Partager via

Passer en revue les recommandations de sécurité

Dans Microsoft Defender pour cloud, les ressources et les charges de travail sont évaluées par rapport aux stratégies de sécurité intégrées et personnalisées et aux infrastructures de conformité réglementaire, que vous appliquez dans vos environnements cloud (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), etc. En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour corriger les problèmes de sécurité et améliorer votre posture de sécurité.

Defender pour Cloud utilise un moteur dynamique qui évalue de manière proactive les risques dans votre environnement. Il considère le potentiel d’exploitation et l’effet commercial potentiel sur votre organisation. Le moteur hiérarchise les recommandations de sécurité en fonction des facteurs de risque de chaque ressource. Le contexte de l’environnement détermine ces facteurs de risque.

Conditions préalables

Les recommandations sont incluses avec Defender pour cloud, mais vous ne pouvez pas voir la hiérarchisation des risques , sauf si vous activez Defender CSPM sur votre environnement.

Passer en revue la page recommandations

Passez en revue les recommandations et vérifiez que tous les détails sont corrects avant de les résoudre.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

Remarque

Pour le moment, cette fonctionnalité n’est disponible que dans la version préliminaire. Pour plus d’informations sur les lacunes et restrictions actuelles, consultez limitations connues.

La page Recommandations dans Gestion des expositions fournit une liste hiérarchisée d’actions de sécurité conçues pour améliorer votre posture de sécurité cloud en traitant les vulnérabilités, les configurations incorrectes et les secrets exposés. Ces recommandations sont classées par risque efficace, ce qui aide les équipes de sécurité à se concentrer sur les menaces les plus critiques en premier.

  1. Connectez-vous au portail Microsoft Defender.

  2. Accédez à l’ongletGestion des Expositions>Recommandations>Cloud.

    Capture d’écran de la page Recommandations dans le portail Defender.

  3. Appliquez des filtres tels que :

    • Ressource exposée : filtrez les ressources par exposition aux menaces.
    • Facteurs de risque d’actifs : filtrer par conditions de risque spécifiques.
    • Environnement : filtrez par Azure, AWS ou GCP.
    • Charge de travail : filtrez par types de charge de travail spécifiques.
    • Maturité des recommandations : filtrer par niveau de préparation des recommandations.

  4. Sur le côté gauche de la page, vous pouvez choisir d’afficher les recommandations par catégorie de sécurité :

    • Toutes les recommandations : Liste complète des recommandations de sécurité.
    • Configurations incorrectes : problèmes de sécurité liés à la configuration.
    • Vulnérabilités : vulnérabilités logicielles nécessitant des correctifs.
    • Secrets exposés : informations d’identification et secrets susceptibles d’être compromis.

    Remarque

    Lorsque vous sélectionnez un filtre de catégorie de sécurité, la liste des recommandations et les cartes récapitulatives sont mises à jour pour refléter uniquement les recommandations de cette catégorie.

Cartes récapitulatives de recommandations

Pour chaque affichage, la page affiche des cartes récapitulatives qui fournissent une vue d’ensemble rapide de votre posture de sécurité cloud :

  • Score de sécurité cloud : affiche votre intégrité globale de la sécurité cloud en fonction des recommandations de sécurité dans votre environnement.
  • Historique des scores : effectue le suivi de vos modifications de score sécurisé au cours des sept derniers jours, ce qui vous aide à identifier les tendances et à mesurer l’amélioration.
  • Recommandations par niveau de risque : résume le nombre de recommandations de sécurité actives, classées par gravité (critique, élevé, moyen, faible).
  • Comment le niveau de risque est calculé : explique comment les évaluations de gravité et les facteurs de risque spécifiques aux actifs sont combinés pour déterminer le niveau de risque global pour chaque recommandation.

Vues de recommandation

Le portail Defender offre deux façons distinctes d’afficher et d’interagir avec les recommandations :

Recommandation par vue de ressource

Cette vue affiche une liste de toutes les recommandations organisées par actifs individuels, classées par niveau de risque. Chaque ligne représente une recommandation unique affectant une ressource spécifique.

