Prise en charge et conditions préalables à la gestion de la posture de sécurité des données

Passez en revue les exigences de cette page avant de configurer la gestion de la posture de sécurité des données dans Microsoft Defender pour le cloud.

Activation de la découverte de données sensibles

La détection de données sensibles est disponible dans les plans Defender CSPM, Defender pour le stockage et Defender pour bases de données.

  • Lorsque vous activez l’un des plans, l’extension de découverte de données sensibles est activée dans le cadre du plan.
  • Si vous avez des plans existants en cours d’exécution, l’extension est disponible, mais désactivée par défaut.
  • Le statut du plan existant apparaît comme « Partiel » plutôt que « Complet » si une ou plusieurs extensions ne sont pas activées.
  • La fonctionnalité est activée au niveau de l’abonnement.
  • Si la détection des données sensibles est activée, mais que Defender CSPM n’est pas activée, seules les ressources de stockage sont analysées.
  • Si un abonnement est activé avec Defender CSPM et qu’en parallèle, vous avez analysé les mêmes ressources avec Purview, le résultat de l’analyse de Purview est ignoré et les valeurs par défaut permettent d’afficher les résultats d’analyse de Microsoft Defender pour Cloud pour le type de ressource pris en charge.

Opérations prises en charge

Le tableau récapitule la disponibilité et les scénarios pris en charge pour la découverte de données sensibles.

Support Détails
Quelles ressources de données Azure puis-je découvrir ? Stockage d’objets :

Compte de stockage Blob de blocs dans le Stockage Azure v1/v2

Azure Data Lake Storage Gen2

Les comptes de stockage derrière des réseaux privés sont pris en charge.

Les comptes de stockage chiffrés avec une clé côté serveur gérée par le client sont pris en charge.

Les comptes ne sont pas pris en charge si un point de terminaison de compte de stockage a un domaine personnalisé qui lui est associé.


Bases de données

Bases de données Azure SQL

Azure SQL Database chiffré avec Transparent Data Encryption
Quelles ressources de données AWS puis-je découvrir ? Stockage d’objets :

Compartiments AWS S3

Defender pour le cloud peut découvrir des données chiffrées par KMS, mais pas des données chiffrées avec une clé gérée par le client.

Bases de données

- Amazon Aurora
- Amazon RDS pour PostgreSQL
- Amazon RDS pour MySQL
- Amazon RDS pour MariaDB
- Amazon RDS pour SQL Server (version non personnalisée)
- Amazon RDS pour Oracle Database (version non personnalisée, Édition SE2 uniquement)

Conditions préalables et limitations :
- Les sauvegardes automatisées doivent être activées.
- Le rôle IAM créé à des fins d’analyse (DefenderForCloud-DataSecurityPostureDB par défaut) doit disposer d’autorisations sur la clé KMS utilisée pour le chiffrement de l’instance RDS.
- Vous ne pouvez pas partager un instantané de base de données qui utilise un groupe d’options avec des options permanentes ou persistantes, à l’exception des instances Oracle DB qui ont l’option Timezone ou OLS (ou les deux). En savoir plus
Quelles ressources de données GCP puis-je découvrir ? Compartiments de stockage GCP
Classe standard
Zone géographique : région, double région, multirégion
De quelles autorisations ai-je besoin pour la découverte ? Compte de stockage : Propriétaire de l’abonnement
or
Microsoft.Authorization/roleAssignments/* (lire, écrire, supprimer) et Microsoft.Security/pricings/* (lire, écrire, supprimer) and Microsoft.Security/pricings/SecurityOperators (lire, écrire)

Compartiments Amazon S3 et instances RDS : autorisation de compte AWS pour exécuter Cloud Formation (pour créer un rôle).

