrement ce qui sera exporté et où cela sera exporté. Pour plus d’informations, consultez Exporter en continu des données Security Center.
Ces outils ont été améliorés et développés de différentes manières :
Amélioration des stratégies deployifnotexist de l’exportation continue. À présent, les stratégies :
Vérifient si la configuration est activée. Si ce n’est pas le cas, la stratégie s’affiche comme non conforme et crée une ressource conforme. Découvrez les modèles Azure Policy fournis sous l’onglet « Déployer à grande échelle avec Azure Policy » dans Configurer une exportation continue.
Prennent en charge l’exportation des résultats de sécurité. Quand vous utilisez les modèles Azure Policy, vous pouvez configurer votre exportation continue pour inclure les résultats. Cela s’applique lorsque vous exportez des recommandations avec des « sous-recommandations », telles que les résultats des analyseurs d’évaluation des vulnérabilités ou des mises à jour système spécifiques pour la recommandation « parent », « Des mises à jour système doivent être installées sur vos machines ».
Prennent en charge l’exportation des données du degré de sécurisation.
Ajout de données d’évaluation de conformité réglementaire (en préversion). Vous pouvez désormais exporter en continu des mises à jour pour des évaluations de conformité réglementaire, notamment pour des initiatives personnalisées, vers un espace de travail Log Analytics ou Event Hubs. Cette fonctionnalité n’est pas disponible sur les clouds nationaux.
Novembre 2020
Les mises à jour en novembre sont les suivantes :
- Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
- Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
- La liste des recommandations comprend désormais des filtres
- Amélioration et développement de l’expérience de provisionnement automatique
- Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
- La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
- La page Gestion des stratégies du portail Azure affiche maintenant l’état des affectations de stratégie par défaut
Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
Le Benchmark de sécurité Azure constitue l’ensemble des directives propres à Azure et créées par Microsoft, qui contient les bonnes pratiques de sécurité et de conformité s’inscrivant dans les cadres de conformité courants. En savoir plus sur le Benchmark de sécurité Azure.
Les 29 recommandations suivantes (préversion) ont été ajoutées à Security Center pour mieux détailler ce benchmark.
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
Contrôle de sécurité | Nouvelles recommandations |
---|---|
Chiffrer les données en transit | - L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL - L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL - TLS doit être mis à jour vers la dernière version pour votre application API - TLS doit être mis à jour vers la dernière version pour votre application de fonction - TLS doit être mis à jour vers la dernière version pour votre application web - FTPS doit être exigé dans votre application API - FTPS doit être exigé dans votre application de fonction - FTPS doit être exigé dans votre application web |
Gérer l’accès et les autorisations | - Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes - Une identité managée doit être utilisée dans votre application API - Une identité managée doit être utilisée dans votre application de fonction - Une identité managée doit être utilisée dans votre application web |
Restreindre l’accès réseau non autorisé | - Le point de terminaison privé doit être activé pour les serveurs PostgreSQL - Le point de terminaison privé doit être activé pour les serveurs MariaDB - Le point de terminaison privé doit être activé pour les serveurs MySQL |
Activer l’audit et la journalisation | - Les journaux de diagnostic d’App Services doivent être activés |
Implémenter les bonnes pratiques de sécurité | - La Sauvegarde Azure doit être activée pour les machines virtuelles - La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB - La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL - La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL - PHP doit être mis à jour vers la dernière version pour votre application API - PHP doit être mis à jour vers la dernière version pour votre application web - Java doit être mis à jour vers la dernière version pour votre application API - Java doit être mis à jour vers la dernière version pour votre application de fonction - Java doit être mis à jour vers la dernière version pour votre application web - Python doit être mis à jour vers la dernière version pour votre application API - Python doit être mis à jour vers la dernière version pour votre application de fonction - Python doit être mis à jour vers la dernière version pour votre application web - La conservation des audits pour les serveurs SQL Server doit être définie sur au moins 90 jours |
Liens connexes :
- En savoir plus sur le Benchmark de sécurité Azure
- En savoir plus sur les applications API Azure
- En savoir plus sur les applications de fonction Azure
- En savoir plus sur les applications web Azure
- En savoir plus sur Azure Database for MariaDB
- En savoir plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
Le standard NIST SP 800-171 R2 est désormais disponible sous la forme d’une initiative intégrée à utiliser avec le tableau de bord de conformité réglementaire Azure Security Center. Les mappages des contrôles sont décrits dans Détails de l’initiative intégrée de conformité réglementaire NIST SP 800-171 R2.
Pour appliquer le standard à vos abonnements et superviser votre état de conformité en permanence, suivez les instructions fournies dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
La liste des recommandations comprend désormais des filtres
Vous pouvez maintenant filtrer la liste des recommandations de sécurité en fonction d’une plage de critères. Dans l’exemple suivant, la liste des recommandations est filtrée pour afficher celles qui :
- sont généralement disponibles (c’est-à-dire, pas en préversion)
- concernent les comptes de stockage
- prennent en charge la correction rapide
Amélioration et développement de l’expérience de provisionnement automatique
La fonctionnalité de provisionnement automatique permet de réduire la surcharge de gestion en installant les extensions requises sur les machines virtuelles Azure nouvelles et existantes, afin qu’elles puissent tirer parti des protections de Security Center.
À mesure qu’Azure Security Center se développe, davantage d’extensions ont été développées et Security Center peut superviser une liste plus importante de types de ressources. Les outils de provisionnement automatique ont été développés pour prendre en charge d’autres extensions et types de ressources en tirant parti des fonctionnalités d’Azure Policy.
Vous pouvez maintenant configurer le provisionnement automatique des éléments suivants :
- Agent Log Analytics
- (Nouveau) Azure Policy pour Kubernetes
- (Nouveau) Microsoft Dependency Agent
Pour en savoir plus, consultez Provisionnement automatique d’agents et d’extensions à partir d’Azure Security Center.
Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
Avec l’exportation continue du score sécurisé, vous pouvez diffuser en streaming les modifications apportées à votre score en temps réel vers Azure Event Hubs ou un espace de travail Log Analytics. Utilisez cette fonctionnalité pour :
- effectuer le suivi de votre score sécurisé au fur et à mesure avec des rapports dynamiques
- exporter les données de score sécurisé vers Azure Sentinel (ou tout autre système SIEM)
- intégrer ces données à tous les processus que vous utilisez peut-être déjà pour surveiller le score sécurisé dans votre organisation
Apprenez-en plus sur la façon d’exporter en continu des données Security Center.
La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
La recommandation Les mises à jour système doivent être installées sur vos machines a été améliorée. La nouvelle version inclut des sous-recommandations pour chaque mise à jour manquante et apporte les améliorations suivantes :
Une expérience repensée dans les pages Azure Security Center du portail Azure. La page Détails de la recommandation pour Les mises à jour système doivent être installées sur vos machines comprend la liste des résultats, comme illustré ci-dessous. Lorsque vous sélectionnez une recherche unique, le volet d’informations s’ouvre avec un lien vers des informations de correction et une liste de ressources affectées.
Des données enrichies pour la recommandation provenant d’Azure Resource Graph (ARG). ARG est un service Azure conçu pour fournir une exploration efficace des ressources. Vous pouvez utiliser ARG pour effectuer une requête à grande échelle sur un ensemble d’abonnements donné, et ainsi gérer de façon optimale votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le langage de requête Kusto (KQL) pour interroger un large éventail de données relatives à la posture de sécurité.
Avant, si vous interrogiez cette recommandation dans ARG, les seules informations disponibles étaient que la recommandation devait être corrigée sur une machine. La requête suivante de la version améliorée retournera toutes les mises à jour système manquantes, regroupées par machine.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
La page Gestion des stratégies du portail Azure affiche maintenant l’état des affectations de stratégie par défaut
Vous pouvez maintenant voir si la stratégie Security Center par défaut est affectée à vos abonnements, dans la page Stratégie de sécurité de Security Center du portail Azure.
Octobre 2020
Les mises à jour d’octobre sont les suivantes :
- Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
- Ajout d’une recommandation concernant le pare-feu Azure (préversion)
- Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
- Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
- Table Microsoft.Security/securityStatuses supprimée d’Azure Resource Graph
Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
L’analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les serveurs (avec Qualys) analyse désormais les serveurs Azure Arc.
Une fois que vous avez activé Azure Arc sur vos machines non-Azure, Security Center propose de déployer l’analyseur de vulnérabilité intégré dessus, manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance d’Azure Defender pour les serveurs afin de consolider votre programme de gestion des vulnérabilités dans l’ensemble de vos ressources Azure et non-Azure.
Principales fonctionnalités :
- Supervision de l’état de provisionnement de l’analyseur d’évaluation des vulnérabilités sur les machines Azure Arc
- Provisionnement de l’agent d’évaluation des vulnérabilités intégré sur des machines Windows Azure Arc Windows et Linux non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et Azure Arc
Découvrez-en plus sur les serveurs Azure Arc.
Ajout d’une recommandation concernant le pare-feu Azure (préversion)
Une nouvelle recommandation a été ajoutée pour protéger tous vos réseaux virtuels à l’aide du pare-feu Azure.