Lorsque vous sélectionnez une ligne de recommandation, un panneau latéral s’ouvre en affichant :

  • Vue d’ensemble : informations générales sur la recommandation, y compris sa description, les détails de la ressource exposée et d’autres spécificités de recommandation pertinentes
  • Étapes de correction : conseils actionnables pour résoudre le problème de sécurité
  • Aperçu de la carte : affiche tous les chemins d’accès d’attaque associés qui transitent par la ressource, agrégés par type de nœud cible. Vous pouvez :
    • Sélectionnez un chemin agrégé pour révéler toutes les attaques associées et les chemins d’accès supplémentaires
    • Sélectionner un chemin spécifique pour afficher sa visualisation détaillée
  • Initiatives connexes : initiatives de sécurité et infrastructures de conformité associées à la recommandation
  • Des onglets supplémentaires peuvent apparaître pour des recommandations spécifiques avec des informations contextuelles pertinentes

Vue titre de recommandation

Cette vue agrège les recommandations par titre, montrant une liste consolidée triée par niveau de risque. Chaque ligne représente toutes les instances d’une recommandation particulière dans votre environnement.

Lorsque vous sélectionnez une ligne de recommandation agrégée, un panneau latéral s’ouvre en affichant :

  • Vue d’ensemble : informations générales, notamment la description des recommandations, la distribution au niveau des risques entre les ressources affectées, l’état de gouvernance et d’autres détails pertinents
  • Étapes de correction : conseils actionnables pour résoudre le problème de sécurité
  • Ressources exposées : liste de toutes les ressources affectées par cette recommandation
  • Initiatives connexes : initiatives de sécurité et infrastructures de conformité associées à la recommandation
  • Des onglets supplémentaires peuvent apparaître pour des recommandations spécifiques avec des informations contextuelles pertinentes

Capture d’écran du volet latéral recommandations.

Autres chemins d’accès aux recommandations :

  • Infrastructure cloud>Aperçu>Posture de sécurité>Recommandations en matière de sécurité>Afficher les recommandations
  • Gestion de l’exposition>Initiatives>Sécurité cloud>Ouvrir la page de l'initiative>onglet Recommandations de sécurité

Remarque

Pourquoi vous pouvez voir différentes ressources entre le portail Azure et le portail Defender :

  • Ressources supprimées : vous remarquerez peut-être que les ressources supprimées s’affichent toujours dans le portail Azure. Cette condition se produit parce que le portail Azure affiche actuellement le dernier état connu des ressources. L’équipe produit travaille à corriger cette condition afin que les ressources supprimées ne s’affichent plus.
  • Ressources Azure Policy : certaines ressources provenant d’Azure Policy peuvent ne pas apparaître dans le portail Defender. Pendant la préversion, le portail affiche uniquement les ressources qui ont un contexte de sécurité et contribuent à des insights de sécurité significatifs.
  • Les ressources liées aux abonnements gratuits n’apparaissent pas actuellement dans le portail Defender.

Présentation de la hiérarchisation des risques dans le portail Defender

L’expérience Gestion de l’exposition dans le portail Defender fournit des fonctionnalités avancées de hiérarchisation des risques qui aident les équipes de sécurité à se concentrer sur les menaces les plus critiques. Le moteur d’évaluation dynamique des risques de Microsoft Defender pour cloud évalue les risques dans votre environnement tout en tenant compte du potentiel d’exploitation et de l’impact potentiel de l’entreprise sur votre organisation.

Les recommandations du portail Defender sont automatiquement hiérarchisées en fonction d’un risque efficace, qui prend en compte plusieurs facteurs contextuels sur chaque ressource et son environnement. Cette approche basée sur les risques garantit que les équipes de sécurité peuvent d’abord résoudre les problèmes de sécurité les plus critiques, ce qui rend les efforts de correction plus efficaces et plus efficaces.

Filtrage et hiérarchisation basés sur les risques

Le portail Defender offre des fonctionnalités de filtrage avancées qui vous permettent de vous concentrer sur des recommandations basées sur des facteurs de risque :

  • Ressources exposées : filtrez les ressources qui ont une exposition directe aux menaces, telles que les ressources accessibles sur Internet ou les ressources avec des configurations vulnérables.
  • Facteurs de risque d’actifs : ciblez des conditions de risque spécifiques telles que la sensibilité des données, le potentiel de déplacement latéral ou l’exposition de l’infrastructure critique.
  • Répartition des niveaux de risque : affichez les recommandations classées par niveau critique, élevé, moyen et faible.
  • Intégration du chemin d’attaque : concentrez-vous sur les recommandations qui font partie des chemins d’accès d’attaque identifiés.