Compartiments de stockage GCP : autorisation de compte Google pour exécuter un script (afin de créer un rôle).
Quels types de fichiers sont pris en charge pour la découverte de données sensibles ? Types de fichier pris en charge (vous ne pouvez pas sélectionner de sous-ensemble) : .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Quelles sont les régions Azure prises en charge ? Vous pouvez découvrir les comptes de stockage Azure dans :

Asie Est, Asie Sud-Est, Australie Centre, Australie Centre 2, Australie Est, Australie Sud-Est, Brésil Sud, Brésil Sud-Est, Canada Centre, Canada Est, Europe Nord, Europe Ouest, France Centre, France Sud, Allemagne Nord, Allemagne Centre-Ouest, Inde Centre, Inde Sud, Japon Est, Japon Ouest, Jio Inde Ouest, Corée Centre, Corée Sud, Norvège Est, Norvège Ouest, Afrique du Sud Nord, Afrique du Sud Ouest, Suède Centre, Suisse Nord, Suisse Ouest, Émirats arabes unis Nord, Royaume-Uni Sud, Royaume-Uni Ouest, USA Centre, USA Est, USA Est 2, USA Centre Nord, USA Centre Sud, USA Ouest, USA Ouest 2, USA Ouest 3, USA Centre Ouest.

Vous pouvez découvrir les bases de données Azure SQL dans n’importe quelle région où CSPM Defender et les bases de données Azure SQL sont pris en charge.
Quelles sont les régions AWS prises en charge ? S3 :

Asie-Pacifique (Mumbai) ; Asie-Pacifique (Singapour) ; Asie-Pacifique (Sydney) ; Asie-Pacifique (Tokyo) ; Canada (Montréal) ; Europe (Francfort) ; Europe (Irlande) ; Europe (Londres) ; Europe (Paris) ; Europe (Stockholm) ; Amérique du Sud (São Paulo) ; USA Est (Ohio) ; USA Est (Virginie du Nord) ; USA Ouest (Californie du Nord) ; USA Ouest (Oregon).


RDS :

Afrique (Le Cap) ; Asie-Pacifique (Hong Kong SAR) ; Asie-Pacifique (Hyderabad) ; Asie-Pacifique (Melbourne) ; Asie-Pacifique (Mumbai) ; Asie-Pacifique (Osaka) ; Asie-Pacifique (Séoul) ; Asie-Pacifique (Singapour) ; Asie-Pacifique (Sydney) ; Asie-Pacifique (Tokyo) ; Canada (Centre) ; Europe (Francfort) ; Europe (Irlande) ; Europe (Londres) ; Europe (Paris) ; Europe (Stockholm) ; Europe (Zurich) ; Moyen-Orient (Émirats arabes unis) ; Amérique du Sud (São Paulo) ; USA Est (Ohio) ; USA Est (Virginie du Nord) ; USA Ouest (Californie du Nord) ; USA Ouest (Oregon).

La découverte est effectuée localement dans la région.
Quelles sont les régions GCP prises en charge ? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
Dois-je installer un agent ? Non, la découverte ne nécessite aucune installation d’agent.
Quel est le coût ? La fonctionnalité est incluse dans les plans CSPM Defender et Defender pour le stockage, et n’inclut pas de coûts supplémentaires, à l’exception des coûts du plan respectif.
De quelles autorisations ai-je besoin pour voir/modifier les paramètres de confidentialité des données ? Vous avez besoin de l’un des rôles Microsoft Entra suivants :
  • Administrateur des données de conformité, Administrateur de conformité ou supérieur
  • Opérateur de sécurité, Administrateur de sécurité ou supérieur
  • Quelles sont les autorisations nécessaires pour effectuer l’intégration ? Vous avez besoin de l’un de ces rôles de contrôle d’accès en fonction du rôle (RBAC) Azure : Administrateur de la sécurité, Contributeur, Propriétaire au niveau de l’abonnement (dans lequel résident le ou les projets GCP). Pour l’utilisation des résultats de sécurité : Lecteur de sécurité, Administrateur de la sécurité, Lecteur, Contributeur, Propriétaire au niveau de l’abonnement (dans lequel résident le ou les projets GCP).

    Configuration des paramètres de confidentialité des données

    Les principales étapes de configuration du paramètre de confidentialité des données sont les suivantes :

    En savoir plus sur les étiquettes de confidentialité dans Microsoft Purview.

    Découverte

    Defender pour le cloud commence à découvrir les données immédiatement après l’activation d’un plan ou après l’activation de la fonctionnalité dans les plans qui sont déjà en cours d’exécution.