La recommandation Les réseaux virtuels doivent être protégés par le pare-feu Azure vous conseille de limiter l’accès à vos réseaux virtuels et d’éviter les menaces potentielles à l’aide du pare-feu Azure.
Découvrez le Pare-feu Azure.
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
La recommandation Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes a maintenant une option de correctif rapide.
Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
Le tableau de bord de conformité réglementaire fournit des insights sur votre posture de conformité d’après la façon dont vous répondez à des exigences et contrôles de conformité spécifiques.
Le tableau de bord comprend un ensemble de normes réglementaires par défaut. Si certaines des normes fournies ne sont pas pertinentes pour votre organisation, il est désormais facile de les supprimer de l’interface utilisateur d’un abonnement. Les normes ne peuvent être supprimées qu’au niveau de l’abonnement, et non à l’étendue du groupe d’administration.
Pour plus d’informations, consultez Supprimer une norme de votre tableau de bord.
Suppression de la table Microsoft.Security/securityStatuses d’Azure Resource Graph (ARG)
Azure Resource Graph est un service d’Azure conçu pour fournir une exploration efficace des ressources avec la possibilité de lancer des requêtes à grande échelle sur un ensemble donné d’abonnements pour vous permettre d’optimiser la gestion de votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le langage de requête Kusto (KQL) pour interroger un large éventail de données relatives à la posture de sécurité. Par exemple :
- L’inventaire des ressources utilise ARG
- Nous avons documenté un exemple de requête ARG pour savoir comment identifier les comptes sans authentification multifacteur (MFA) activée
Dans ARG, il existe des tables de données que vous pouvez utiliser dans vos requêtes.
Conseil
La documentation ARG liste toutes les tables disponibles dans Informations de référence sur les types de ressource et les tables Azure Resource Graph.
À compter de cette mise à jour, la table Microsoft.Security/securityStatuses a été supprimée. L’API securityStatuses est toujours disponible.
Le remplacement de données peut être utilisé par la table Microsoft.Security/Assessments.
La principale différence entre Microsoft.Security/securityStatuses et Microsoft.Security/Assessments est que la première montre l’agrégation des évaluations tandis que la deuxième contient un enregistrement unique pour chacune d’entre elles.
Par exemple, Microsoft. Microsoft.Security/securityStatuses retourne un résultat avec un tableau de deux valeurs policyAssessments :
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Tandis que Microsoft.Security/Assessments contient un enregistrement pour chaque évaluation de stratégie de ce type, comme suit :
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemple de conversion d’une requête ARG existante à l’aide de securityStatuses pour utiliser à présent la table des évaluations (Assessments) :
Requête qui référence securityStatuses :
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Requête de remplacement pour la table Assessments :
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Pour en savoir plus, consultez les liens suivants :
- Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph
- Langage de requête Kusto (KQL)
Septembre 2020
Les mises à jour en septembre sont les suivantes :
- Security Center fait peau neuve !
- Publication d’Azure Defender
- Azure Defender pour Key Vault est mis à la disposition générale
- Azure Defender pour la protection du stockage des fichiers et d’ADLS Gen2 est mis à la disposition générale
- Les outils d’inventaire des ressources sont désormais mis à la disposition générale
- Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
- Exempter une ressource d’une recommandation
- Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
- Bundle Kubernetes de recommandations sur la protection des charges de travail
- Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
- Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
- Recommandations de groupe de sécurité réseau améliorées
- Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
- Notifications par e-mail améliorées dans Azure Security Center
- Le degré de sécurisation n’inclut pas de recommandations sur la préversion
- Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
Security Center fait peau neuve
Nous avons publié une interface utilisateur actualisée pour les pages du portail de Security Center. Les nouvelles pages incluent une page de vue d’ensemble inédite et des tableaux de bord pour le niveau de sécurité, l’inventaire des ressources et Azure Defender.
La page vue d’ensemble repensée présente désormais une vignette permettant d’accéder aux tableaux de bord du degré de sécurisation, de l’inventaire des ressources et d’Azure Defender. Elle comporte également une vignette qui renvoie au tableau de bord de conformité réglementaire.
En savoir plus sur la page vue d’ensemble.
Publication d’Azure Defender
Azure Defender est une plate-forme de protection de la charge de travail Cloud (CWPP) intégrée à Security Center pour une protection intelligente et avancée de vos charges de travail Azure et hybrides. Elle remplace l’option de niveau tarifaire standard de Security Center.
Lorsque vous activez Azure Defender à partir de la zone Tarification et paramètres d’Azure Security Center, les plans Defender suivants sont tous activés simultanément et fournissent des défenses complètes pour les couches de calcul, de données et de service de votre environnement :
- Azure Defender pour les serveurs
- Azure Defender pour App Service
- Azure Defender pour Stockage
- Azure Defender pour SQL
- Azure Defender pour Key Vault
- Azure Defender pour Kubernetes
- Azure Defender pour les registres de conteneurs
Chacun de ces plans est expliqué séparément dans la documentation relative à Security Center.
Avec ses tableaux de bord dédiés, Azure Defender propose des alertes de sécurité ainsi que la protection avancée contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, votre réseau, et bien plus encore.
En savoir plus sur Azure Defender
Azure Defender pour Key Vault est mis à la disposition générale
Azure Key Vault est un service cloud qui protège les clés et secrets de chiffrement comme les certificats, chaînes de connexion et mots de passe.
Azure Defender pour Key Vault fournit une protection native Azure avancée contre les menaces pour Azure Key Vault, apportant une couche supplémentaire de renseignements de sécurité. Par extension, Azure Defender pour Key Vault protège de nombreuses ressources dépendantes de vos comptes de Key Vault.
Le plan facultatif est désormais en disponibilité générale. Dans la préversion, cette fonctionnalité s’appelait « protection avancée contre les menaces pour Azure Key Vault ».
En outre, les pages de Key Vault dans le portail Azure comprennent désormais une page dédiée à la Sécurité pour gérer les recommandations et les alertes de Security Center.
Consultez Azure Defender pour Key Vault pour en savoir plus.
Azure Defender pour la protection du stockage des fichiers et d’ADLS Gen2 est mis à la disposition générale
Azure Defender pour Stockage détecte les activités potentiellement dangereuses sur vos comptes de stockage Azure. Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
Le support d’Azure Files et d’Azure Data Lake Storage Gen2 est désormais mis à la disposition générale.
À partir du 1er octobre 2020, nous commencerons à facturer la protection des ressources présentes dans ces services.
Consultez Azure Defender pour Stockage pour en savoir plus.
Les outils d’inventaire des ressources sont désormais mis à la disposition générale
La page d’inventaire des ressources d’Azure Security Center fournit une page unique pour visualiser la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse périodiquement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités.
Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
Azure Defender comprend des analyseurs de vulnérabilités pour examiner les images dans votre Azure Container Registry et vos machines virtuelles.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Lorsqu’un résultat correspondra aux critères que vous avez définis dans vos règles de désactivation, il n’apparaîtra plus dans la liste des résultats.
Cette option est disponible dans les pages « Détails des recommandations » pour :
- Les vulnérabilités dans les images Azure Container Registry doivent être corrigées
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
Pour plus d’informations, consultez Désactiver des résultats spécifiques pour vos images de conteneur et Désactiver des résultats spécifiques pour vos machines virtuelles.
Exempter une ressource d’une recommandation
Il peut arriver qu’une ressource soit signalée comme non saine en ce qui concerne une recommandation spécifique (faisant baisser par conséquent le degré de sécurisation), même si vous estimez qu’elle ne devrait pas l’être. Elle a peut-être été corrigée par un processus non suivi par Security Center. Ou bien votre organisation a décidé d’accepter le risque pour cette ressource spécifique.
Dans ce cas, vous pouvez créer une règle d’exemption et veiller à ce que la ressource ne figure plus parmi les ressources non saines à l’avenir. Ces règles peuvent contenir des justifications documentées comme décrit ci-dessous.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège désormais les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Lorsque vous intégrez les projets AWS et GCP dans Security Center intègre AWS Security Hub, GCP Security Command et Azure Security Center.
Pour en savoir plus, consultez Connecter vos comptes AWS à Azure Security Center et Connecter vos projets GCP à Azure Security Center.
Bundle Kubernetes de recommandations sur la protection des charges de travail
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Lorsque vous avez installé Azure Policy pour Kubernetes sur votre cluster AKS, toutes les requêtes adressées au serveur d’API Kubernetes sont analysées par rapport à l’ensemble prédéfini de meilleures pratiques avant d’être conservées sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
Utilisez l’exportation continue pour diffuser vos alertes et vos recommandations vers Azure Event Hubs, les espaces de travail Log Analytics ou Azure Monitor. À partir de là, vous pouvez intégrer ces données à des informations de sécurité et gestion d’événements (par exemple, Azure Sentinel, Power BI, Azure Data Explorer et bien plus.)
Les outils d’évaluation des vulnérabilités intégrés à Security Center renvoient des résultats sur vos ressources comme recommandations exploitables dans le cadre d’une recommandation « parent », telle que « les vulnérabilités de vos machines virtuelles doivent être corrigées ».
Les résultats de sécurité sont désormais disponibles pour l’exportation via l’exportation continue lorsque vous sélectionnez recommandations et activez l’option Inclure les résultats de sécurité.
Pages connexes :
- Solution intégrée d’évaluation des vulnérabilités Qualys de Security Center pour les machines virtuelles Azure
- Solution d’évaluation des vulnérabilités intégrée à Security Center pour les images Azure Container Registry
- Exportation continue
Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
Les erreurs de configuration de la sécurité sont à l’origine de la plupart des incidents. Security Center vous permet désormais de prévenir les erreurs de configuration des nouvelles ressources en ce qui concerne les recommandations spécifiques.
Cette fonctionnalité peut vous aider à sécuriser vos charges de travail et à stabiliser votre degré de sécurisation.
Vous pouvez appliquer une configuration sécurisée, basée sur une recommandation spécifique, est proposée en deux modes :
À l’aide du mode refusé d’Azure Policy, vous pouvez empêcher la création de ressources non saines
À l’aide de l’option appliquée, vous pouvez tirer parti de l’effet DeployIfNotExist d’Azure Policy et corriger automatiquement les ressources non conformes lors de la création
Cette option est disponible pour les recommandations de sécurité sélectionnées et se trouve en haut de la page Détails de la ressource.
Pour plus d’informations, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Recommandations de groupe de sécurité réseau améliorées
Les recommandations de sécurité suivantes relatives aux groupes de sécurité réseau ont été améliorées pour réduire certaines instances de faux positifs.
- Tous les ports réseau doivent être limités sur le groupe de sécurité réseau associé à votre machine virtuelle
- Les ports de gestion doivent être fermés sur vos machines virtuelles
- Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau
- Les sous-réseaux doivent être associés à un groupe de sécurité réseau
Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
La recommandation de préversion « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes » est déconseillée comme décrit dans la documentation Azure Kubernetes Service.
La fonctionnalité « stratégie de sécurité des pods (en préversion) », sera bientôt dépréciée et ne sera plus disponible après le 15 octobre 2020 pour laisser place à Azure Policy pour AKS.
Une fois que la stratégie de sécurité des pods (préversion) sera déconseillée, vous devrez désactiver la fonctionnalité sur tous les clusters existants à l’aide de la fonctionnalité déconseillée pour effectuer les futures mises à niveau de cluster et continuer à bénéficier du support Azure.
Notifications par e-mail améliorées dans Azure Security Center
Les zones suivantes des e-mails concernant les alertes de sécurité ont été améliorées :
- ajout de la possibilité d’envoyer des notifications par e-mail concernant les alertes pour tous les niveaux de gravité
- La possibilité d’informer les utilisateurs avec différents rôles Azure sur l’abonnement a été ajoutée
- Nous avertissons de manière proactive les propriétaires d’abonnements par défaut sur les alertes de gravité élevée (qui ont une probabilité élevée d’être des violations authentiques)
- Nous avons supprimé le champ du numéro de téléphone de la page de configuration des notifications par e-mail
Consultez Configurer les notifications par e-mail pour les alertes de sécurité pour en savoir plus.
Le degré de sécurisation n’inclut pas de recommandations sur la préversion
Security Center évalue continuellement vos ressources, vos abonnements et votre organisation en recherchant d’éventuels problèmes de sécurité. Il agrège ensuite toutes ses découvertes sous la forme d’un score qui vous permet de déterminer d’un coup d’œil votre niveau de sécurité actuel : plus le score est élevé, plus le niveau de risque identifié est faible.
À mesure que de nouvelles menaces sont découvertes, de nouveaux conseils en matière de sécurité sont mis à disposition dans Security Center via la création de recommandations. Pour éviter que des modifications ne soient apportées à votre degré de sécurisation et pour fournir une période de grâce pendant laquelle vous pouvez découvrir de nouvelles recommandations avant qu’elles n’aient un impact sur vos scores, les recommandations marquées Preview (Préversion) ne sont plus incluses dans les calculs du degré de sécurisation. Elles doivent tout de même être corrigées dans la mesure du possible, ainsi lorsque la période de préversion se termine, elles seront prises en compte dans le calcul.
En outre, les recommandations Preview (Préversion) de préversion n’affichent pas de ressources « non saines ».
Exemple de recommandation de préversion :
En savoir plus sur le degré de sécurisation.
Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
La page de détails des recommandations comprend désormais un indicateur d’intervalle d’actualisation (le cas échéant) et affiche clairement la gravité de la recommandation.
Août 2020
Les mises à jour en août sont les suivantes :
- Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
- Ajout de la prise en charge des paramètres de sécurité par défaut d’Azure Active Directory (pour l’authentification multifacteur)
- Ajout d’une recommandation en faveur des principaux de service
- Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
- Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
L’inventaire des ressources de Security Center (actuellement en préversion) permet de visualiser la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse périodiquement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités. Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Vous pouvez utiliser la vue et ses filtres pour explorer les données relatives à votre posture de sécurité et prendre d’autres mesures en fonction de vos conclusions.
En savoir plus sur l’inventaire des ressources.
Ajout de la prise en charge des paramètres de sécurité par défaut d’Azure Active Directory (pour l’authentification multifacteur)
Security Center a ajouté la prise en charge complète des paramètres de sécurité par défaut, les protections gratuites de Microsoft en matière de sécurité de l’identité.
Les paramètres de sécurité par défaut fournissent des paramètres de sécurité d’identité préconfigurés pour défendre votre organisation contre les attaques courantes liées aux identités. Les paramètres de sécurité par défaut protègent déjà plus de 5 millions de locataires ; 50 000 locataires sont également protégés par Security Center.
Security Center fournit désormais une recommandation de sécurité chaque fois qu’il identifie un abonnement Azure sans activation des paramètres de sécurité par défaut. Jusqu’à présent, Security Center recommandait d’activer l’authentification multifacteur à l’aide de l’accès conditionnel, qui fait partie de la licence Premium d’Azure Active Directory (AD). Pour les clients qui utilisent Azure AD gratuitement, nous vous recommandons maintenant d’activer les paramètres de sécurité par défaut.
Notre objectif est d’encourager un plus grand nombre de clients à sécuriser leurs environnements cloud grâce à l’authentification multifacteur et d’atténuer l’un des risques les plus élevés, qui est également le plus important pour votre score de sécurité.
En savoir plus sur les paramètres de sécurité par défaut.
Ajout d’une recommandation en faveur des principaux de service
Une nouvelle recommandation a été ajoutée pour recommander aux clients de Security Center qui utilisent des certificats de gestion pour gérer leurs abonnements de basculer vers des principaux de service.
La recommandation Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion vous conseille d’utiliser des principaux de service ou Azure Resource Manager de gérer vos abonnements de manière plus sécurisée.
En savoir plus sur Objets du principal du service et de l’application dans Azure Active Directory.
Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
Security Center inspecte vos machines virtuelles pour vérifier si elles exécutent une solution d’évaluation des vulnérabilités. Si aucune solution d’évaluation des vulnérabilités n’est trouvée, Security Center fournit une recommandation pour simplifier le déploiement.
Lorsque des vulnérabilités sont détectées, Security Center fournit une recommandation résumant les résultats à examiner et à corriger si nécessaire.
Pour garantir une expérience cohérente pour tous les utilisateurs, quel que soit le type d’analyse utilisé, nous avons unifié quatre recommandations dans les deux cas suivants :
Recommandation unifiée | Description de la modification |
---|---|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Remplace les deux recommandations suivantes : ***** Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) (désormais déconseillée) (incluse avec le niveau standard) ***** La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles (désormais déconseillée) (niveaux standard et gratuits) |
Les vulnérabilités de vos machines virtuelles doivent être corrigées | Remplace les deux recommandations suivantes : ***** Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) (à présent déconseillée) ***** Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités (à présent déconseillée) |
Vous allez maintenant utiliser la même recommandation pour déployer l’extension d’évaluation de la vulnérabilité de Security Center ou une solution sous licence privée (« BYOL ») d’un partenaire tel que Qualys ou Rapid7.
De plus, lorsque des vulnérabilités sont détectées et signalées à Security Center, une recommandation unique vous avertit des conclusions, quelle que soit la solution d’évaluation des vulnérabilités qui les a identifiées.
Mise à jour des dépendances
Si vous avez des scripts, des requêtes ou des automations qui font référence aux recommandations ou aux clés/noms de stratégie précédents, utilisez les tableaux ci-dessous pour mettre à jour les références :
Avant août 2020
Recommandation | Étendue |
---|---|
Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) Clé : 550e890b-e652-4d22-8274-60b3bdb24c63 |
Intégré |
Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) Clé : 1195afff-c881-495e-9bc5-1486211ae03f |
Intégré |
La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles Clé : 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités Clé : 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
Policy | Étendue |
---|---|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Intégré |
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités ID de stratégie : 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
À partir d’août 2020
Recommandation | Étendue |
---|---|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Clé : ffff0522-1e88-47fc-8382-2a80ba848f5d |
Intégré + BYOL |
Les vulnérabilités de vos machines virtuelles doivent être corrigées Clé : 1195afff-c881-495e-9bc5-1486211ae03f |
Intégré + BYOL |
Policy | Étendue |
---|---|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Intégré + BYOL |
Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des stratégies de niveau Kubernetes et des suggestions de renforcement, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
La première phase de ce projet comprend une préversion et l’ajout de nouvelles stratégies (désactivées par défaut) à l’initiative de ASC_default.