Calcul des risques dans la gestion de l'exposition

L’expérience unified Exposure Management calcule les niveaux de risque à l’aide d’un moteur prenant en compte le contexte :

  • Contexte environnemental : configuration des ressources, topologie réseau et posture de sécurité.
  • Facteurs d’exploitabilité : comment un attaquant peut exploiter facilement la vulnérabilité.
  • Impact commercial : conséquences potentielles si le problème de sécurité a été exploité.
  • Surface d’attaque : exposition de la ressource aux menaces potentielles.
  • Analyse du point de choke : indique si la ressource sert de jonction critique dans les chemins d’attaque potentiels.

Niveaux de risque dans le portail Defender

Le portail Defender classe les recommandations en cinq niveaux de risque :

  • Critique : Les problèmes de sécurité les plus graves liés à l’exploitabilité immédiate et à un impact commercial élevé qui nécessitent une attention urgente.
  • Élevé : des risques de sécurité importants qui doivent être résolus rapidement, mais qui peuvent ne pas nécessiter d’action immédiate
  • Moyen : Problèmes de sécurité modérés qui peuvent être résolus dans le cadre de la maintenance régulière de la sécurité
  • Faible : problèmes de sécurité mineurs qui peuvent être résolus à votre convenance pendant les opérations courantes
  • Non évalué : recommandations qui ne sont pas évaluées pour les risques, généralement en raison des limitations liées à la couverture des ressources.

Détails de recommandation améliorés

Chaque recommandation dans le portail Defender fournit un contexte de risque complet :

  • Résumé de l’évaluation des risques : calcul global des risques et facteurs de contribution.
  • Mappage de surface d’attaque : représentation visuelle de la relation entre la ressource et les scénarios d’attaque potentiels.
  • Corrélation de l’initiative : connexion à des initiatives de sécurité et des infrastructures de conformité plus larges.
  • Associations CVE : liens vers les vulnérabilités et les expositions courantes pertinentes le cas échéant.
  • Contexte historique : tendances et changements dans les niveaux de risque au fil du temps.

Dans la page de recommandation, passez en revue les détails suivants :

  • Niveau de risque : Vulnérabilité et effet métier du problème de sécurité sous-jacent, compte tenu du contexte des ressources environnementales comme l’exposition à Internet, les données sensibles, le mouvement latéral, etc.
  • Facteurs de risque : facteurs environnementaux de la ressource affectée par la recommandation, qui influencent la vulnérabilité et l’effet métier du problème de sécurité sous-jacent. Parmi les facteurs de risque, citons l’exposition à Internet, les données sensibles et le potentiel de mouvement latéral.
  • Ressource : nom de la ressource affectée.
  • État : État de la recommandation, par exemple non attribuée, dans les délais ou en retard.
  • Description : brève description du problème de sécurité.
  • Chemins d’attaque : nombre de chemins d’attaque.
  • Étendue : abonnement ou ressource affecté.
  • Fraîcheur : intervalle de fraîcheur de la recommandation.
  • Date de dernière modification : date à laquelle cette recommandation a été modifiée pour la dernière fois.
  • Gravité : gravité de la recommandation : élevée, moyenne ou basse. Vous trouverez plus de détails plus loin dans cet article.
  • Propriétaire : personne affectée à la recommandation.
  • Date d’échéance : date d’échéance attribuée pour la résolution de la recommandation.
  • Tactiques & Techniques : tactiques et techniques associées à MITRE ATT&CK.

Explorer une recommandation

Vous pouvez interagir avec des recommandations de plusieurs façons. Si une option n’est pas disponible, cette option n’est pas pertinente pour la recommandation.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

  4. En Passez à l'action :

    • Correction : description des étapes manuelles requises pour résoudre le problème de sécurité sur les ressources affectées. Pour obtenir des recommandations avec l’option Correctif , vous pouvez sélectionner Afficher la logique de correction avant d’appliquer le correctif suggéré à vos ressources.
    • Propriétaire de la recommandation et date d’échéance définie : si vous activez une règle de gouvernance pour la recommandation, vous pouvez attribuer un propriétaire et une date d’échéance.
    • Exempt : vous pouvez exempter les ressources de la recommandation ou désactiver des résultats spécifiques à l’aide de règles de désactivation.
    • Automatisation du flux de travail : définissez une application logique à déclencher avec la recommandation.

