Partager via

Passer en revue les recommandations de sécurité

Dans Microsoft Defender pour cloud, les ressources et les charges de travail sont évaluées par rapport aux stratégies de sécurité intégrées et personnalisées et aux infrastructures de conformité réglementaire, qui sont appliquées dans vos environnements cloud (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) et bien plus encore). En fonction de ces évaluations, les recommandations de sécurité fournissent des étapes pratiques pour corriger les problèmes de sécurité et améliorer la posture de sécurité.

Defender pour Cloud utilise de manière proactive un moteur dynamique qui évalue les risques dans votre environnement, tandis qu’il considère le potentiel d’exploitation et l’effet commercial potentiel sur votre organisation. Le moteur hiérarchise les recommandations de sécurité en fonction des facteurs de risque de chaque ressource. Le contexte de l’environnement détermine ces facteurs de risque.

Conditions préalables

Les recommandations sont incluses avec Defender pour cloud, mais vous ne pouvez pas voir la hiérarchisation des risques , sauf si vous activez Defender CSPM sur votre environnement.

Passer en revue la page recommandations

Passez en revue les recommandations et vérifiez que tous les détails sont corrects avant de les résoudre.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

Comprendre la hiérarchisation des risques

Microsoft Defender pour Cloud utilise de manière proactive un moteur dynamique qui évalue les risques dans votre environnement tout en tenant compte du potentiel d’exploitation et de l’impact potentiel de l’entreprise sur votre organisation. Le moteur hiérarchise les recommandations de sécurité en fonction des facteurs de risque de chaque ressource, qui sont déterminés par le contexte de l’environnement, notamment la configuration de la ressource, les connexions réseau et la posture de sécurité.

Lorsque Defender pour le cloud effectue une évaluation des risques de vos problèmes de sécurité, le moteur identifie les risques de sécurité les plus importants tout en les distinguent des problèmes moins risqués. Les recommandations sont ensuite triées en fonction de leur niveau de risque, ce qui vous permet de résoudre les problèmes de sécurité qui présentent des menaces immédiates avec le plus grand potentiel d’exploitation dans votre environnement.

Quels sont les facteurs de risque ?

Defender pour le cloud utilise le contexte d’un environnement, y compris la configuration de la ressource, les connexions réseau et la posture de sécurité, pour effectuer une évaluation des risques des problèmes de sécurité potentiels. En procédant ainsi, il identifie les risques de sécurité les plus importants tout en les distinguant des problèmes moins risqués. Les recommandations sont ensuite triées en fonction de leur niveau de risque.

Ce moteur d’évaluation des risques prend en compte les facteurs de risque essentiels, tels que :

  • Exposition à Internet : indique si les ressources sont accessibles à partir d’Internet
  • Sensibilité des données : présence de données sensibles ou confidentielles
  • Mouvement latéral : potentiel pour les attaquants de se déplacer entre les ressources
  • Chemins d’attaque : indique si le problème de sécurité fait partie des scénarios d’attaque potentiels

Niveaux de risque et calcul

Defender pour le cloud utilise un moteur de hiérarchisation des risques prenant en charge le contexte pour calculer le niveau de risque de chaque recommandation de sécurité. Le niveau de risque est déterminé par les facteurs de risque de chaque ressource, tels que sa configuration, ses connexions réseau et sa posture de sécurité. Le niveau de risque est calculé en fonction de l’impact potentiel du problème de sécurité en cours de violation, les catégories de risques et le chemin d’attaque dont fait partie le problème de sécurité.

Les recommandations sont classées en cinq catégories en fonction de leur niveau de risque :

  • Critique : recommandations qui indiquent une vulnérabilité de sécurité critique qu’un attaquant peut exploiter pour obtenir un accès non autorisé à vos systèmes ou données.
  • Élevé : recommandations qui indiquent un risque de sécurité potentiel qui doit être résolu en temps voulu, mais qui peuvent ne pas nécessiter une attention immédiate.
  • Moyen : recommandations qui indiquent un problème de sécurité relativement mineur qui peut être résolu à votre convenance.
  • Faible : recommandations qui indiquent un problème de sécurité relativement mineur qui peut être résolu à votre convenance.
  • Non évalué : recommandations qui n’ont pas encore été évaluées. Cela peut être dû à la ressource qui n’est pas couverte par le plan CSPM Defender, qui est un prérequis pour le niveau de risque.

