Passer en revue les recommandations de sécurité

Dans Microsoft Defender pour le cloud, les ressources et les charges de travail sont évaluées par rapport aux normes de sécurité intégrées et personnalisées activées dans vos abonnements Azure, vos comptes AWS et vos projets GCP. En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour corriger les problèmes de sécurité et améliorer la posture de sécurité.

Defender pour le cloud utilise de manière proactive un moteur dynamique qui évalue les risques dans votre environnement tout en tenant compte du potentiel d’exploitation et de l’impact commercial potentiel sur votre organisation. Le moteur classe les recommandations de sécurité par ordre de priorité en fonction des facteurs de risque de chaque ressource, qui sont déterminés par le contexte de l’environnement, notamment la configuration de la ressource, les connexions réseau et la posture de sécurité.

Prérequis

Remarque

Les recommandations sont incluses par défaut avec Defender pour le cloud, mais vous ne pourrez pas voir la hiérarchisation des risques sans que la gestion de la posture de sécurité cloud Defender soit activée sur votre environnement.

Passer en revue les détails de la recommandation

Il est important d'examiner tous les détails liés à une recommandation avant d'essayer de comprendre le processus nécessaire pour résoudre la recommandation. Nous recommandons de s'assurer que tous les détails de la recommandation sont corrects avant de résoudre la recommandation.

Pour passer en revue les détails d’une recommandation :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Dans la page de recommandation, passez en revue les détails suivants :

    • Niveau de risque : l’exploitabilité et l’impact commercial du problème de sécurité sous-jacent, en tenant compte du contexte des ressources environnementales, comme l’exposition à Internet, les données sensibles, le déplacement latéral, etc.
    • Facteurs de risque : facteurs environnementaux de la ressource affectée par la recommandation, qui influencent l’exploitabilité et l’impact sur l’activité métier du problème de sécurité sous-jacent. Par exemple, les facteurs de risque incluent l’exposition à Internet, les données sensibles, le potentiel de déplacement latéral.
    • Ressource : nom de la ressource affectée.
    • État : état de la recommandation. Par exemple, non attribué, à temps, en retard.
    • Description : Courte description du problème de sécurité.
    • Chemins d’attaque - Nombre de chemins d’attaque.
    • Étendue - Abonnement ou ressource affectée.
    • Actualisation - Intervalle d’actualisation de la recommandation.
    • Date du dernier changement - Date à laquelle cette recommandation a été changée pour la dernière fois
    • Gravité : gravité de la recommandation (élevée, moyenne ou faible). Vous trouverez plus de détails ci-dessous.
    • Propriétaire - Personne affectée à cette recommandation.
    • Date d’échéance - Date avant laquelle la recommandation doit être résolue.
    • Tactiques et techniques : tactiques et techniques mappées à MITRE ATT&CK.

Explorer une recommandation

Vous pouvez effectuer de nombreuses actions pour interagir avec les recommandations. Si une option n’est pas disponible, elle n’est pas pertinente pour la recommandation.

Explorer une recommandation :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Dans la recommandation, vous pouvez effectuer les actions suivantes :

    • Sélectionnez Ouvrir la requête pour voir des informations détaillées sur les ressources affectées à l’aide d’une requête de l’Explorateur Azure Resource Graph.

    • Sélectionnez Voir la définition de la stratégie pour voir l’entrée Azure Policy de la recommandation sous-jacente (le cas échéant).

  5. Dans Agir :

    • Corriger : description des étapes manuelles nécessaires pour corriger le problème de sécurité sur les ressources affectées. Pour obtenir des recommandations avec l’option Corriger, vous pouvez sélectionner Afficher la logique de correction avant d’appliquer la correction suggérée à vos ressources.

    • Affecter un propriétaire et une date d’échéance : si vous avez activé une règle de gouvernance pour la recommandation, vous pouvez affecter un propriétaire et une date d’échéance.

    • Exempter : vous pouvez exempter les ressources de la recommandation, ou désactiver des résultats spécifiques à l’aide de règles de désactivation.