    Capture d’écran montrant ce que vous pouvez voir dans la recommandation lorsque vous sélectionnez l’onglet Effectuer une action.

  5. Dans Les résultats, examinez les résultats affiliés par gravité.

    Capture d’écran montrant l’onglet Résultats d’une recommandation, y compris tous les chemins d’accès d’attaque pour cette recommandation.

  6. Dans Graph, affichez et examinez tout le contexte utilisé pour la hiérarchisation des risques, y compris les chemins d’attaque. Vous pouvez sélectionner un nœud dans un chemin d’attaque pour afficher les détails du nœud sélectionné.

    Capture d’écran montrant l’onglet Graph dans une recommandation, y compris tous les chemins d’accès d’attaque pour cette recommandation.

  7. Pour afficher plus de détails, sélectionnez un nœud.

    Capture d’écran montrant l’onglet Graph avec un nœud sélectionné, affichant des détails supplémentaires.

  8. Sélectionnez Informations.

  9. Pour afficher les détails, sélectionnez une vulnérabilité dans le menu déroulant.

    Capture d’écran de l’onglet Insights pour un nœud.

  10. (Facultatif) Pour afficher la page de recommandation associée, sélectionnez Ouvrir la page de vulnérabilité.

  11. Corrigez la recommandation.

Dans le portail Defender, vous pouvez interagir avec des recommandations de plusieurs façons via l’expérience Gestion de l’exposition. Une fois que vous avez sélectionné une recommandation de l’ongletGestion de l’exposition>Recommandations>Cloud, vous pouvez explorer des informations détaillées et prendre des mesures.

Appliquez des filtres et des ensembles de filtres tels que la ressource exposée, les facteurs de risque d’actifs, l’environnement, la charge de travail, la maturité des recommandations et d’autres.

Dans le volet de navigation gauche, vous pouvez choisir d’afficher toutes les recommandations ou d’afficher par une catégorie spécifique.

Des vues distinctes existent pour les types de problèmes :

  • Configurations incorrectes
  • Vulnérabilités
  • Secrets exposés

Pour chaque vue, vous voyez le score de sécurisation cloud, l’historique des scores, la recommandation par niveau de risque et la façon dont le risque est calculé.

Remarque

Dans le portail Defender, certaines recommandations qui figuraient précédemment sous la forme d’un seul élément agrégé s’affichent désormais sous la forme de plusieurs recommandations individuelles. Ce changement reflète un passage du regroupement des recommandations associées sous une seule à l'énumération de chaque recommandation séparément.

  • Vous pouvez voir une liste plus longue de recommandations par rapport à avant. Les résultats combinés (comme les vulnérabilités, les secrets exposés ou les configurations incorrectes) apparaissent désormais sous forme de recommandations individuelles plutôt que imbriquées sous une recommandation parente.
  • Les anciennes recommandations groupées apparaissent toujours côte à côte avec le nouveau format pour l’instant, mais elles sont finalement déconseillées.
  • Ces recommandations sont marquées comme aperçu. Cette balise indique que la recommandation est dans un état précoce et n’affecte pas encore le degré de sécurisation.
  • Le degré de sécurisation s’applique actuellement uniquement à la recommandation parente, et non à chaque élément individuel.

Si vous voyez les deux formats ou recommandations avec une balise d’aperçu, cette condition est attendue pendant la transition. L’objectif est d’améliorer la clarté et de vous permettre d’agir plus facilement sur des recommandations spécifiques.

En intégrant Defender for Cloud dans le portail Defender, vous pouvez également accéder à des recommandations cloud améliorées via l’interface unifiée.

Les principales améliorations apportées à l’expérience des recommandations cloud sont les suivantes :

  • Facteurs de risque par actif : évaluez le contexte d’exposition plus large de chaque recommandation pour les décisions éclairées.
  • Score basé sur les risques : nouveau score qui pèse les recommandations en fonction de la gravité, du contexte des ressources et de l’impact potentiel.
  • Données améliorées : données de recommandation de base d’Azure Recommendations enrichies avec des champs et des fonctionnalités supplémentaires de La gestion de l’exposition.
  • Hiérarchisé par la criticité : plus l’accent est mis sur les problèmes critiques qui présentent le risque le plus élevé pour votre organisation.