Détails du tableau de bord des recommandations

Dans la page recommandations, vous pouvez consulter les détails classés par ordre de priorité des risques suivants :

  • Titre : Titre de la recommandation
  • Ressource affectée : ressource à laquelle la recommandation s’applique
  • Niveau de risque : l’exploitabilité et l’impact commercial du problème de sécurité sous-jacent, en tenant compte du contexte des ressources environnementales, comme l’exposition à Internet, les données sensibles, le déplacement latéral, etc.
  • Facteurs de risque : facteurs environnementaux de la ressource affectée par la recommandation, qui influencent l’exploitabilité et l’impact commercial du problème de sécurité sous-jacent
  • Chemins d’attaque : nombre de chemins d’attaque dont la recommandation fait partie en fonction de la recherche du moteur de sécurité pour tous les chemins d’accès d’attaque potentiels
  • Propriétaire : la personne à laquelle la recommandation est affectée
  • État : État actuel de la recommandation (non attribué, à temps, en retard)
  • Insights : informations relatives à la recommandation, comme si elle est en préversion, si elle peut être refusée, si une option de correctif est disponible

Remarque

Pour le moment, cette fonctionnalité n’est disponible que dans la version préliminaire. Pour plus d’informations sur les lacunes et restrictions actuelles, consultez limitations connues.

La page Recommandations dans Gestion des expositions fournit une liste hiérarchisée d’actions de sécurité conçues pour améliorer votre posture de sécurité cloud en traitant les vulnérabilités, les configurations incorrectes et les secrets exposés. Ces recommandations sont classées par risque efficace, ce qui aide les équipes de sécurité à se concentrer sur les menaces les plus critiques en premier.

  1. Connectez-vous au portail Microsoft Defender.

  2. Accédez à l’onglet Gestion de l’exposition>Recommandations>Cloud.

    Capture d’écran de la page Recommandations dans le portail Defender.

  3. Appliquez des filtres tels que :

    • Ressource exposée : Filtrer par ressource avec exposition aux menaces
    • Facteurs de risque d’actifs : Filtrer par conditions de risque spécifiques
    • Environnement : Filtrer par Azure, AWS ou GCP
    • Charge de travail : Filtrer par types de charge de travail spécifiques
    • Maturité des recommandations : Filtrer par niveau de préparation des recommandations

  4. Sur le côté gauche de la page, vous pouvez choisir d’afficher les recommandations par catégorie de sécurité :

    • Toutes les recommandations : Liste complète des recommandations de sécurité
    • Configurations incorrectes : problèmes de sécurité liés à la configuration
    • Vulnérabilités : vulnérabilités logicielles nécessitant des correctifs
    • Secrets exposés : informations d’identification et secrets susceptibles d’être compromis

    Remarque

    Lorsque vous sélectionnez un filtre de catégorie de sécurité, la liste des recommandations et les cartes récapitulatives sont mises à jour pour refléter uniquement les recommandations de cette catégorie.

Cartes récapitulatives de recommandations

Pour chaque affichage, la page affiche des cartes récapitulatives qui fournissent une vue d’ensemble rapide de votre posture de sécurité cloud :

  • Score de sécurité cloud : affiche votre intégrité globale de la sécurité cloud en fonction des recommandations de sécurité dans votre environnement
  • Historique des scores : effectue le suivi de vos changements de score sécurisé au cours des 7 derniers jours, ce qui vous aide à identifier les tendances et à mesurer l’amélioration
  • Recommandations par niveau de risque : résume le nombre de recommandations de sécurité actives, classées par gravité (critique, élevé, moyen, faible)
  • Comment le niveau de risque est calculé : explique comment les évaluations de gravité et les facteurs de risque spécifiques aux actifs sont combinés pour déterminer le niveau de risque global pour chaque recommandation

Vues de recommandation

Le portail Defender offre deux façons distinctes d’afficher et d’interagir avec les recommandations :

Recommandation par vue de ressource

Cette vue affiche une liste de toutes les recommandations organisées par actifs individuels, classées par niveau de risque. Chaque ligne représente une recommandation unique affectant une ressource spécifique.

Lorsque vous sélectionnez une ligne de recommandation, un panneau latéral s’ouvre en affichant :

  • Vue d’ensemble : informations générales sur la recommandation, y compris sa description, les détails de la ressource exposée et d’autres spécificités de recommandation pertinentes
  • Étapes de correction : conseils actionnables pour résoudre le problème de sécurité
  • Aperçu de la carte : affiche tous les chemins d’accès d’attaque associés qui transitent par la ressource, agrégés par type de nœud cible. Vous pouvez :
    • Cliquez sur un chemin agrégé pour afficher toutes les attaques associées et les chemins d’accès supplémentaires
    • Sélectionner un chemin spécifique pour afficher sa visualisation détaillée
  • Initiatives connexes : initiatives de sécurité et infrastructures de conformité associées à la recommandation
  • Des onglets supplémentaires peuvent apparaître pour des recommandations spécifiques avec des informations contextuelles pertinentes

Vue titre de recommandation

Cette vue agrège les recommandations par titre, montrant une liste consolidée triée par niveau de risque. Chaque ligne représente toutes les instances d’une recommandation particulière dans votre environnement.

Lorsque vous sélectionnez une ligne de recommandation agrégée, un panneau latéral s’ouvre en affichant :

  • Vue d’ensemble : informations générales, notamment la description des recommandations, la distribution au niveau des risques entre les ressources affectées, l’état de gouvernance et d’autres détails pertinents
  • Étapes de correction : conseils actionnables pour résoudre le problème de sécurité
  • Ressources exposées : liste de toutes les ressources affectées par cette recommandation
  • Initiatives connexes : initiatives de sécurité et infrastructures de conformité associées à la recommandation
  • Des onglets supplémentaires peuvent apparaître pour des recommandations spécifiques avec des informations contextuelles pertinentes

Capture d’écran du volet latéral recommandations.

Autres chemins d’accès aux recommandations :

  • Infrastructure cloud>Aperçu>Posture de sécurité>Recommandations en matière de sécurité>Afficher les recommandations
  • Gestion de l’exposition>Initiatives>Sécurité cloud>Ouvrir la page de l'initiative>onglet Recommandations de sécurité

Remarque

Pourquoi vous pouvez voir différentes ressources entre le portail Azure et le portail Defender :

  • Ressources supprimées : vous remarquerez peut-être que les ressources supprimées s’affichent toujours dans le portail Azure. Cela se produit parce que le portail Azure affiche actuellement le dernier état connu des ressources. Nous travaillons à résoudre ce problème afin que les ressources supprimées ne s’affichent plus.
  • Ressources Azure Policy : certaines ressources provenant d’Azure Policy peuvent ne pas apparaître dans le portail Defender. Pendant la préversion, nous affichons uniquement les ressources qui ont un contexte de sécurité et contribuent à des insights de sécurité significatifs.
  • Les ressources liées aux abonnements gratuits n’apparaissent pas actuellement dans le portail Defender.

Présentation de la hiérarchisation des risques dans le portail Defender

L’expérience gestion des risques du portail Defender fournit des fonctionnalités avancées de hiérarchisation des risques qui aident les équipes de sécurité à se concentrer sur les menaces les plus critiques. Le moteur d’évaluation dynamique des risques de Microsoft Defender pour cloud évalue les risques dans votre environnement tout en tenant compte du potentiel d’exploitation et de l’impact potentiel de l’entreprise sur votre organisation.

Les recommandations du portail Defender sont automatiquement hiérarchisées en fonction d’un risque efficace, qui prend en compte plusieurs facteurs contextuels sur chaque ressource et son environnement. Cette approche basée sur les risques garantit que les équipes de sécurité peuvent d’abord résoudre les problèmes de sécurité les plus critiques, ce qui rend les efforts de correction plus efficaces et plus efficaces.

Filtrage et hiérarchisation basés sur les risques

Le portail Defender offre des fonctionnalités de filtrage avancées qui vous permettent de vous concentrer sur des recommandations basées sur des facteurs de risque :

  • Ressources exposées : Filtrer par ressources qui ont une exposition directe aux menaces, telles que les ressources accessibles sur Internet ou les ressources avec des configurations vulnérables
  • Facteurs de risque d’actifs : Cibler des conditions de risque spécifiques telles que la sensibilité des données, le potentiel de déplacement latéral ou l’exposition d’infrastructure critique
  • Répartition des niveaux de risque : afficher les recommandations classées par niveau critique, élevé, moyen et faible
  • Intégration du chemin d’attaque : concentrez-vous sur les recommandations qui font partie des chemins d’accès d’attaque identifiés

Calcul des risques dans la gestion de l'exposition

L’expérience unified Exposure Management calcule les niveaux de risque à l’aide d’un moteur prenant en charge le contexte qui prend en compte :

  • Contexte environnemental : configuration des ressources, topologie réseau et posture de sécurité
  • Facteurs d’exploitabilité : comment un attaquant peut exploiter facilement la vulnérabilité
  • Impact commercial : conséquences potentielles si le problème de sécurité a été exploité
  • Surface d’attaque : exposition de la ressource aux menaces potentielles
  • Analyse du point de choke : indique si la ressource sert de jonction critique dans les chemins d’attaque potentiels

Niveaux de risque dans le portail Defender

Les recommandations du portail Defender sont classées en cinq niveaux de risque :

  • Critique : Les problèmes de sécurité les plus graves liés à l’exploitabilité immédiate et à un impact commercial élevé qui nécessitent une attention urgente
  • Élevé : des risques de sécurité importants qui doivent être résolus rapidement, mais qui peuvent ne pas nécessiter d’action immédiate
  • Moyen : Problèmes de sécurité modérés qui peuvent être résolus dans le cadre de la maintenance régulière de la sécurité
  • Faible : problèmes de sécurité mineurs qui peuvent être résolus à votre convenance pendant les opérations courantes
  • Non évalué : Recommandations qui n’ont pas été évaluées à risque, généralement en raison des limitations de couverture des ressources

Détails de recommandation améliorés

Chaque recommandation dans le portail Defender fournit un contexte de risque complet :

  • Résumé de l’évaluation des risques : calcul global des risques et facteurs de contribution
  • Mappage de surface d’attaque : représentation visuelle de la relation entre la ressource et les scénarios d’attaque potentiels
  • Corrélation de l’initiative : connexion à des initiatives de sécurité et des infrastructures de conformité plus larges
  • Associations CVE : liens vers des vulnérabilités et des expositions courantes pertinentes le cas échéant
  • Contexte historique : Tendances et changements dans les niveaux de risque au fil du temps

Dans la page de recommandation, passez en revue les détails suivants :

  • Niveau de risque : Vulnérabilité et effet métier du problème de sécurité sous-jacent, compte tenu du contexte des ressources environnementales comme l’exposition à Internet, les données sensibles, le mouvement latéral, etc.
  • Facteurs de risque : facteurs environnementaux de la ressource affectée par la recommandation, qui influencent la vulnérabilité et l’effet métier du problème de sécurité sous-jacent. Parmi les facteurs de risque, citons l’exposition à Internet, les données sensibles et le potentiel de mouvement latéral.
  • Ressource : nom de la ressource affectée.
  • État : État de la recommandation, par exemple non attribuée, dans les délais ou en retard.
  • Description : brève description du problème de sécurité.
  • Chemins d’attaque : nombre de chemins d’attaque.
  • Étendue : abonnement ou ressource affecté.
  • Fraîcheur : intervalle de fraîcheur de la recommandation.
  • Date de dernière modification : date à laquelle cette recommandation a été modifiée pour la dernière fois.
  • Gravité : gravité de la recommandation : élevée, moyenne ou basse. Vous trouverez plus de détails plus loin dans cet article.
  • Propriétaire : personne affectée à la recommandation.
  • Date d’échéance : date d’échéance attribuée pour la résolution de la recommandation.
  • Tactiques & Techniques : tactiques et techniques associées à MITRE ATT&CK.

Explorer une recommandation

Vous pouvez interagir avec des recommandations de plusieurs façons. Si une option n’est pas disponible, cela signifie qu’elle n’est pas pertinente pour la recommandation.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

  4. En Passez à l'action :

    • Correction : description des étapes manuelles requises pour résoudre le problème de sécurité sur les ressources affectées. Pour obtenir des recommandations avec l’option Correctif , vous pouvez sélectionner Afficher la logique de correction avant d’appliquer le correctif suggéré à vos ressources.
    • Propriétaire de la recommandation et date d’échéance définie : si vous activez une règle de gouvernance pour la recommandation, vous pouvez attribuer un propriétaire et une date d’échéance.
    • Exempt : vous pouvez exempter les ressources de la recommandation ou désactiver des résultats spécifiques à l’aide de règles de désactivation.
    • Automatisation du flux de travail : définissez une application logique à déclencher avec la recommandation.

    Capture d’écran montrant ce que vous pouvez voir dans la recommandation lorsque vous sélectionnez l’onglet Effectuer une action.

  5. Dans Les résultats, vous pouvez examiner les résultats affiliés par gravité.

    Capture d’écran montrant l’onglet Résultats d’une recommandation, y compris tous les chemins d’accès d’attaque pour cette recommandation.

  6. Dans Graph, vous pouvez afficher et examiner tout le contexte utilisé pour la hiérarchisation des risques, y compris les chemins d’accès aux attaques. Vous pouvez sélectionner un nœud dans un chemin d’attaque pour afficher les détails du nœud sélectionné.

    Capture d’écran montrant l’onglet Graph dans une recommandation, y compris tous les chemins d’accès d’attaque pour cette recommandation.

  7. Pour afficher plus de détails, sélectionnez un nœud.

    Capture d’écran montrant l’onglet Graph avec un nœud sélectionné, affichant des détails supplémentaires.

  8. Sélectionnez Informations.

  9. Pour afficher les détails, sélectionnez une vulnérabilité dans le menu déroulant.

    Capture d’écran de l’onglet Insights pour un nœud.

  10. (Facultatif) Pour afficher la page de recommandation associée, sélectionnez Ouvrir la page de vulnérabilité.

  11. Corrigez la recommandation.

Dans le portail Defender, vous pouvez interagir avec des recommandations de plusieurs façons via l’expérience Gestion de l’exposition. Une fois que vous avez sélectionné une recommandation dans l’onglet Gestion de l’exposition>Recommandations>Cloud, vous pouvez explorer des informations détaillées et prendre des mesures.

Appliquez des filtres et des ensembles de filtres tels que l’actif exposé, les facteurs de risque d’actifs, l’environnement, la charge de travail, la maturité des recommandations et d’autres.

Dans le volet de navigation gauche, vous pouvez choisir d’afficher toutes les recommandations ou d’afficher par une catégorie spécifique.

Il existe des vues distinctes pour les types de problèmes :

  • Configurations incorrectes
  • Vulnérabilités
  • Secrets exposés

Pour chaque vue, vous allez afficher le score de sécurisation cloud, l’historique des scores, la recommandation par niveau de risque et la façon dont le risque est calculé.

Remarque

Dans le portail Defender, certaines recommandations qui figuraient précédemment sous la forme d’un seul élément agrégé s’affichent désormais sous la forme de plusieurs recommandations individuelles. Ce changement reflète un passage du regroupement des recommandations associées sous une seule à l'énumération de chaque recommandation séparément.

  • Vous remarquerez peut-être une liste plus longue de recommandations par rapport à avant. Les résultats combinés (comme les vulnérabilités, les secrets exposés ou les configurations incorrectes) sont désormais affichés individuellement plutôt que imbriqués sous une recommandation parente.
  • Les anciennes recommandations groupées apparaissent toujours côte à côte avec le nouveau format pour l’instant, mais elles seront finalement déconseillées.
  • Ces recommandations sont marquées comme aperçu. Cette balise indique que la recommandation est dans un état précoce et n’affecte pas encore le degré de sécurisation.
  • Le degré de sécurisation s’applique actuellement uniquement à la recommandation parente, et non à chaque élément individuel.

Si vous voyez les deux formats ou recommandations avec une balise d’aperçu, cela est normal pendant la transition. L’objectif est d’améliorer la clarté et de permettre aux clients d’agir plus facilement sur des recommandations spécifiques.

Avec l’intégration de Defender for Cloud dans le portail Defender, vous pouvez également accéder aux recommandations de cloud améliorées via l’interface unifiée :

Les principales améliorations apportées à l’expérience des recommandations cloud sont les suivantes :

  • Facteurs de risque par actif : évaluer le contexte d’exposition plus large de chaque recommandation pour les décisions éclairées
  • Score basé sur les risques : nouveau scoring qui pèse les recommandations en fonction de la gravité, du contexte des ressources et de l’impact potentiel
  • Données améliorées : données de recommandation de base d’Azure Recommendations enrichies avec des champs et fonctionnalités supplémentaires de La gestion de l’exposition
  • Hiérarchisé par critique : plus d’accentuation sur les problèmes critiques qui présentent le risque le plus élevé pour votre organisation

L’expérience unifiée garantit que les recommandations de sécurité cloud sont contextualisées dans le paysage de sécurité plus large, ce qui permet de prendre des décisions plus éclairées et d’effectuer des workflows de correction efficaces.

Regrouper les recommandations par titre

Vous pouvez regrouper des recommandations par titre avec la page de recommandation Defender for Cloud. Cette fonctionnalité est utile lorsque vous souhaitez corriger une recommandation qui affecte plusieurs ressources en raison d’un problème de sécurité spécifique.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez Regrouper par titre.

    Capture d’écran de la page recommandations montrant l’emplacement du bouton de basculement "Grouper par titre".

Gérer vos recommandations attribuées

Defender pour Cloud prend en charge les règles de gouvernance pour les recommandations. Vous pouvez affecter un propriétaire de recommandation ou une date d’échéance. Vous pouvez vous aider à garantir la responsabilité à l’aide de règles de gouvernance, qui prennent également en charge un contrat de niveau de service (SLA) pour les recommandations.

  • Les recommandations apparaissent comme à temps jusqu’à ce que leur date d’échéance soit dépassée. Ensuite, ils passent en retard.
  • Lorsqu’une recommandation n’est pas classée en retard, elle n’affecte pas votre degré de sécurisation Microsoft.
  • Vous pouvez également appliquer une période de grâce afin que les recommandations en retard n’affectent pas votre degré de sécurisation.

En savoir plus sur la configuration des règles de gouvernance.

Pour voir toutes les recommandations qui vous ont été attribuées :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez Ajouter un filtre>Propriétaire.

  4. Sélectionnez votre entrée d’utilisateur.

  5. Sélectionnez Appliquer.

  6. Dans les résultats de la recommandation, passez en revue les recommandations, notamment les ressources affectées, les facteurs de risque, les chemins d’attaque, les dates d’échéance et l’état.

  7. Sélectionnez une recommandation pour l’examiner plus loin.

Pour apporter des modifications à une affectation, procédez comme suit :

  1. Accédez à Effectuer une action>Modifier le propriétaire et la date d’échéance.

  2. Sélectionnez Modifier l’affectation pour modifier le propriétaire de la recommandation ou la date d’échéance.

  3. Si vous sélectionnez une nouvelle date de correction, spécifiez pourquoi la correction doit être effectuée à cette date dans Justification.   

  4. Cliquez sur Enregistrer.

    Remarque

    Lorsque vous modifiez la date d’achèvement attendue, la date d’échéance de la recommandation ne change pas, mais les partenaires de sécurité peuvent voir que vous prévoyez de mettre à jour les ressources par la date spécifiée.

Par défaut, le propriétaire de la ressource reçoit un e-mail hebdomadaire qui affiche toutes les recommandations qui leur sont attribuées.

Vous pouvez également utiliser l’option Définir les notifications par e-mail pour :

  • Remplacez l'e-mail hebdomadaire par défaut destiné au propriétaire.
  • Informez les propriétaires chaque semaine avec une liste de tâches ouvertes ou en retard.
  • Informez le responsable direct du propriétaire avec une liste de tâches ouverte.

Passer en revue les recommandations dans Azure Resource Graph

Vous pouvez utiliser Azure Resource Graph pour écrire une requête KQL (Kusto Query Language) pour interroger les données de posture de sécurité Defender pour cloud sur plusieurs abonnements. Azure Resource Graph offre un moyen efficace d’interroger à grande échelle dans les environnements cloud en affichant, en filtrant, en regroupant et en triant des données.

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le Cloud>Recommandations.

  3. Sélectionnez une recommandation.

  4. Sélectionnez Ouvrir une requête.

  5. Vous pouvez ouvrir la requête de deux façons :

    • Requête retournant une ressource affectée : retourne une liste de toutes les ressources affectées par la recommandation.
    • Requête retournant des résultats de sécurité : retourne la liste de tous les problèmes de sécurité détectés par la recommandation.

  6. Sélectionnez Exécuter la requête.

    Capture d’écran de l’Explorateur Azure Resource Graph montrant les résultats de la recommandation de la capture d’écran précédente.

  7. Passez en revue les résultats.

Comment les recommandations sont-elles classées ?

Chaque recommandation de sécurité de Defender pour Cloud reçoit l’une des trois évaluations de gravité.

Niveau de gravité Élevé

Nous vous recommandons de traiter ces recommandations immédiatement. Ils indiquent qu’il existe une vulnérabilité de sécurité critique qu’un attaquant peut exploiter pour obtenir un accès non autorisé à vos systèmes ou données.

Voici quelques exemples de recommandations de gravité élevée :

  • Secrets non protégés sur un ordinateur.
  • Règles de groupe de sécurité réseau entrantes trop permissives.
  • Clusters qui permettent le déploiement d’images à partir de registres non approuvés.
  • Accès public illimité aux comptes de stockage ou aux bases de données.

Niveau de gravité moyen

Ces recommandations indiquent un risque de sécurité potentiel. Nous vous recommandons de traiter ces recommandations en temps opportun, mais elles peuvent ne pas nécessiter d’attention immédiate.

Voici quelques exemples de recommandations de gravité moyenne :

  • Conteneurs qui partagent des espaces de noms d’hôte sensibles.
  • Applications web qui n’utilisent pas d’identités managées.
  • Machines Linux qui ne nécessitent pas de clés SSH pendant l’authentification.
  • Informations d’identification inutilisées laissées dans le système après 90 jours d’inactivité.

Niveau de gravité bas

Ces recommandations indiquent un problème de sécurité relativement mineur qui peut être résolu à votre convenance.

Voici quelques exemples de recommandations de gravité faible :

  • Utilisation de l’authentification locale au lieu de Microsoft Entra ID.
  • Problèmes de santé avec votre solution de protection des terminaux.
  • Les utilisateurs ne suivent pas les meilleures pratiques avec les groupes de sécurité réseau.
  • Paramètres de journalisation mal configurés, ce qui peut compliquer la détection et la réponse aux incidents de sécurité.

Les stratégies internes d’une organisation peuvent différer de la classification de Microsoft d’une recommandation spécifique. Nous vous recommandons de toujours examiner soigneusement chaque recommandation et de prendre en compte son effet potentiel sur votre posture de sécurité avant de décider comment l’aborder.

Remarque

Les clients CSPM Defender ont accès à un système de classification plus riche où les recommandations présentent une détermination du niveau de risque qui utilise le contexte de la ressource et toutes les ressources associées. En savoir plus sur la hiérarchisation des risques et des instructions détaillées dans les sections de hiérarchisation des risques ci-dessus.

Exemple :

Dans cet exemple, la page détails de la recommandation affiche 15 ressources affectées :

Capture d’écran du bouton Ouvrir la requête dans la page Détails de la recommandation.

Lorsque vous ouvrez et exécutez la requête sous-jacente, Azure Resource Graph Explorer retourne les mêmes ressources affectées pour cette recommandation.

Contenu connexe

  • Last updated on