Stratégies de sécurité dans Defender pour le cloud

Les stratégies de sécurité dans Microsoft Defender pour le cloud sont constituées de normes et de recommandations de sécurité qui aident à améliorer votre posture de sécurité cloud.

Les normes de sécurité définissent des règles, des conditions de conformité pour ces règles et des actions (effets) à entreprendre si les conditions ne sont pas remplies. Defender pour le cloud évalue les ressources et les charges de travail par rapport aux normes de sécurité activées dans vos abonnements Azure, vos comptes AWS (Amazon Web Services) et vos projets GCP (Google Cloud Platform). En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour vous aider à corriger les problèmes de sécurité.

Normes de sécurité

Les normes de sécurité dans Defender pour le cloud proviennent des sources suivantes :

  • Par défaut, lorsque vous intégrez des comptes cloud à Defender pour le cloud, la norme Microsoft Cloud Security Benchmark (MCSB) est activée. Votre score de sécurisation est basé sur l’évaluation relativement à certaines recommandations MCSB.

  • Normes de conformité réglementaire : quand vous activez un ou plusieurs plans Defender pour le cloud, vous pouvez ajouter des normes à partir d’un large éventail de programmes de conformité réglementaire prédéfinis.

  • Normes personnalisées : vous pouvez créer des normes de sécurité personnalisées dans Defender pour le cloud, puis ajouter au besoin des recommandations intégrées et personnalisées à ces normes personnalisées.

Les normes de sécurité de Defender pour le cloud sont basées sur les initiatives Azure Policy ou sur la plateforme native de Defender pour le cloud. Actuellement, les normes Azure sont basées sur Azure Policy. Les normes AWS et GCP sont basées sur Defender pour le cloud.

Utilisation de normes de sécurité

Voici ce que vous pouvez faire avec les normes de sécurité dans Defender pour le cloud :

  • Modifier le MCSB intégré pour l’abonnement : quand vous activez Defender pour le cloud, le MCSB est affecté automatiquement à tous les abonnements inscrits auprès de Defender pour le cloud. En savoir plus sur la gestion de la norme MCSB.

  • Ajouter des normes de conformité réglementaires : si vous avez activé un ou plusieurs plans payants, vous pouvez affecter des normes de conformité intégrées pour évaluer vos ressources Azure, AWS et GCP. Apprenez-en davantage sur l’affectation de normes réglementaires.

  • Ajouter des normes personnalisées : si vous avez au moins un plan Defender payant activé, vous pouvez définir de nouvelles normes et recommandations personnalisées dans le portail Defender for Cloud. Vous pouvez ensuite ajouter des recommandations à ces normes.

Normes personnalisées

Les normes personnalisées apparaissent aux côtés des normes intégrées dans le tableau de bord Conformité réglementaire.

Les recommandations dérivées d’évaluations relativement aux normes personnalisées apparaissent avec les recommandations provenant des normes intégrées. Les normes personnalisées peuvent contenir des recommandations intégrées et des recommandations personnalisées.

Recommandations personnalisées

Nous recommandons d’utiliser des recommandations personnalisées basées sur le langage de requête Kusto (KQL). Cette approche est prise en charge pour tous les clouds, mais nécessite l’activation du plan CSPM Defender. Avec ces recommandations, vous spécifiez un nom unique, une description, des étapes de correction, la gravité et les normes pertinentes. Vous ajoutez une logique de recommandation avec KQL. Vous pouvez utiliser un éditeur de requêtes qui vous permet de modifier un modèle de requête intégré ou d’écrire votre propre requête KQL.

Tous les clients Azure peuvent également intégrer leurs initiatives personnalisées Azure Policy en tant que recommandations personnalisées (approche traditionnelle).

Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées dans Microsoft Defender pour le cloud.

Recommandations de sécurité

Defender pour le cloud analyse et évalue régulièrement et en continu l’état de sécurité des ressources protégées relativement aux normes de sécurité définies, afin d’identifier les configurations incorrectes et les faiblesses de sécurité potentielles. Defender pour le cloud fournit ensuite des recommandations basées sur les résultats de l’évaluation.

Chaque recommandation fournit les informations suivantes :

  • Courte description du problème
  • Étapes de correction à suivre pour implémenter la recommandation
  • Ressources affectées
  • Niveau de risque
  • Facteurs de risque
  • Chemins d’attaques

Chaque recommandation dans Defender pour le cloud est associée à un niveau de risque qui représente degré d’exploitabilité et d’impact du problème de sécurité dans votre environnement. Le moteur d’évaluation des risques prend en compte des facteurs comme l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et la correction des chemins d’attaque. Vous pouvez classer les recommandations par ordre de priorité en fonction de leurs niveaux de risque.

Important

La hiérarchisation des risques n’affecte pas le degré de sécurisation.

Exemple

La norme MCSB est une initiative Azure Policy qui inclut plusieurs contrôles de conformité. Un de ces contrôles est « Les comptes de stockage doivent restreindre l’accès réseau en utilisant des règles de réseau virtuel. »

Defender pour le cloud évalue en permanence les ressources. S’il trouve un élément ne satisfaisant pas ce contrôle, il les marque comme non-conformes et déclenche une recommandation. Dans ce cas, il est recommandé de renforcer les comptes de stockage Azure qui ne sont pas protégés par des règles de réseau virtuel.

Étapes suivantes