L’expérience unifiée garantit que les recommandations de sécurité cloud sont contextualisées dans le paysage de sécurité plus large, ce qui permet de prendre des décisions plus éclairées et d’effectuer des workflows de correction efficaces.

Regrouper les recommandations par titre

Vous pouvez regrouper des recommandations par titre à l’aide de la page de recommandation Defender for Cloud. Cette fonctionnalité est utile lorsque vous souhaitez corriger une recommandation qui affecte plusieurs ressources en raison d’un problème de sécurité spécifique.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez Regrouper par titre.

    Capture d’écran de la page recommandations montrant l’emplacement du bouton de basculement "Grouper par titre".

Gérer vos recommandations attribuées

Defender pour Cloud prend en charge les règles de gouvernance pour les recommandations. Vous pouvez affecter un propriétaire de recommandation ou une date d’échéance. Vous pouvez vous aider à garantir la responsabilité à l’aide de règles de gouvernance, qui prennent également en charge un contrat de niveau de service (SLA) pour les recommandations.

  • Les recommandations apparaissent comme à temps jusqu’à ce que leur date d’échéance soit dépassée. Ensuite, ils passent en retard.
  • Lorsqu’une recommandation n’est pas classée en retard, elle n’affecte pas votre degré de sécurisation Microsoft.
  • Vous pouvez également appliquer une période de grâce afin que les recommandations en retard n’affectent pas votre degré de sécurisation.

En savoir plus sur la configuration des règles de gouvernance.

Pour voir toutes les recommandations qui vous ont été attribuées :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez Ajouter un filtre>Propriétaire.

  4. Sélectionnez votre entrée d’utilisateur.

  5. Sélectionnez Appliquer.

  6. Dans les résultats de la recommandation, passez en revue les recommandations, notamment les ressources affectées, les facteurs de risque, les chemins d’attaque, les dates d’échéance et l’état.

  7. Sélectionnez une recommandation pour l’examiner plus loin.

Pour apporter des modifications à une affectation, procédez comme suit :

  1. Accédez à Effectuer une action>Modifier le propriétaire et la date d’échéance.

  2. Sélectionnez Modifier l’affectation pour modifier le propriétaire de la recommandation ou la date d’échéance.

  3. Si vous sélectionnez une nouvelle date de correction, spécifiez pourquoi la correction doit être effectuée à cette date dans Justification.   

  4. Cliquez sur Enregistrer.

    Remarque

    Lorsque vous modifiez la date d’achèvement attendue, la date d’échéance de la recommandation ne change pas, mais les partenaires de sécurité peuvent voir que vous prévoyez de mettre à jour les ressources par la date spécifiée.

Par défaut, le propriétaire de la ressource reçoit un e-mail hebdomadaire qui affiche toutes les recommandations qui leur sont attribuées.

Utilisez l’option Définir les notifications par e-mail pour :

  • Remplacez l'e-mail hebdomadaire par défaut destiné au propriétaire.
  • Informez les propriétaires chaque semaine avec une liste de tâches ouvertes ou en retard.
  • Informez le responsable direct du propriétaire avec une liste de tâches ouverte.

Passer en revue les recommandations dans Azure Resource Graph

Vous pouvez utiliser Azure Resource Graph pour écrire une requête KQL (Kusto Query Language) pour interroger les données de posture de sécurité Defender pour cloud sur plusieurs abonnements. À l’aide d’Azure Resource Graph, vous pouvez interroger efficacement à grande échelle des environnements cloud en affichant, en filtrant, en regroupant et en triant des données.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

  4. Sélectionnez Ouvrir une requête.

  5. Vous pouvez ouvrir la requête de deux façons :

    • Requête retournant une ressource affectée : retourne une liste de toutes les ressources affectées par la recommandation.
    • Requête retournant des résultats de sécurité : retourne la liste de tous les problèmes de sécurité détectés par la recommandation.

  6. Sélectionnez Exécuter la requête.

    Capture d’écran de l’Explorateur Azure Resource Graph montrant les résultats de la recommandation de la capture d’écran précédente.

  7. Passez en revue les résultats.

Contenu connexe

  • Last updated on