Stratégies de sécurité dans Defender pour le cloud

Les stratégies de sécurité dans Microsoft Defender pour le cloud sont constituées de normes et de recommandations de sécurité qui aident à améliorer votre posture de sécurité cloud.

Les normes de sécurité définissent des règles, des conditions de conformité pour ces règles et des actions (effets) à entreprendre si les conditions ne sont pas remplies. Defender pour le cloud évalue les ressources et les charges de travail par rapport aux normes de sécurité activées dans vos abonnements Azure, vos comptes AWS (Amazon Web Services) et vos projets GCP (Google Cloud Platform). En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour vous aider à corriger les problèmes de sécurité.

Normes de sécurité

Les normes de sécurité dans Defender pour le cloud proviennent des sources suivantes :

  • Microsoft Cloud Security Benchmark (MCSB) : la norme MCSB est appliquée par défaut quand vous intégrez Defender pour le cloud à un groupe d’administration ou un abonnement. Votre score de sécurisation est basé sur l’évaluation relativement à certaines recommandations MCSB.

  • Normes de conformité réglementaire : quand vous activez un ou plusieurs plans Defender pour le cloud, vous pouvez ajouter des normes à partir d’un large éventail de programmes de conformité réglementaire prédéfinis.

  • Normes personnalisées : vous pouvez créer des normes de sécurité personnalisées dans Defender pour le cloud, puis ajouter au besoin des recommandations intégrées et personnalisées à ces normes personnalisées.

Les normes de sécurité dans Defender pour le cloud sont basées sur des initiativesAzure Policy ou sur la plateforme native Defender pour le cloud. Actuellement, les normes Azure sont basées sur Azure Policy. Les normes AWS et GCP sont basées sur Defender pour le cloud.

Les normes de sécurité dans Defender pour le cloud simplifient la complexité d’Azure Policy. Dans la plupart des cas, vous pouvez travailler directement avec les normes et les recommandations de sécurité dans le portail Defender pour le cloud, sans devoir configurer directement Azure Policy.

Utilisation de normes de sécurité

Voici ce que vous pouvez faire avec les normes de sécurité dans Defender pour le cloud :

  • Modifier le MCSB intégré pour l’abonnement : quand vous activez Defender pour le cloud, le MCSB est affecté automatiquement à tous les abonnements inscrits auprès de Defender pour le cloud.

  • Ajouter des normes de conformité réglementaires : si vous avez activé un ou plusieurs plans payants, vous pouvez affecter des normes de conformité intégrées pour évaluer vos ressources Azure, AWS et GCP. Apprenez-en davantage sur l’affectation de normes réglementaires.

  • Ajouter des normes personnalisées : si vous avez au moins un plan Defender payant activé, vous pouvez définir de nouvelles normes Azure ou normes AWS/GCP dans le portail Defender pour le cloud. Vous pouvez ensuite ajouter des recommandations à ces normes.

Utilisation de normes personnalisées

Les normes personnalisées apparaissent aux côtés des normes intégrées dans le tableau de bord Conformité réglementaire.

Les recommandations dérivées d’évaluations relativement aux normes personnalisées apparaissent avec les recommandations provenant des normes intégrées. Les normes personnalisées peuvent contenir des recommandations intégrées et des recommandations personnalisées.

Recommandations de sécurité

Defender pour le cloud analyse et évalue régulièrement et en continu l’état de sécurité des ressources protégées relativement aux normes de sécurité définies, afin d’identifier les configurations incorrectes et les faiblesses de sécurité potentielles. Defender pour le cloud fournit ensuite des recommandations basées sur les résultats de l’évaluation.

Chaque recommandation fournit les informations suivantes :

  • Courte description du problème
  • Étapes de correction à suivre pour implémenter la recommandation
  • Ressources affectées
  • Niveau de risque
  • Facteurs de risque
  • Chemins d’attaques

Chaque recommandation dans Defender pour le cloud est associée à un niveau de risque qui représente degré d’exploitabilité et d’impact du problème de sécurité dans votre environnement. Le moteur d’évaluation des risques prend en compte des facteurs comme l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et la correction des chemins d’attaque. Vous pouvez classer les recommandations par ordre de priorité en fonction de leurs niveaux de risque.

Remarque

Actuellement, le classement des risques par ordre de priorité est en préversion publique et n’affecte pas le degré de sécurisation.

Exemple

La norme MCSB est une initiative Azure Policy qui inclut plusieurs contrôles de conformité. Un de ces contrôles est « Les comptes de stockage doivent restreindre l’accès réseau en utilisant des règles de réseau virtuel. »

Comme Defender pour le cloud évalue et trouve continuellement des ressources qui ne satisfont pas à ce contrôle, il marque les ressources comme étant non conformes et déclenche une recommandation. Dans ce cas, il est recommandé de renforcer les comptes de stockage Azure qui ne sont pas protégés par des règles de réseau virtuel.

Recommandations personnalisées

Tous les clients disposant d’abonnements Azure peuvent créer des recommandations personnalisées basées sur Azure Policy. Avec Azure Policy, vous créez une définition de stratégie, vous l’affectez à une initiative de stratégie, puis vous fusionnez cette initiative et cette stratégie dans Defender pour le cloud.

Les recommandations personnalisées basées sur le langage de requête Kusto (KQL) sont disponibles pour tous les clouds, mais nécessitent l’activation du plan CSPM Defender. Avec ces recommandations, vous spécifiez un nom unique, une description, des étapes de correction, la gravité et les normes auxquelles la recommandation doit être affectée. Vous ajoutez une logique de recommandation avec KQL. Vous pouvez soit utiliser un modèle de requête intégré fourni par un éditeur de requête et l’ajuster selon vos besoins, soit écrire votre requête KQL à partir de zéro.

Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées dans Microsoft Defender pour le cloud.

Étapes suivantes