    Pour le stockage d’objets :

    • Il faut attendre jusqu’à 24 heures pour voir les résultats d’une première découverte.
    • Une fois les fichiers mis à jour dans les ressources découvertes, les données sont actualisées dans les huit jours.
    • Un nouveau compte de stockage Azure ajouté à un abonnement déjà découvert est découvert dans un délai de 24 heures ou moins.
    • Un nouveau compartiment AWS S3 ou un nouveau compartiment de stockage GCP ajouté à un compte Google ou AWS déjà découvert est découvert dans un délai maximal de 48 heures.
    • La découverte de données sensibles pour le stockage est effectuée localement dans votre région. Cela garantit que vos données ne quittent pas votre région. Seuls les métadonnées des ressources, tels que les fichiers, les blobs, les noms de compartiments, les étiquettes de sensibilité détectées, et les noms des types d’informations sensibles (SIT) identifiés, sont transférés vers Defender pour le cloud.

    Pour les bases de données :

    • Les bases de données sont analysées chaque semaine.
    • Pour les abonnements nouvellement activés, les résultats s’affichent dans les 24 heures.

    Découverte et scan des comptes de stockage Azure

    Pour scanner les comptes de stockage Azure, Microsoft Defender pour le cloud crée une nouvelle ressource storageDataScanner et lui attribue le rôle Storage Blob Data Reader. Ce rôle accorde les permissions suivantes :

    • Liste
    • Lire

    Pour les comptes de stockage derrière des réseaux privés, nous incluons le StorageDataScanner dans la liste des instances de ressources autorisées dans la configuration des règles réseau du compte de stockage.

    Découverte et scan des buckets S3 AWS

    Afin de protéger les ressources AWS dans Defender pour le cloud, vous configurez un connecteur AWS à l’aide d’un modèle CloudFormation pour intégrer le compte AWS.

    • Pour découvrir des ressources de données AWS, Defender pour le cloud met à jour le modèle CloudFormation.
    • Le modèle CloudFormation crée un rôle dans AWS IAM pour permettre au scanner Defender pour le cloud d’accéder aux données dans les compartiments S3.
    • Pour connecter des comptes AWS, vous avez besoin d’autorisations d’administrateur sur le compte.
    • Le rôle autorise ces autorisations : S3 en lecture seule ; Déchiffrement KMS.

    Découverte et scan des instances RDS AWS

    Afin de protéger les ressources AWS dans Defender pour le cloud, configurez un connecteur AWS à l’aide d’un modèle CloudFormation pour intégrer le compte AWS.

    • Pour découvrir des instances AWS RDS, Defender pour le cloud met à jour le modèle CloudFormation.
    • Le modèle CloudFormation crée un rôle dans AWS IAM pour autoriser le scanner Defender pour le cloud à prendre les derniers instantanés automatisés disponibles de votre instance et à les mettre en ligne dans un environnement d’analyse isolé au sein de la même région AWS.
    • Pour connecter des comptes AWS, vous avez besoin d’autorisations d’administrateur sur le compte.
    • Les instantanés automatisés doivent être activés sur les instances/clusters RDS appropriés.
    • Le rôle accorde ces autorisations (consultez le modèle CloudFormation pour les définitions exactes) :
      • Répertorier tous les clusters/bases de données RDS
      • Copier tous les instantanés de base de données/de cluster
      • Supprimer/mettre à jour l’instantané de base de données/de cluster avec le préfixe defenderfordatabases
      • Répertorier toutes les clés KMS
      • Utiliser toutes les clés KMS uniquement pour RDS sur le compte source
      • Création & contrôle total sur toutes les clés KMS avec le préfixe d’étiquette DefenderForDatabases
      • Créer un alias pour les clés KMS
    • Les clés KMS sont créées une fois pour chaque région qui contient des instances RDS. La création d’une clé KMS peut entraîner un coût supplémentaire minimal, selon la tarification AWS KMS.

    Découverte et scan des buckets de stockage GCP

    Pour protéger les ressources GCP dans Defender pour le cloud, vous pouvez configurer un connecteur Google à l’aide d’un modèle de script afin d’intégrer le compte GCP.

    • Pour découvrir les compartiments de stockage GCP, Defender pour le cloud met à jour le modèle de script.
    • Le modèle de script crée un rôle dans le compte Google pour permettre au scanner Defender pour le cloud d’accéder aux données des compartiments de stockage GCP.
    • Pour connecter des comptes Google, vous avez besoin d’autorisations d’administrateur sur le compte.

    Exposé à Internet/autorise l’accès public

    Les chemins d’attaque et les insights du graphe de sécurité cloud de la gestion de la posture de sécurité cloud (CSPM) de Defender donnent des informations sur les ressources de stockage qui sont exposées à Internet et autorisent l’accès public. Le tableau suivant fournit plus de détails.

    State Des comptes de stockage Azure Compartiments AWS S3 Compartiments de stockage GCP
    Exposé sur Internet Un compte de stockage Azure est considéré comme étant exposé à Internet si l’un de ces paramètres est activé :

    Storage_account_name >Réseau>Accès réseau public>Activé à partir de tous les réseaux

    ou

    Storage_account_name >Réseau>Accès réseau public>Activer à partir des réseaux virtuels et adresses IP sélectionnés.
    Un compartiment AWS S3 est considéré comme étant exposé à Internet si les stratégies de compartiment AWS/AWS S3 n’ont pas de condition définie pour les adresses IP. Par défaut, tous les compartiments de stockage GCP sont exposés à Internet.
    Autorise l’accès public Un conteneur de compte de stockage Azure est considéré comme autorisant l’accès public si ces paramètres sont activés sur le compte de stockage :

    Storage_account_name >Configuration>Autoriser l’accès anonyme aux blobs>Activé.

    et l’un ou l’autre de ces paramètres :

    Storage_account_name >Conteneurs> container_name >Niveau d’accès public défini sur Blob (accès en lecture anonyme pour les blobs uniquement)

    Ou Storage_account_name >Conteneurs> container_name >Niveau d’accès public défini sur Conteneur (accès en lecture anonyme pour les conteneurs et les blobs).
    Un compartiment AWS S3 est considéré comme autorisant l’accès public si le compte AWS et le compartiment AWS S3 ont Bloquer tout l’accès public défini sur Désactivé, et si l’un ou l’autre de ces paramètres est défini :

    Dans la stratégie, RestrictPublicBuckets n’est pas activé, et le paramètre Principal est défini sur * et Effet est défini sur Autoriser.

    Ou, dans la liste de contrôle d’accès, IgnorePublicAcl n’est pas activé, et l’autorisation est accordée à Tout le monde ou aux Utilisateurs authentifiés.
    Un compartiment de stockage GCP est considéré comme autorisant l’accès public s’il a un rôle IAM (Gestion des identités et des accès) qui répond à ces critères :

    Le rôle est accordé au principal allUsers ou allAuthenticatedUsers.

    Le rôle possède au moins une autorisation de stockage qui n’est ni storage.buckets.create ni storage.buckets.list. L’accès public dans GCP est appelé Public vers internet.

    Les ressources de base de données n’autorisent pas l’accès public, mais peuvent toujours être exposées à Internet.

    Les insights sur l’exposition à Internet sont disponibles pour les ressources suivantes :

    Azure :

    • Azure SQL server
    • Azure Cosmos DB
    • Azure SQL Managed Instance
    • Serveur unique Azure MySQL
    • Serveur flexible Azure MySQL
    • Serveur unique Azure PostgreSQL
    • Serveur flexible Azure PostgreSQL
    • Serveur unique Azure MariaDB
    • Espace de travail Synapse

    AWS :

    • Instance RDS

    Remarque

    • Les règles d’exposition qui incluent 0.0.0.0/0 sont considérées comme « excessivement exposées », ce qui signifie qu’elles sont accessibles à partir de n’importe quelle adresse IP publique.
    • Les ressources Azure avec la règle d’exposition « 0.0.0.0 » sont accessibles à partir de n’importe quelle ressource dans Azure (quel que soit le locataire ou l’abonnement).

    Étape suivante

    Activer la gestion de la posture de sécurité des données.