Intégrations à l’infrastructure
L’infrastructure comprend le matériel, les logiciels, les microservices, l’infrastructure réseau et les installations qui sont nécessaires à la prise en charge des services informatiques dans une organisation. Les solutions d’infrastructure Confiance Zéro évaluent, surveillent et préviennent les menaces de sécurité sur ces services.
Les solutions d'infrastructure de Confiance Zéro soutiennent les principes de Confiance Zéro en garantissant que l'accès aux ressources de l'infrastructure est vérifié explicitement, que l'accès est accordé en utilisant les droits d'accès minimal, et que des mécanismes sont en place pour assumer les violations et rechercher et remédier aux menaces de sécurité dans l'infrastructure.
Ce guide est destiné aux fournisseurs de logiciels et aux partenaires technologiques qui souhaitent améliorer leurs solutions de sécurité de l’infrastructure en intégrant des produits Microsoft.
Guide d’intégration de la Confiance Zéro à l’infrastructure
Ce guide d'intégration comprend une stratégie et des instructions pour l'intégration avec Microsoft Defender pour le cloud et ses plans de protection des charges de travail cloud intégrés, Microsoft Defender pour... (serveurs, conteneurs, bases de données, stockage, App Services, et plus encore).
Ce guide couvre les intégrations aux solutions SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response), EDR (Endpoint Detection and Response) et ITSM (IT Service Management) les plus populaires.
Confiance Zéro et Defender pour le cloud
Notre Guide de déploiement d’une infrastructure Confiance Zéro décrit les étapes clés de la stratégie Confiance Zéro pour l’infrastructure. Il s’agit des étapes suivantes :
- Évaluer la conformité avec les normes et les stratégies choisies
- Durcir la configuration de la sécurité partout où des failles sont détectées
- Utiliser d’autres outils de durcissement comme l’accès juste-à-temps (JIT) aux machines virtuelles
- Configurer la détection des menaces et la protection contre les menaces
- Bloquer et signaler automatiquement les comportements à risque, et prendre des mesures de protection
Les objectifs que nous avons décrits dans le guide de déploiement de l’infrastructure sont clairement en phase avec les principaux aspects de Defender pour le cloud.
| Objectif de la Confiance Zéro | Fonctionnalité Defender pour le cloud |
|---|---|
| Évaluer la conformité | Dans Defender pour le cloud, chaque abonnement se voit automatiquement attribuer le Microsoft cloud point de référence sécurité (MCSB) comme initiative de sécurité par défaut. À l’aide des outils d’évaluation de la sécurité et du tableau de bord de conformité réglementaire, vous pouvez obtenir un état complet de la posture de sécurité de votre client. |
| Durcir la configuration de la sécurité | L'attribution d'initiatives de sécurité aux abonnements et l'examen du score de sécurité vous conduisent aux recommandations de durcissement intégrées à Defender pour le cloud. Defender pour le cloud analyse périodiquement l'état de conformité des ressources afin d'identifier les éventuelles erreurs de configuration et faiblesses en matière de sécurité. Il fournit ensuite des recommandations sur la façon de corriger ces problèmes. |
| Utiliser des mécanismes de durcissement de la sécurité | Outre les correctifs ponctuels apportés aux mauvaises configurations de sécurité, Defender pour le cloud inclut des fonctionnalités permettant de durcir davantage vos ressources, telles que : Accès juste-à-temps (JIT) aux machines virtuelles Durcissement réseau adaptatif Contrôles d’application adaptatifs. |
| Configurer la détection des menaces | Defender pour le cloud offre des plans de protection de charge de travail cloud intégrés, pour la détection et la réponse aux menaces. Les plans offrent une protection avancée et intelligente des ressources et charges de travail Azure, hybrides et multicloud. L’un des plans Microsoft Defender, Microsoft Defender pour serveurs, comprend une intégration native à Microsoft Defender for Endpoint. Pour en savoir plus, consultez Présentation de Microsoft Defender pour le cloud. |
| Bloquer automatiquement tout comportement suspect | La plupart des recommandations de durcissement dans Defender pour le cloud s’accompagnent d’une option Refuser. Cette fonctionnalité vous permet d’empêcher la création de ressources qui ne remplissent pas les critères de durcissement de la sécurité qui ont été définis. Pour plus d’informations, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser. |
| Signaler automatiquement tout comportement suspect | Les alertes de sécurité de Microsoft Defender pour le cloud sont déclenchées par des détections avancées. Defender pour le cloud hiérarchise et répertorie les alertes ainsi que les informations vous permettant d’investiguer rapidement le problème. Defender pour le cloud fournit également des étapes détaillées pour vous aider à atténuer les attaques. Pour obtenir la liste complète des alertes possibles, consultez Alertes de sécurité - guide de référence. |
Protéger vos services Azure PaaS avec Defender pour le cloud
Avec Defender pour le cloud activé sur votre abonnement, et les plans de protection de charge de travail Defender activés pour tous les types de ressources disponibles, vous disposerez d'une couche de protection intelligente contre les menaces - alimentée par Veille des menaces Microsoft - protégeant les ressources dans Azure Key Vault, stockage Azure, Azure DNS et d'autres services Azure PaaS. Pour obtenir une liste complète, consultez les services PaaS répertoriés dans la matrice de support.