Vous pouvez ignorer ces stratégies en toute sécurité et il n’y aura aucun impact sur votre environnement. Si vous souhaitez les activer, inscrivez-vous à la préversion par le biais de la communauté privée Microsoft Cloud Security et sélectionnez une des options suivantes :
- Préversion unique : pour joindre uniquement cette préversion. Mentionnez explicitement « Analyse continu ASC » comme préversion que vous souhaitez rejoindre.
- Programme en cours : à ajouter à cette préversion privée et aux prochaines. Vous devrez remplir un profil et une déclaration de confidentialité.
Juillet 2020
Les mises à jour du mois de juillet incluent :
- L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images qui ne sont pas dans le marketplace
- Protection contre les menaces pour Stockage Azure étendue pour inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
- Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
- Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
- Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
- Dépréciation de six stratégies pour la sécurité avancée des données SQL
L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images non-Place de marché
Lorsque vous déployez une solution d’évaluation des vulnérabilités, Security Center effectuait un contrôle de validation avec le déploiement. Le contrôle visait à vérifier une référence (SKU) de la Place de marché sur la machine virtuelle de destination.
À partir de cette mise à jour, le contrôle est supprimé et vous pouvez désormais déployer les outils d’évaluation des vulnérabilités sur des machines Windows et Linux « personnalisées ». Les images personnalisées sont celles que vous avez modifiées à partir des images par défaut de la Place de marché.
Bien que vous puissiez désormais déployer l’extension d’évaluation des vulnérabilités intégrée (optimisée par Qualys) sur de nombreuses autres machines, le support n’est disponible que si vous utilisez un système d’exploitation répertorié dans Déployer l’analyseur de vulnérabilité intégré sur des machines virtuelles de niveau Standard.
Apprenez-en davantage sur l’analyseur de vulnérabilité intégré pour machines virtuelles (Azure Defender requis).
En savoir plus sur l’utilisation de votre propre solution d’évaluation des vulnérabilités sous licence privée à partir de Qualys ou Rapid7
dans le déploiement d’une solution d’analyse des vulnérabilités partenaire.
Protection contre les menaces pour Stockage Azure étendue pour inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
La protection contre les menaces pour Stockage Azure détecte les activités potentiellement dangereuses sur vos comptes Stockage Azure. Security Center affiche des alertes lorsqu’il détecte des tentatives d’accès ou d’exploitation de vos comptes de stockage.
Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
Huit nouvelles recommandations ont été ajoutées pour fournir un moyen simple d’activer les fonctionnalités de protection contre les menaces d’Azure Security Center pour les types de ressources suivants : machines virtuelles, plans App Service, serveurs Azure SQL Database, serveurs SQL Server, comptes de Stockage Azure, clusters Azure Kubernetes Service, registres Azure Container Registry et coffres Azure Key Vault.
Les nouvelles recommandations sont les suivantes :
- Advanced Data Security doit être activé sur les serveurs Azure SQL Database
- Advanced Data Security doit être activé sur les serveurs SQL sur les machines
- Advanced Threat Protection doit être activé sur les plans Azure App Service
- Advanced Threat Protection doit être activé sur les registres Azure Container Registry
- Advanced Threat Protection doit être activé sur les coffres Azure Key Vault
- Advanced Threat Protection doit être activé sur les clusters Azure Kubernetes Service
- Advanced Threat Protection doit être activé sur les comptes Stockage Azure
- Advanced Threat Protection doit être activé sur les machines virtuelles
Les recommandations incluent également la fonctionnalité de correction rapide.
Important
L’application de n’importe laquelle de ces recommandations entraîne des frais pour la protection des ressources pertinentes. Ces frais s’appliquent immédiatement si vous avez des ressources associées dans l’abonnement actuel. Ou ils s’appliqueront à l’avenir si vous les ajoutez à une date ultérieure.
Par exemple, si vous n’avez pas de clusters Azure Kubernetes Service dans votre abonnement et que vous activez la protection contre les menaces, cela n’entraîne pas de frais. Si, à l’avenir, vous ajoutez un cluster sur le même abonnement, il sera automatiquement protégé et des frais seront facturés à ce moment-là.
Apprenez-en davantage sur la protection contre les menaces dans Azure Security Center.
Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
Dans le cadre de nos investissements continus dans le domaine de la sécurité des conteneurs, nous avons le plaisir d’annoncer une amélioration significative des performances du Security Center en lien avec les analyses dynamiques d’images de conteneur stockées dans Azure Container Registry. Désormais, les analyses prennent généralement environ en deux minutes. Dans certains cas, elles peuvent prendre jusqu’à 15 minutes.
Afin d’améliorer la clarté et les recommandations concernant les fonctionnalités de sécurité des conteneurs d’Azure Security Center, nous avons également actualisé les pages de documentation sur la sécurité des conteneurs.
Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
La fonctionnalité de contrôles d’application adaptatifs a fait l’objet de deux mises à jour importantes :
Une nouvelle recommandation identifie les comportements potentiellement légitimes qui n’étaient pas autorisés auparavant. La nouvelle recommandation, intitulée Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour, vous invite à ajouter de nouvelles règles à la stratégie existante afin de réduire le nombre de faux positifs dans les alertes de violation des contrôles d’application adaptatifs.
Les règles de chemin d’accès prennent désormais en charge les caractères génériques. À compter de cette mise à jour, vous pouvez configurer des règles de chemin d’accès autorisé avec des caractères génériques. Il existe deux scénarios pris en charge :
Utilisation d’un caractère générique à la fin d’un chemin d’accès pour autoriser tous les exécutables dans ce dossier et ses sous-dossiers.
Utilisation d’un caractère générique au milieu d’un chemin pour activer un nom d’exécutable connu avec un nom de dossier variable (par exemple, des dossiers utilisateur personnels avec un exécutable connu, des noms de dossiers générés automatiquement, etc.).
Dépréciation de six stratégies pour la sécurité avancée des données SQL
Six stratégies relatives à la sécurité avancée des données pour les machines SQL sont déconseillées :
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données de l’instance gérée SQL.
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données du serveur SQL.
- Les paramètres Advanced Data Security pour l’instance gérée SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les paramètres Advanced Data Security pour le serveur SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security de l’instance managée SQL
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security SQL Server
En savoir plus sur les stratégies intégrées.
Juin 2020
Les mises à jour du mois de juin incluent :
- API Degré de sécurisation (préversion)
- Sécurité avancée des données pour les machines SQL (Azure, autres clouds et en local) (préversion)
- Deux nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
- Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
- Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
- Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
API Degré de sécurisation (préversion)
Vous pouvez maintenant accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation (actuellement en préversion). Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple, vous pouvez utiliser l’API Degré de sécurisation pour obtenir le degré de sécurisation d’un abonnement spécifique. En outre, vous pouvez utiliser l’API Contrôles du degré de sécurisation pour répertorier les contrôles de sécurité et le degré de sécurisation actuel de vos abonnements.
Pour obtenir des exemples d’outils externes accessibles avec l’API Degré de sécurisation, consultez la zone consacrée au degré de sécurisation de notre communauté GitHub.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
Sécurité avancée des données pour les machines SQL (Azure, autres clouds et en local) (préversion)
La sécurité des données avancée d’Azure Security Center pour les machines SQL protège désormais les serveurs SQL hébergés dans Azure, dans d’autres environnements cloud et même sur des machines locales. Cela étend les protections de vos serveurs SQL Azure natifs pour prendre entièrement en charge les environnements hybrides.
La sécurité avancée des données fournit une évaluation des vulnérabilités et une protection avancée contre les menaces pour vos machines SQL où qu’elles soient.
La configuration se fait en deux étapes :
Déploiement de l’agent Log Analytics sur l’ordinateur hôte de votre serveur SQL Server pour fournir la connexion au compte Azure.
Activation du bundle facultatif dans la page de tarification et des paramètres de Security Center.
En savoir plus sur la sécurité avancée des données pour les machines SQL.
Deux nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
Deux nouvelles recommandations ont été ajoutées pour vous aider à déployer l’agent Log Analytics sur vos machines Azure Arc et vous assurer qu’elles sont protégées par Azure Security Center :
- L’agent Log Analytics doit être installé sur vos machines Azure Arc basées sur Windows (préversion)
- L’agent Log Analytics doit être installé sur vos machines Azure Arc basées sur Linux (préversion)
Ces nouvelles recommandations s’affichent dans les quatre mêmes contrôles de sécurité que la recommandation existante (associée), L’agent d’analyse doit être installé sur vos machines : corriger les configurations de sécurité, appliquer le contrôle d’application adaptatif, appliquer les mises à jour système et activer la protection de point de terminaison.
Les recommandations incluent également la fonctionnalité de correction rapide pour accélérer le processus de déploiement.
En savoir plus sur la façon dont Azure Security Center utilise l’agent dans Qu’est-ce que l’agent Log Analytics ?.
En savoir plus sur les extensions pour les machines Azure Arc.
Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Pour déployer vos configurations d’automatisation à l’échelle de votre organisation, utilisez ces stratégies Azure « DeployIfdNotExist » intégrées pour créer et configurer les procédures d’exportation continue et d’automatisation de flux de travail :
Les définitions de stratégie se trouvent dans Azure Policy :
Objectif | Stratégie | ID de stratégie |
---|---|---|
Exportation continue vers Event Hubs | Déployer l’exportation vers Event Hubs pour les alertes et les recommandations Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
Exportation continue vers l’espace de travail Log Analytics | Déployer l’exportation vers un espace de travail Log Analytics pour les alertes et les recommandations Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
Automatisation du flux de travail pour les alertes de sécurité | Déployer l’automatisation de workflow pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
Automatisation du flux de travail pour les recommandations de sécurité | Déployer l’automatisation de workflow pour les recommandations Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Prise en main des modèles d’automatisation de flux de travail.
Apprenez-en davantage sur l’utilisation des deux stratégies d’exportation dans Configurer l’automatisation du workflow à grande échelle à l’aide des stratégies fournies et Configurer une exportation continue.
Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
Le contrôle de sécurité « implémenter les meilleures pratiques de sécurité » comprend désormais la nouvelle recommandation suivante :
- Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau
Une recommandation existante, Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau, ne fait pas la distinction entre les machines virtuelles accessibles sur Internet et celles qui ne le sont pas. Pour les deux types de machines virtuelles, une recommandation à gravité élevée était générée si une machine virtuelle n’était pas affectée à un groupe de sécurité réseau. Cette nouvelle recommandation sépare les machines non accessibles à partir d’Internet pour réduire les faux positifs et éviter les alertes à gravité élevée inutiles.
Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
Les nouvelles définitions de stratégie ci-dessous ont été ajoutées à l’initiative ASC par défaut et sont conçues pour aider à activer la protection contre les menaces ou la sécurité avancée des données pour les types de ressources appropriés.
Les définitions de stratégie se trouvent dans Azure Policy :
Policy | ID de stratégie |
---|---|
Advanced Data Security doit être activé sur les serveurs Azure SQL Database | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
Advanced Data Security doit être activé sur les serveurs SQL sur les machines | 6581d072-105e-4418-827f-bd446d56421b |
Advanced Threat Protection doit être activé sur les comptes Stockage Azure | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
Advanced Threat Protection doit être activé sur les coffres Azure Key Vault | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
Advanced Threat Protection doit être activé sur les plans Azure App Service | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
Advanced Threat Protection doit être activé sur les registres Azure Container Registry | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
Advanced Threat Protection doit être activé sur les clusters Azure Kubernetes Service | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
Advanced Threat Protection doit être activé sur les machines virtuelles | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
En savoir plus sur la protection contre les menaces dans Azure Security Center.
Mai 2020
Les mises à jour du mois de mai incluent :
- Règles de suppression d’alerte (préversion)
- Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
- Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
- Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
- Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
- Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
- Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
- Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Règles de suppression d’alerte (préversion)
Cette nouvelle fonctionnalité (actuellement en préversion) permet de réduire la fréquence des alertes. Utilisez des règles pour masquer automatiquement les alertes connues pour être anodines ou liées à des activités normales au sein votre organisation. Cela vous permet de vous concentrer sur les menaces les plus pertinentes.
Les alertes correspondant à vos règles de suppression activées sont toujours générées, mais leur état est défini sur ignoré. Vous pouvez voir leur état sur le portail Azure ou en accédant aux alertes de votre Security Center.
Les règles de suppression définissent les critères en vertu desquels les alertes doivent être automatiquement ignorées. En règle générale, vous utilisez une règle de suppression pour effectuer les opérations suivantes :
supprimer des alertes identifiées comme faux positifs ;
supprimer des alertes déclenchées trop souvent pour être utiles.
Apprenez-en davantage sur la suppression des alertes à partir de la protection contre les menaces d’Azure Security Center.
Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
Le niveau standard de Security Center intègre désormais l’évaluation des vulnérabilités des machines virtuelles sans frais supplémentaires. Cette extension est fournie par Qualys mais renvoie ses résultats directement à Security Center. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center.
La nouvelle solution peut analyser en continu vos machines virtuelles pour trouver des vulnérabilités et présenter les résultats au Security Center.
Pour déployer la solution, suivez la nouvelle recommandation de sécurité :
« Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (optimisées par Qualys) (Préversion)
Apprenez-en davantage sur l’évaluation des vulnérabilités des machines virtuelles intégrée dans le Security Center.
Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
Le Security Center intègre une fonctionnalité facultative destinée à protéger les ports de gestion de vos machines virtuelles. Celle-ci offre une protection contre la forme la plus courante d’attaques par force brute.
Cette mise à jour apporte à cette fonctionnalité les modifications suivantes :
La recommandation suggérant d’activer l’accès JAT sur une machine virtuelle a été reformulée. Précédemment « le contrôle d’accès du réseau Juste-à-temps doit être appliqué sur les machines virtuelles », maintenant : « Les ports de gestion des machines virtuelles doivent être protégés avec un contrôle d’accès réseau juste-à-temps ».
La recommandation n’est déclenchée que s’il existe des ports de gestion ouverts.
Apprenez-en davantage sur la fonctionnalité accès JAT.
Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré était « Implémenter les meilleures pratiques de sécurité ». Toutes les recommandations personnalisées créées pour vos abonnements ont été placées automatiquement dans ce contrôle.
Pour faciliter la recherche de vos recommandations personnalisées, nous les avons déplacées vers un contrôle de sécurité dédié nommé « Recommandations personnalisées ». Ce contrôle n’a aucun impact sur votre degré de sécurisation.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion) dans Azure Security Center.
Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées. Ceux-ci reflètent vos surfaces d’attaque vulnérables. Un contrôle est un ensemble de recommandations de sécurité, avec des instructions qui vous permettent de les implémenter.
Pour voir immédiatement dans quelle mesure votre organisation sécurise chacune des surfaces d’attaque, examinez le degré de chaque contrôle de sécurité.
Par défaut, vos recommandations s’affichent dans les contrôles de sécurité. À partir de cette mise à jour, vous pouvez également les afficher sous forme de liste. Pour les afficher sous la forme d’une liste simple triée en fonction de l’état d’intégrité des ressources affectées, utilisez la nouvelle option « Grouper par contrôles ». Cette option se trouve au-dessus de la liste dans le portail.
Les contrôles de sécurité, et cette option, font partie de la nouvelle expérience de degré de sécurisation. N’oubliez pas de nous envoyer vos commentaires à partir du portail.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion) dans Azure Security Center.
Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré est « Implémenter les meilleures pratiques de sécurité ». Quand ce contrôle contient une recommandation, celle-ci n’a aucun impact sur le degré de sécurisation.
Avec cette mise à jour, trois recommandations ont été déplacées des contrôles dans lesquels elles étaient placées à l’origine vers ce contrôle des bonnes pratiques. Nous avons pris cette mesure parce que nous avons constaté que le risque que ces trois recommandations visaient à prévenir était moindre que le risque initialement prévu.
En outre, deux nouvelles recommandations ont été introduites et ajoutées à ce contrôle.
Les trois recommandations déplacées sont les suivantes :
- L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture de votre abonnement (à l’origine, dans le contrôle « Activer la MFA »).
- Les comptes externes disposant d’autorisations de lecture doivent être supprimés de votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
- Trois propriétaires au plus doivent être désignés pour votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
Les deux nouvelles recommandations ajoutées au contrôle sont les suivantes :
L’extension de configuration d’invité doit être installée sur les machines virtuelles Windows (préversion) : la Configuration d’invité Azure Policy apporte une visibilité des machines virtuelles aux paramètres de serveur et d’application (Windows uniquement).
Windows Defender Exploit Guard doit être activé sur vos machines (préversion) : Windows Defender Exploit Guard tire parti de l’agent de configuration d’invité (Guest Configuration) Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).
Pour en savoir plus sur Windows Defender exploit Guard, consultez Créer et déployer une stratégie Windows Defender Exploit Guard.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion).
Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
Les stratégies personnalisées font désormais partie de l’expérience des Recommandations relatives à Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Cette fonctionnalité désormais généralement disponible vous permet d’étendre la couverture de l’évaluation de la sécurité de votre organisation dans Azure Security Center.
Créez une initiative personnalisée dans Azure Policy, ajoutez-y des stratégies, intégrez-la à Azure Security Center et visualisez-la sous la forme de recommandations.
Nous avons également ajouté une option permettant de modifier les métadonnées de recommandation personnalisées. Les options des métadonnées incluent la gravité, des mesures de correction, des informations sur les menaces, etc.
Pour en savoir plus, consultez Amélioration de vos recommandations personnalisées avec des informations détaillées.
Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Nous intégrons les fonctionnalités de détection de l’analyse du vidage sur incident Windows dans la détection d’attaque sans fichier. L’analytique de la détection d’attaque sans fichier offre des versions améliorées des alertes de sécurité suivantes pour les ordinateurs Windows : injection de code découverte, usurpation d’identité de module Windows détectée, code Shell détecté et segment de code suspect détecté.