    • Automatisation de workflow : définissez une application logique à déclencher avec cette recommandation.

    Capture d’écran montrant ce que vous pouvez voir dans la recommandation lorsque vous sélectionnez l’onglet Action.

  6. Dans Résultats, vous pouvez passer en revue les résultats affiliés par gravité.

    Capture d’écran de l’onglet Résultats d’une recommandation montrant tous les chemins d’attaque pour cette recommandation.

  7. Dans Graph, vous pouvez voir et investiguer tout le contexte utilisé pour le classement des risques par ordre de priorité, notamment les chemins d’attaque. Vous pouvez sélectionner un nœud dans un chemin d'attaque pour afficher les détails du nœud sélectionné.

    Capture d’écran de l’onglet Graphique d’une recommandation montrant tous les chemins d’attaque pour cette recommandation.

  8. Sélectionnez un nœud pour afficher des détails supplémentaires.

    Capture d’écran d’un nœud situé sous l’onglet Graphique sélectionné et montrant les détails supplémentaires.

  9. Sélectionnez Informations.

  10. Dans le menu déroulant des vulnérabilités, sélectionnez une vulnérabilité pour afficher les détails.

    Capture d’écran de l’onglet Insights pour un nœud spécifique.

  11. (Facultatif) Sélectionnez Ouvrir la page de vulnérabilité pour afficher la page de recommandation associée.

  12. Corrigez la recommandation.

Regrouper les recommandations par titre

La page de recommandation de Defender pour le cloud vous permet de regrouper les recommandations par titre. Cette fonctionnalité est utile lorsque vous souhaitez corriger une recommandation qui affecte plusieurs ressources à cause d’un problème de sécurité spécifique.

Pour regrouper les recommandations par titre :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez Grouper par titre.

    Capture d’écran de la page de recommandations montrant où se trouve le bouton bascule Grouper par titre sur l’écran.

Gérer les recommandations qui vous sont affectées

Defender pour le cloud prend en charge les règles de gouvernance des recommandations, afin de spécifier un propriétaire de recommandation ou une date d’échéance pour une action. Les règles de gouvernance permettent de garantir une responsabilité et un contrat SLA pour les recommandations.

  • Les recommandations sont répertoriées comme Dans les temps jusqu’à ce que leur date d’échéance soit dépassée. À ce moment, elles deviennent En retard.
  • Avant que la recommandation ne soit en retard, elle n’affecte pas le niveau de sécurité.
  • Vous pouvez également appliquer une période de grâce durant laquelle les recommandations en retard continuent de ne pas affecter le score de sécurité.

Découvrez plus en détail la configuration des règles de gouvernance.

Pour gérer les recommandations qui vous sont affectées :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez Ajouter un filtre>Propriétaire.

  4. Sélectionnez votre entrée utilisateur.

  5. Sélectionnez Appliquer.

  6. Dans les résultats des recommandations, passez en revue les recommandations, notamment les ressources affectées, les facteurs de risque, les chemins d’attaque, les dates d’échéance et l’état.

  7. Sélectionnez une recommandation pour l’examiner de façon plus détaillée.

  8. Dans Agir>Modifier le propriétaire et la date d’échéance, sélectionnez Modifier l’affectation pour changer le propriétaire et la date d’échéance de la recommandation, si nécessaire.

    • Par défaut, le propriétaire de la ressource reçoit un e-mail hebdomadaire listant les recommandations qui lui sont affectées.
    • Si vous sélectionnez une nouvelle date de correction, dans Justification, spécifiez les motifs de la correction à cette date au plus tard.
    • Dans Définir les notifications par e-mail, vous pouvez :
      • Remplacer l’e-mail hebdomadaire par défaut envoyé au propriétaire.
      • Notifier les propriétaires chaque semaine en leur fournissant la liste des tâches ouvertes/en retard.
      • Notifier le responsable direct du propriétaire en lui indiquant qu’une liste des tâches est ouverte.
  9. Sélectionnez Enregistrer.