Azure Logic Apps
Utilisez Azure Logic Apps si vous souhaitez créer des workflows scalables automatisés, des processus métier et des orchestrations d’entreprise pour intégrer vos applications et vos données à des services cloud et des systèmes locaux.
La fonctionnalité d’automatisation des workflows de Defender pour le cloud vous permet d’automatiser les réponses aux déclencheurs Defender pour le cloud.
C’est un excellent moyen de définir et d’appliquer des réponses de manière automatisée et cohérente lorsque des menaces sont découvertes. Par exemple, pour avertir les parties prenantes concernées, lancez un processus de gestion des changements, et appliquez les étapes de correction définies spécifiques en cas de détection d’une menace.
Intégrer Defender pour le cloud à vos solutions SIEM, SOAR et ITSM
Microsoft Defender pour le cloud peut diffuser vos alertes de sécurité vers des systèmes SIEM tiers, SOAR ou des solutions de gestion des services informatiques populaires.
Il existe des outils Azure natifs pour vous permettre d’afficher les données d’alerte dans toutes les solutions les plus populaires actuellement utilisées, y compris :
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar d’IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender pour le cloud s’intègre de façon native à Microsoft Sentinel, solution native cloud SIEM (security information event management) et SOAR (security orchestration automated response) de Microsoft.
Il existe deux approches pour garantir que vos données Defender pour le cloud sont représentées dans Microsoft Sentinel :
Connecteurs Sentinel - Microsoft Sentinel comprend des connecteurs intégrés pour Microsoft Defender pour le cloud au niveau de l’abonnement et du locataire :
- Diffuser en continu des alertes vers Microsoft Sentinel au niveau de l’abonnement
- Connecter tous les abonnements de votre client à Microsoft Sentinel
Conseil
Pour plus d’informations, consultez Connecter les alertes de sécurité de Microsoft Defender pour le cloud.
Envoyer en streaming vos journaux d’audit - Un autre moyen d’investiguer les alertes Defender pour le cloud dans Microsoft Sentinel consiste à envoyer en streaming vos journaux d’audit dans Microsoft Sentinel :
Diffuser en continu des alertes avec l’API de sécurité Microsoft Graph
Defender pour le cloud dispose d’une intégration prête à l’emploi avec l’API de sécurité Microsoft Graph. Aucune configuration n’est requise et aucun coût supplémentaire n’est nécessaire.
Vous pouvez utiliser cette API pour envoyer en streaming les alertes du locataire entier (et les données de nombreux autres produits de sécurité Microsoft) vers des solutions SIEM et autres plateformes tierces populaires :
- Splunk Enterprise et Splunk Cloud - Utiliser le module complémentaire d’API de sécurité Microsoft Graph pour Splunk
- Power BI - Se connecter à l’API de sécurité Microsoft Graph dans Power BI Desktop
- ServiceNow - Suivre les instructions d’installation et de configuration de l’application d’API de sécurité Microsoft Graph à partir du magasin ServiceNow
- QRadar - Module de prise en charge des appareils IBM pour Microsoft Defender pour le cloud via l’API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark, et plus - API de sécurité Microsoft Graph
En savoir plus sur l’API de sécurité Microsoft Graph.