Voici quelques-uns des avantages de cette transition :
Détection proactive et en temps opportun des programmes malveillants : l’approche de l’analyse du vidage sur incident impliquait l’attente de la survenance d’un incident, puis l’exécution d’une analyse pour trouver des artefacts malveillants. La détection d’attaque sans fichier introduit l’identification de manière proactive des menaces en mémoire pendant leur exécution.
Alertes enrichies : les alertes de sécurité liées à la détection d’attaque sans fichier apportent des enrichissements par rapport à une simple analyse du vidage sur incident, tels que les informations de connexions réseau actives.
Agrégation d’alertes : quand l’analyse du vidage sur incident détectait plusieurs modèles d’attaque au sein d’un même vidage sur incident, elle déclenchait plusieurs alertes de sécurité. La détection d’attaque sans fichier combine tous les modèles d’attaque identifiés participant d’un même processus dans une alerte unique, ce qui évite d’avoir à mettre en corrélation plusieurs alertes.
Exigences réduites concernant votre espace de travail Log Analytics : les vidages sur incident contenant des données potentiellement sensibles ne sont plus chargés dans votre espace de travail Log Analytics.
Avril 2020
Les mises à jour du mois d’avril incluent :
- Disponibilité générale des packages de conformité dynamique
- Inclusion des recommandations relatives aux identités dans le niveau gratuit d’Azure Security Center
Disponibilité générale des packages de conformité dynamique
Le tableau de bord de conformité réglementaire d’Azure Security Center inclut désormais des packages de conformité dynamique (en disponibilité générale) pour suivre des normes réglementaires et sectorielles supplémentaires.
Vous pouvez ajouter ces packages de conformité dynamique à votre abonnement ou à votre groupe d’administration à partir de la page Stratégie de sécurité d’Azure Security Center. Après l’intégration d’une norme ou un benchmark, ceux-ci apparaissent dans votre tableau de bord de conformité réglementaire avec toutes les données de conformité associées en tant qu’évaluations. Un rapport de synthèse pour toutes les normes intégrées sera disponible en téléchargement.
Désormais, vous pouvez ajouter des normes telles que les suivantes :
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official et UK NHS
- PBMM fédéral du Canada
- Azure CIS 1.1.0 (nouveau) (représentation plus complète d’Azure CIS 1.1.0)
De plus, nous avons récemment ajouté le Benchmark de sécurité Azure, les directives spécifiques d’Azure créées par Microsoft pour les meilleures pratiques de sécurité et de conformité, basées sur des infrastructures de conformité courantes. Des normes supplémentaires seront prises en charge dans le tableau de bord dès qu’elles seront disponibles.
Apprenez-en davantage sur la personnalisation de l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Inclusion des recommandations relatives aux identités dans le niveau gratuit d’Azure Security Center
Les recommandations de sécurité relatives aux identités et aux accès sont désormais généralement disponibles dans le niveau gratuit d’Azure Security Center. Cela fait partie de l’effort visant à atteindre la gratuité des fonctionnalités de gestion de la posture de sécurité cloud. Jusqu’à présent, ces recommandations n’étaient disponibles qu’au niveau tarifaire standard.
Voici des exemples de recommandations relatives aux identités et aux accès :
- « L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement. »
- « Au maximum trois propriétaires doivent être désignés pour votre abonnement. »
- « Les comptes déconseillés doivent être supprimés de votre abonnement. »
Si vous avez des abonnements au niveau tarifaire gratuit, ce changement affectera leurs degrés de sécurisation, car ils n’ont jamais été évalués sur le plan de la sécurité des identités et des accès.
Mars 2020
Les mises à jour du mois de mars incluent :
- Disponibilité générale de l’automatisation de flux de travail
- Intégration d’Azure Security Center avec le Centre d’administration Windows
- Protection pour Azure Kubernetes Service
- Amélioration de l’expérience juste-à-temps
- Deux recommandations de sécurité pour les applications web déconseillées
Disponibilité générale de l’automatisation de flux de travail
La fonctionnalité d’automatisation de flux de travail d’Azure Security Center est désormais généralement disponible. Elle permet de déclencher automatiquement Logic Apps sur des alertes et recommandations de sécurité. En outre, des déclencheurs manuels sont disponibles pour les alertes et toutes les recommandations pour lesquelles l’option de correction rapide est disponible.
Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. L’automatisation contribue à réduire la surcharge et à renforcer votre sécurité en garantissant que les étapes du processus se déroulent rapidement, de manière cohérente et selon les exigences que vous avez prédéfinies.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles d’Azure Security Center pour l’exécution de vos flux de travail, consultez Automatisation des workflows.
Apprenez-en davantage sur la création de Logic Apps.
Intégration d’Azure Security Center avec le Centre d’administration Windows
Vous pouvez désormais déplacer vos serveurs Windows locaux du Centre d’administration Windows directement vers Azure Security Center. Azure Security Center devient alors votre unique fenêtre pour l’affichage des informations de sécurité de toutes vos ressources du Centre d’administration Windows, à savoir les serveurs locaux, les machines virtuelles et les charges de travail PaaS supplémentaires.
Après avoir déplacé un serveur du Centre d’administration Windows vers Azure Security Center, vous pourrez effectuer les opérations suivantes :
- Afficher les alertes et recommandations de sécurité dans l’extension Security Center du Centre d’administration Windows.
- Afficher la posture de sécurité et des informations détaillées supplémentaires sur vos serveurs gérés par le Centre d’administration Windows dans le Security Center à l’intérieur du portail Azure (ou via une API).
Apprenez-en davantage sur la façon d’intégrer Azure Security Center avec le Centre d’administration Windows.
Protection pour Azure Kubernetes Service
Azure Security Center développe ses fonctionnalités de sécurité de conteneur pour protéger Azure Kubernetes Service (AKS).
La plateforme open source populaire Kubernetes est adoptée si largement qu’elle fait désormais figure de norme sectorielle pour l’orchestration de conteneurs. En dépit de cette implémentation largement répandue, il subsiste un manque de compréhension de la manière de sécuriser un environnement Kubernetes. La défense des surfaces d’attaque d’une application en conteneur requiert de l’expertise pour s’assurer que l’infrastructure est configurée de façon totalement sécurisée et constamment surveillée pour détecter des menaces potentielles.
La défense orchestrée par Azure Security Center comprend les composantes suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits auprès d’Azure Security Center.
- Recommandations de sécurité : recommandations actionnables pour vous aider à vous conformer aux meilleures pratiques en matière de sécurité pour AKS. Ces recommandations sont incluses dans votre degré de sécurisation pour garantir leur visibilité en lien avec la posture de sécurité de votre organisation. Voici un exemple de recommandation relative à AKS : « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster Kubernetes Service ».
- Protection contre les menaces : grâce à une analyse continue de votre déploiement AKS, Azure Security Center vous avertit des menaces et activités malveillantes détectées au niveau de l’hôte et du cluster AKS.
Pour en savoir plus, consultez Intégration d’Azure Kubernetes Service avec Security Center.
Apprenez-en davantage sur les fonctionnalités de sécurité de conteneur d’Azure Security Center.
Amélioration de l’expérience juste-à-temps
Les fonctionnalités, le fonctionnement et l’interface utilisateur des outils juste-à-temps de l’Azure Security Center qui sécurisent vos ports de gestion ont été améliorés comme suit :
- Champ de justification : lors de la demande d’accès à une machine virtuelle via la page Juste-à-temps du portail Azure, un nouveau champ facultatif est disponible pour entrer une justification de la demande. Le journal d’activité permet de suivre les informations entrées dans ce champ.
- Nettoyage automatique des règles JAT redondantes : chaque fois que vous mettez à jour une stratégie JAT, un outil de nettoyage s’exécute automatiquement pour vérifier la validité de votre ensemble de règles. L’outil recherche les incompatibilités entre les règles de votre stratégie et les règles du groupe de sécurité réseau. Si l’outil de nettoyage détecte une incompatibilité, il en détermine la cause et, lorsque cela ne présente aucun risque, supprime les règles intégrées qui ne sont plus nécessaires. Le nettoyeur ne supprime jamais les règles que vous avez créées.
Apprenez-en davantage sur la fonctionnalité d’accès JAT.
Deux recommandations de sécurité pour les applications web déconseillées
Deux recommandations de sécurité relatives aux applications web sont déconseillées :
Les règles relatives aux applications web sur des groupes de sécurité réseau IaaS doivent être renforcées. (Stratégie associée : Les règles de groupe de sécurité réseau pour les applications web IaaS doivent être renforcées)
L’accès à App Services doit être limité. (Stratégie associée : L’accès à App Services doit être restreint [préversion])
Ces recommandations n’apparaissent plus dans la liste de recommandations d’Azure Security Center. Les stratégies associées ne seront plus incluses dans l’initiative nommée « Security Center par défaut ».
Février 2020
Détection d’attaque sans fichier pour Linux (préversion)
À mesure que les attaquants intensifient le recours à des méthodes de plus en plus furtives pour éviter d’être détectés, Azure Security Center étend la détection d’attaque sans fichier pour Linux, en plus de Windows. Les attaques sans fichier exploitent des vulnérabilités logicielles, injectent des charges utiles malveillantes dans des processus système inoffensifs et se cachent en mémoire. Ces techniques sont les suivantes :
- réduire ou éliminer les traces de logiciels malveillants sur disque ;
- réduire considérablement les risques de détection par des solutions d’analyse de programmes malveillants sur disque.
Pour contrer cette menace, Azure Security Center a publié une fonctionnalité de détection d’attaque sans fichier pour Windows en octobre 2018, et a maintenant étendu la détection d’attaque sans fichier également sur Linux.
Janvier 2020
Amélioration du degré de sécurisation (préversion)
Une version améliorée de la fonctionnalité de degré de sécurisation d’Azure Security Center est désormais disponible en préversion. Dans cette version, plusieurs recommandations sont regroupées en contrôles de sécurité qui reflètent mieux vos surfaces d’attaque vulnérables (et, par exemple, restreignent l’accès aux ports de gestion).
Familiarisez-vous avec les changements apportés au degré de sécurisation au cours de la phase de préversion, et épinglez d’autres corrections qui vous aideront à sécuriser davantage votre environnement.
Pour en savoir plus, consultez Version améliorée du degré de sécurisation (préversion).
Novembre 2019
Les mises à jour en novembre sont les suivantes :
- Protection contre les menaces pour Azure Key Vault dans les régions d’Amérique du Nord (préversion)
- La protection contre les menaces pour Stockage Azure inclut le filtrage de la réputation des programmes malveillants
- Automatisation des workflows avec Azure Logic Apps (préversion)
- Disponibilité générale d’un correctif rapide pour les ressources en bloc
- Analyser des images conteneur pour détecter les vulnérabilités (préversion)
- Autres normes de conformité réglementaire (préversion)
- Protection contre les menaces pour Azure Kubernetes Service (préversion)
- Évaluation des vulnérabilités des machines virtuelles (préversion)
- Advanced Data Security pour les serveurs SQL sur Machines virtuelles Microsoft Azure (préversion)
- Prise en charge de stratégies personnalisées (préversion)
- Extension de la couverture d’Azure Security Center avec une plateforme pour la communauté et les partenaires
- Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
- Intégrer des serveurs locaux à Security Center à partir du Centre d’administration Windows (préversion)
Protection contre les menaces pour Azure Key Vault dans les régions d’Amérique du Nord (préversion)
Azure Key Vault est un service essentiel pour la protection des données et l’amélioration des performances des applications cloud, offrant la possibilité de gérer de manière centralisée les clés, les secrets, les clés de chiffrement et les stratégies dans le cloud. Étant donné qu’Azure Key Vault stocke des données sensibles et stratégiques, ses coffres de clés et les données qui y sont stockées exigent une sécurité maximale.
La prise en charge par Azure Security Center de la protection d’Azure Key Vault contre les menaces fournit une couche supplémentaire de veille de sécurité qui détecte les tentatives inhabituelles et potentiellement nuisibles d’accès aux coffres de clés ou d’exploitation de ceux-ci. Cette nouvelle couche de protection permet aux clients de traiter les menaces pesant sur leurs coffres de clés sans être experts en sécurité, ainsi que de gérer des systèmes de surveillance de la sécurité. Cette fonctionnalité est en préversion publique dans les régions d’Amérique du Nord.
La protection contre les menaces pour Stockage Azure inclut le filtrage de la réputation des logiciels malveillants
La protection contre les menaces pour le service Stockage Azure offre de nouvelles fonctionnalités de détection optimisées par les renseignements sur les menaces Microsoft, qui permettent de détecter les chargements de programmes malveillants sur le service Stockage Azure à partir d’une de réputation de hachage et des accès suspects en provenance d’un nœud de sortie Tor actif (proxy d’anonymisation). Vous pouvez désormais afficher les programmes malveillants détectés parmi les comptes de stockage à l’aide d’Azure Security Center.
Automatisation des flux de travail avec Azure Logic Apps (préversion)
Les organisations dont la sécurité, l’informatique et les opérations sont gérées de manière centralisée implémentent des processus de flux de travail internes pour conduire les actions requises en leur sein en cas de détection d’incohérences dans leur environnement. Dans de nombreux cas, ces flux de travail étant des processus reproductibles, une automatisation peut considérablement simplifier leur exécution au sein de l’organisation.
Aujourd’hui, nous introduisons dans Security Center une nouvelle fonctionnalité qui permet aux clients de créer des configurations d’automatisation tirant parti d’Azure Logic Apps, et d’élaborer des stratégies qui les déclencheront automatiquement en fonction de résultats d’ASC spécifiques, tels que des recommandations ou des alertes. Il est possible de configurer une application logique pour effectuer toute action personnalisée prise en charge par le vaste éventail de connecteurs d’applications logiques, ou d’utiliser l’un des modèles fournis par Security Center, tels que l’envoi d’un e-mail ou l’ouverture d’un ticket ServiceNow™.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles d’Azure Security Center disponibles pour l’exécution de vos flux de travail, consultez Automatisation des workflows.
Pour en savoir plus sur la création d’applications logiques, consultez Azure Logic Apps.
Disponibilité générale d’un correctif rapide pour les ressources en bloc
Compte tenu des nombreuses tâches confiées aux utilisateurs en lien avec le degré de sécurisation, il peut devenir difficile de résoudre efficacement les problèmes survenant au sein d’un part informatique de grande taille.
Utilisez la correction de correctif rapide pour corriger les configurations incorrectes de sécurité, corriger les recommandations sur plusieurs ressources et améliorer votre score de sécurité.
Cette opération vous permet de sélectionner les ressources auxquelles à corriger et de lancer une action de correction qui configure le paramètre à votre place.
Un correctif rapide est dès aujourd’hui en disponibilité générale pour les clients dans la page Recommandations du Security Center.
Analyser des images de conteneur pour détecter des vulnérabilités (préversion)
Azure Security Center peut désormais analyser des images de conteneur dans Azure Container Registry pour rechercher des vulnérabilités.
Le balayage d’image fonctionne en analysant le fichier image du conteneur, puis en vérifiant s’il existe des vulnérabilités connues (optimisées par Qualys).
L’analyse proprement dite est déclenchée automatiquement lors de l’envoi (push) de nouvelles images de conteneur au Registre de conteneurs Azure (Azure Container Registry). Les vulnérabilités découvertes feront l’objet de recommandations de Security Center et seront incluses dans le degré de sécurisation avec des informations sur la façon de les corriger afin de réduire la surface d’attaque qu’elles offrent.
Normes de conformité réglementaire supplémentaires (préversion)
Le tableau de bord Conformité réglementaire fournit des insights sur votre posture de conformité en fonction des évaluations du Security Center. Le tableau de bord indique la conformité de votre environnement avec des contrôles et exigences stipulés par des normes réglementaires et des benchmarks sectoriels spécifiques, et fournit des recommandations prescriptives sur la façon de s’y conformer.
À ce jour, ce tableau de bord prend en charge quatre normes intégrées : Azure CIS 1.1.0, PCI-DSS, ISO 27001 et SOC-TSP. Nous annonçons à présent la pris en charge en préversion publique de normes supplémentaires, à savoir : NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM et UK Official avec UK NHS. Nous publions également une version mise à jour d’Azure CIS 1.1.0, qui couvre davantage de contrôles à partir de l’extensibilité standard et améliorée.
Protection contre les menaces pour Azure Kubernetes Service (préversion)
Kubernetes devient rapidement la nouvelle norme pour le déploiement et la gestion de logiciels dans le cloud. Rares sont les utilisateurs qui ont une expérience approfondie de Kubernetes et nombreux sont ceux qui se concentrent uniquement sur l’ingénierie et l’administration générales en négligeant la sécurité. Il convient de configurer l’environnement Kubernetes avec soin pour le sécuriser en s’assurant qu’aucune porte laissée ouverte, donnant sur une surface d’attaque de conteneurs, n’est exposée pour des attaquants. Azure Security Center étend son support en lien avec les conteneurs à un service Azure qui connaît une croissance des plus rapides, à savoir Azure Kubernetes Service (AKS).
Les nouvelles fonctionnalités de cette préversion publique sont les suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits de Security Center.
- Recommandations concernant le degré de sécurisation : éléments actionnables pour aider les clients à se conformer aux meilleures pratiques de sécurité pour AKS, et renforcer leur degré de sécurisation. Ces recommandations incluent des éléments tels que « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster de service Kubernetes ».
- Détection des menaces : analyses basées sur un hôte ou un cluster, par exemple, « un conteneur privilégié détecté ».
Évaluation des vulnérabilités des machines virtuelles (préversion)
Les applications installées sur les machines virtuelles peuvent souvent présenter des vulnérabilités susceptibles d’entraîner une violation de ces machines. Nous annonçons que le niveau de service Standard de Security Center comprend une évaluation des vulnérabilités intégrée pour les machines virtuelles sans frais supplémentaires. L’évaluation des vulnérabilités, optimisée par Qualys dans la préversion publique, vous permet d’analyser en continu toutes les applications installées sur une machine virtuelle afin d’épingler celles qui sont vulnérables, et de présenter les résultats sur le portail Security Center. Security Center prend en charge toutes les opérations de déploiement afin que l’utilisateur n’ait aucun travail supplémentaire à accomplir. À l’avenir, nous envisageons de fournir des options d’évaluation des vulnérabilités pour satisfaire aux besoins uniques de nos clients.
Apprenez-en davantage sur l’évaluation des vulnérabilités de vos machines virtuelles Azure.
Advanced Data Security pour SQL Server sur machines virtuelles Azure (préversion)
Le support d’Azure Security Center en lien avec la protection contre les menaces et l’évaluation des vulnérabilités pour les bases de données SQL s’exécutant sur des machines virtuelles IaaS est désormais en préversion.
La fonctionnalité Évaluation des vulnérabilités est un service simple à configurer, qui vous permet de découvrir, suivre et de corriger des vulnérabilités de base de données potentielles. Il offre une visibilité sur votre posture de sécurité dans le cadre du degré de sécurisation et inclut des étapes pour résoudre les problèmes de sécurité et renforcer la protection de votre base de données.
La protection avancée contre les menaces détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès à votre serveur SQL ou d’exploitation de celui-ci. Elle supervise en permanence votre base de données pour détecter des activités suspectes, et envoie des alertes de sécurité orientées action en cas de modèles d’accès anormaux à la base de données. Ces alertes fournissent des détails sur les activités suspectes et des mesures recommandées pour examiner et atténuer la menace.
Prise en charge de stratégies personnalisées (préversion)
Azure Security Center prend désormais en charge les stratégies personnalisées (en préversion).
Nos clients ont exprimé le souhait d’étendre la couverture de leurs évaluations de la sécurité actuelles dans Security Center en y ajoutant leurs propres évaluations de la sécurité, basées sur des stratégies qu’ils créent dans Azure Policy. Grâce à la prise en charge des stratégies personnalisées, c’est désormais possible.
Ces stratégies personnalisées font désormais partie des recommandations d’Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Avec la prise en charge des stratégies personnalisées, vous pouvez désormais créer une initiative personnalisée dans Azure Policy, puis l’ajouter en tant que stratégie dans Azure Security Center et la visualiser en tant que recommandation.
Extension de la couverture d’Azure Security Center avec une plateforme pour la communauté et les partenaires
Utilisez Security Center pour recevoir des recommandations, non seulement de Microsoft, mais aussi de solutions existantes de partenaires tels que Check Point, Tenable et CyberArk, avec de nombreuses intégrations supplémentaires à venir. Le flux d’intégration simple de Security Center peut connecter vos solutions existantes à Security Center, ce qui vous permet d’afficher les recommandations relatives à votre posture de sécurité dans un emplacement unique, de générer des rapports unifiés et de tirer parti de toutes les fonctionnalités de Security Center en lien avec les recommandations intégrées et de partenaires. Vous pouvez également exporter les recommandations de Security Center vers des produits partenaires.
Apprenez-en davantage sur l’Association de sécurité intelligente de Microsoft.
Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
Afin d’activer des scénarios de niveau entreprise en plus de Security Center, il est désormais possible d’utiliser des alertes et recommandations du Security Center dans des emplacements supplémentaires, à l’exception du portail Azure ou de l’API. Vous pouvez les exporter directement vers un Event Hub et des espaces de travail Log Analytics. Voici quelques flux de travail que vous pouvez créer autour de ces nouvelles fonctionnalités :
- Avec une exportation vers un espace de travail Log Analytics, vous pouvez créer des tableaux de bord personnalisés avec Power BI.
- Avec une exportation vers Event Hubs, vous pouvez exporter les alertes et recommandations d’Azure Security Center vers vos informations de sécurité et gestion d’événements (SIEM) tierces, vers une solution tierce ou vers Azure Data Explorer.
Intégrer des serveurs locaux à Security Center à partir du Centre d’administration Windows (préversion)
Le Centre d’administration Windows est un portail de gestion pour les serveurs Windows non déployés dans Azure, qui offre à ceux-ci plusieurs fonctionnalités de gestion Azure, telles que la sauvegarde et les mises à jour système. Nous avons récemment ajouté la possibilité d’intégrer ces serveurs non-Azure de façon à ce qu’ils soient protégés par ASC directement à partir du Centre d’administration Windows.
Les utilisateurs peuvent désormais intégrer un serveur WAC à Azure Security Center et activer l’affichage de ses alertes et recommandations de sécurité directement dans l’expérience windows Admin Center.
Septembre 2019
Les mises à jour en septembre sont les suivantes :
- Gestion des règles avec des améliorations des contrôles d’application adaptatifs
- Contrôler la recommandation de sécurité de conteneur à l’aide d’Azure Policy
Gestion des règles avec des améliorations des contrôles d’application adaptatifs
L’expérience de gestion des règles pour les machines virtuelles à l’aide de contrôles d’application adaptatifs a été améliorée. Les contrôles d’application adaptatifs d’Azure Security Center vous aident à contrôler les applications qui peuvent s’exécuter sur vos machines virtuelles. En plus d’une amélioration générale de la gestion des règles, un nouvel avantage vous permet de contrôler les types de fichiers qui seront protégés lorsque vous ajoutez une nouvelle règle.
Apprenez-en davantage sur les contrôles d’application adaptatifs.
Contrôler la recommandation de sécurité de conteneur à l’aide d’Azure Policy
La recommandation d’Azure Security Center pour corriger des vulnérabilités dans la sécurité de conteneur peut désormais être activée ou désactivée via Azure Policy.
Pour afficher vos stratégies de sécurité activées, dans le Security Center, ouvrez la page Stratégie de sécurité.
Août 2019
Les mises à jour en août sont les suivantes :
- Accès de machine virtuelle juste-à-temps (JAT) pour Pare-feu Azure
- Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
- Gestion multilocataire
Accès de machine virtuelle juste-à-temps (JAT) pour le Pare-feu Azure
L’accès de machine virtuelle juste-à-temps (JAT) pour le Pare-feu Azure est désormais généralement disponible. Utilisez-le pour sécuriser vos environnements protégés par un Pare-feu Azure en plus de vos environnements protégés par un groupe de sécurité réseau.
L’accès de machine virtuelle JAT réduit l’exposition aux attaques volumétriques de réseau en fournissant aux machines virtuelles un accès contrôlé uniquement si nécessaire, à l’aide de vos règles de groupe de sécurité réseau et de Pare-feu Azure.
Lorsque vous activez l’accès JAT pour vos machines virtuelles, vous créez une stratégie qui détermine les ports à protéger, la durée pendant laquelle les ports doivent rester ouverts et les adresses IP approuvées à partir desquelles ces ports sont accessibles. Cette stratégie vous permet contrôler ce que les utilisateurs peuvent faire quand ils demandent l’accès.
Les demandes étant consignées dans le journal d’activité Azure, vous pouvez surveiller et vérifier facilement l’accès. La page juste-à-temps vous aide également à identifier rapidement les machines virtuelles existantes pour lesquelles l’accès JAT est activé et celles pour lesquelles il est recommandé.
Apprenez-en davantage sur le Pare-feu Azure.
Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
Le degré de sécurisation est un outil qui vous aide à évaluer la sécurité de la charge de travail. Il examine vos recommandations de sécurité et les hiérarchise de façon à ce que vous sachiez celles que vous devez appliquer en premier. Cela vous aide à épingler les vulnérabilités de sécurité les plus graves pour hiérarchiser l’investigation.
Afin de simplifier la correction des configurations de sécurité incorrectes et de vous aider à améliorer rapidement votre degré de sécurisation, nous avons ajouté une nouvelle fonctionnalité qui vous permet d’appliquer une recommandation à un lot de ressources en un seul clic.
Cette opération vous permettra de sélectionner les ressources auxquelles vous souhaitez appliquer la correction, et de lancer une action de correction qui configurera le paramètre pour vous.
Gestion multilocataire
Azure Security Center prend désormais en charge les scénarios de gestion mutualisée dans Azure Lighthouse. Cela vous permet d’acquérir une visibilité et de gérer la posture de sécurité de plusieurs locataires dans Azure Security Center.
Apprenez-en davantage sur les expériences de gestion mutualisée.
Juillet 2019
Mises à jour des recommandations pour le réseau
Azure Security Center a publié de nouvelles recommandations pour la mise en réseau, et amélioré des recommandations existantes. Désormais, l’utilisation d’Azure Security Center garantit une meilleure protection réseau pour vos ressources.
Juin 2019
Renforcement adaptatif du réseau - mise à la disposition générale
L’une des principales surfaces d’attaque pour les charges de travail s’exécutant dans le cloud public est celle des interconnexions avec l’Internet public. Nos clients trouvent difficile de savoir quelles règles de groupe de sécurité mettre en place pour s’assurer que les charges de travail Azure ne sont disponibles que pour les plages sources requises. Cette fonctionnalité permet à Security Center d’apprendre le trafic réseau et les modèles de connectivité des charges de travail Azure, et fournit des recommandations de règle de groupe de sécurité réseau pour les machines virtuelles accessibles via Internet. Cela permet à nos clients de mieux configurer leurs stratégies d’accès réseau et de limiter leur exposition aux attaques.