Remarque

Le changement de la date de fin prévue ne change pas la date d’échéance de la recommandation. Toutefois, les partenaires de sécurité peuvent voir que vous comptez mettre à jour les ressources avant la date spécifiée.

Passer en revue les recommandations dans Azure Resource Graph

Vous pouvez utiliser Azure Resource Graph pour écrire un Langage de requête Kusto (KQL) pour interroger les données de posture de sécurité de Defender pour le cloud sur plusieurs abonnements. Azure Resource Graph offre un moyen efficace d’interroger à grande échelle les environnements cloud en permettant de visualiser, de filtrer, de regrouper et de trier les données.

Pour passer en revue les recommandations dans Azure Resource Graph :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Recommendations.

  3. Sélectionnez une recommandation.

  4. Sélectionnez Ouvrir une requête.

  5. Vous pouvez ouvrir la requête de deux façons :

    • Requête renvoyant les ressources affectées - Retourne une liste de toutes les ressources affectées par cette recommandation.
    • Requête renvoyant les résultats de la sécurité - Retourne une liste de tous les problèmes de sécurité détectés par la recommandation.
  6. Sélectionnez exécuter la requête.

    Capture d’écran de l’Explorateur Azure Resource Graph montrant les résultats de la recommandation présentée dans la capture d’écran précédente.

  7. Passez en revue les résultats.

Comment les recommandations sont-elles classées ?

Chaque recommandation de sécurité de Defender pour le cloud est attribuée à l’une des trois évaluations de gravité suivantes :

  • Gravité élevée : ces recommandations doivent être traitées immédiatement, car elles indiquent une vulnérabilité de sécurité critique qui pourrait être exploitée par un attaquant pour obtenir un accès non autorisé à vos systèmes ou données. Voici des exemples de recommandations en cas de gravité élevée lorsque nous avons découvert des secrets non protégés sur une machine, des règles de groupe de sécurité réseau entrantes trop permissives, des clusters permettant le déploiement d’images à partir de registres non approuvés et un accès public illimité aux comptes de stockage ou aux bases de données.

  • Gravité moyenne : ces recommandations indiquent un risque de sécurité potentiel qui doit être résolu en temps voulu, mais ne nécessite peut-être pas une attention immédiate. Des exemples de recommandations en cas de gravité moyenne peuvent inclure des conteneurs partageant des espaces de noms d’hôtes sensibles, des applications web qui n’utilisent pas d’identités managées, des machines Linux ne nécessitant pas de clés SSH pendant l’authentification et des informations d’identification inutilisées qui restent dans le système après 90 jours d’inactivité.

  • Gravité faible : ces recommandations indiquent un problème de sécurité relativement mineur qui peut être résolu à votre convenance. Des exemples de recommandations en cas de gravité faible peuvent inclure la nécessité de désactiver l’authentification locale en faveur de Microsoft Entra ID, des problèmes d’intégrité avec votre solution de protection de point de terminaison, des meilleures pratiques qui ne sont pas suivies avec des groupes de sécurité réseau ou des paramètres de journalisation mal configurés qui pourraient compliquer la détection et la réponse aux incidents de sécurité.

Bien sûr, les vues internes d’une organisation peuvent différer de la classification de Microsoft d’une recommandation spécifique. Par conséquent, il est toujours judicieux de passer en revue attentivement chaque recommandation et de prendre en compte son impact potentiel sur votre posture de sécurité avant de décider comment y remédier.

Remarque

Les clients CSPM Defender ont accès à un système de classification plus riche où les recommandations sont présentées comme un niveau de risque plus dynamique qui utilise le contexte de la ressource et toutes les ressources associées. En savoir plus sur la hiérarchisation des risques.

Exemple

Dans cet exemple, la page des détails de la recommandation présente 15 ressources affectées :

Capture d’écran du bouton Ouvrir une requête dans la page de détails de la recommandation.

Lorsque vous ouvrez la requête sous-jacente et que vous l’exécutez, l’Explorateur Azure Resource Graph retourne les mêmes ressources affectées pour cette recommandation.

Étape suivante