Diffuser en continu des alertes avec Azure Monitor
Utilisez la fonctionnalité d’exportation continue de Defender pour le cloud pour connecter Defender pour le cloud à Azure Monitor via Azure Event Hubs, et envoyer les alertes en streaming vers ArcSight, SumoLogic, les serveurs Syslog, LogRhythm, la plateforme d’observabilité cloud Logz.io ou d’autres solutions de surveillance.
Consultez Diffuser en continu des alertes avec Azure Monitor pour en savoir plus.
Cela peut également être fait au niveau du groupe d’administration en utilisant Azure Policy. Consultez Créer des configurations d’automatisation d’exportation continue à l’échelle pour en savoir plus.
Conseil
Pour afficher les schémas d’événements des types de données exportés, visitez les schémas d’événements Event Hub.
Intégrer Defender pour le cloud à une solution EDR (Endpoint Detection and Response)
Microsoft Defender for Endpoint
Microsoft Defender pour point de terminaison est une solution holistique de sécurité des points de terminaison dans le cloud.
Microsoft Defender pour serveurs comprend une licence intégrée pour Microsoft Defender for Endpoint. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes. Pour plus d’informations, consultez Protéger vos points de terminaison.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L'alerte s'affiche dans Defender pour le cloud et vous pouvez pivoter vers la console Defender pour endpoint pour mener une enquête détaillée et découvrir l'ampleur de l'attaque. En savoir plus sur Microsoft Defender for Endpoint.
Autres solutions EDR
Defender pour le cloud fournit des recommandations de durcissement pour s'assurer que vous sécurisez les ressources de votre organisation conformément aux aides du Microsoft cloud point de référence de sécurité (MCSB). L’un des contrôles du benchmark concerne la sécurité des points de terminaison : ES-1 : Utiliser les fonctionnalités EDR (Endpoint Detection and Response).
Defender pour le cloud comporte deux recommandations qui permettent de vous assurer que vous avez activé la protection des points de terminaison, et que cette protection fonctionne correctement. Ces recommandations vérifient la présence et l’intégrité opérationnelle des solutions EDR :
- Trend Micro
- Symantec
- McAfee
- Sophos
Pour en savoir plus, consultez Recommandations et évaluation des protections de points de terminaison dans Microsoft Defender pour le cloud.
Appliquer votre stratégie Confiance Zéro à des scénarios hybrides et multicloud
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Microsoft Defender pour le cloud protège les charges de travail partout où elles sont exécutées : dans Azure, localement, dans AWS (Amazon Web Services) ou dans GCP (Google Cloud Platform).
Intégrer Defender pour le cloud à des ordinateurs locaux
Pour sécuriser les charges de travail cloud hybrides, vous pouvez étendre les protections de Defender pour le cloud en connectant les ordinateurs locaux à des serveurs avec Azure Arc.
Pour savoir comment connecter des ordinateurs, consultez Connecter vos ordinateurs non Azure à Defender pour le cloud.
Intégrer Defender pour le cloud à d’autres environnements cloud
Pour voir la posture de sécurité des ordinateurs Amazon Web Services dans Defender pour le cloud, intégrez des comptes AWS à Defender pour le cloud. Cela permettra d'intégrer AWS Security Hub et Microsoft Defender for Cloud pour une vue unifiée des recommandations de Defender pour le cloud et des conclusions d'AWS Security Hub, et de bénéficier d'une série d'avantages décrits dans la section Connecter vos comptes AWS à Microsoft Defender pour le cloud.
Pour voir la posture de sécurité des ordinateurs Google Cloud Platform dans Defender pour le cloud, intégrez des comptes GCP à Defender pour le cloud. Cela permettra d'intégrer GCP Security Command et Microsoft Defender for Cloud pour une vue unifiée des recommandations de Defender pour le cloud et des conclusions du GCP Security Command Center, et de bénéficier d'une série d'avantages tels que décrits dans Connecter vos comptes GCP à Microsoft Defender pour le cloud.
Étapes suivantes
Pour en savoir plus sur Defender pour le cloud, consultez la documentation complète de Defender pour le cloud.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour