Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le tableau de bord de sécurité AKS offre une visibilité et une correction automatisée pour les problèmes de sécurité. Elle permet aux équipes d’ingénierie de plateforme de sécuriser plus facilement et efficacement leur environnement Kubernetes.
La consolidation des données de sécurité et opérationnelles dans le portail AKS offre aux ingénieurs une vue unifiée de leur environnement Kubernetes. Cette vue permet de détecter et de résoudre efficacement les problèmes de sécurité, avec une interruption minimale du flux de travail. Il réduit le risque de problèmes de sécurité manqués et accélère la correction.
Le tableau de bord de sécurité AKS vous permet de :
Examinez, examinez et obtenez une correction guidée pour les alertes de détection des menaces d’exécution, l’évaluation des vulnérabilités, les configurations incorrectes de sécurité et l’écart par rapport aux normes de conformité.
Activez le plan Defender pour conteneurs et configurez les paramètres du cluster AKS spécifique.
Attribuez un propriétaire et suivez la progression d’un problème de sécurité. Cette fonctionnalité fonctionne lorsque Defender Cloud Security Posture Management (Defender CSPM) est activé pour l’abonnement.
Prérequis
Le tableau de bord de sécurité AKS affiche des problèmes de sécurité pour un cluster si au moins l’un des plans suivants est activé :
- Defender pour conteneurs sur l’abonnement ou le cluster individuel.
- Defender CSPM sur l’abonnement.
Utilisation du tableau de bord de la sécurité AKS
Accédez au tableau de bord de sécurité AKS à partir d’un volet de ressources de cluster AKS en sélectionnant Microsoft Defender pour Cloud dans la liste des menus.
Comprendre les sections du tableau de bord
Résultats de la sécurité
La barre de résultats supérieure affiche l’état de sécurité du cluster. Pour chaque type de résultats, il indique le nombre de problèmes de gravité ou de risque les plus élevés. Utilisez les résultats principaux pour déterminer s’il faut vérifier les différents onglets pour une investigation plus approfondie.
Onglet Alertes de sécurité
Les alertes de sécurité sont des notifications de Defender pour Cloud concernant l’activité suspecte ou les menaces potentielles actives dans votre environnement. Le service hiérarchise les alertes par risque.
Lorsque vous sélectionnez une alerte, vous ouvrez un panneau qui fournit plus d’informations sur la détection qui a déclenché l’alerte. Le panneau suggère également des actions que vous pouvez entreprendre pour résoudre le problème.
Gravité des alertes
Haut Il existe une probabilité élevée que votre ressource soit compromise. Vous devez examiner immédiatement. Defender pour Cloud a une grande confiance dans l’intention malveillante et les résultats qu’il utilise pour émettre l’alerte.
Douleur moyenne L’alerte indique probablement une activité suspecte et peut montrer qu’une ressource est compromise. La confiance dans l’analytique ou la recherche est moyenne. La confiance de l’intention malveillante est moyenne à élevée. Ces alertes proviennent généralement de détections basées sur l’apprentissage automatique ou les anomalies.
Bas Cette alerte peut être un positif bénin ou une attaque bloquée.
Informationnel Un incident inclut généralement plusieurs alertes. Certaines alertes peuvent apparaître elles-mêmes pour être uniquement informationnelles, mais dans le contexte des autres alertes, elles peuvent justifier un examen plus approfondi.
Examiner une alerte
Passez en revue la description de l’alerte et les étapes recommandées pour la réponse dans le volet droit de l’alerte.
Utilisez les détails supplémentaires et les entités associées pour identifier la charge de travail compromise.
Sélectionnez Ouvrir les journaux pour examiner les journaux dans la période appropriée.
Créez une règle de suppression pour supprimer les alertes futures avec des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation. En savoir plus sur les règles de suppression.
Configurez des règles de sécurité pour le cluster afin de contrôler certains types d’alertes. Apprenez-en davantage sur la configuration des stratégies de dérive.
Modifiez l’état de l’alerte une fois que vous atténuez une alerte pour une référence ou un filtrage ultérieurs. Vous avez besoin du rôle d’administrateur de sécurité pour modifier l’état de l’alerte.
Note
Defender pour Cloud diffuse également des alertes directement vers Microsoft XDR.
En savoir plus sur les alertes de sécurité dans Defender pour cloud.
Onglet Évaluation des vulnérabilités
Le tableau de bord de sécurité AKS affiche les résultats de l’analyse des vulnérabilités logicielles pour l’exécution de conteneurs et les pools de nœuds du cluster. Il génère une liste hiérarchisée de composants vulnérables. Cette liste est classée par un moteur dynamique qui évalue les risques dans votre environnement (disponible avec le plan CSPM Defender activé) et considère le potentiel d’exploitation.
L’analyse des images conteneur inclut les types de packages suivants :
Packages de système d’exploitation : Recherche les vulnérabilités dans les packages installés par le gestionnaire de package du système d’exploitation dans linux et windows. Consultez la liste complète du système d’exploitation pris en charge et de leurs versions.
Packages spécifiques au langage (Linux uniquement) : Prend en charge l’analyse des packages et fichiers spécifiques au langage, ainsi que leurs dépendances, installées ou copiées sans utiliser le gestionnaire de package du système d’exploitation. Consultez la liste complète des langues prises en charge.
Examiner les résultats de l’évaluation des vulnérabilités
Sélectionnez le composant vulnérable sous l’onglet Vulnérabilités pour ouvrir le volet d’informations.
Utilisez les détails généraux pour identifier le composant et la propriété appropriés pour le correctif.
Passez en revue la liste des CVE, utilisez le nom du package et les informations de version fixes pour identifier la version du package à mettre à niveau pour corriger le problème.
Utilisez le propriétaire affecté (disponible avec le plan CSPM Defender), pour affecter un propriétaire pour le correctif et les avertir par courrier électronique ou avec un ticket dans le service maintenant.
En savoir plus sur l’évaluation des vulnérabilités dans Defender pour Cloud.
Onglet Configurations incorrectes
Microsoft Defender pour Cloud surveille en permanence les API Azure et AKS, ainsi que les charges de travail Kubernetes. Il identifie les configurations au sein du cluster ou de ses conteneurs en cours d’exécution susceptibles d’affecter la posture de sécurité du cluster et d’exposer le cluster à risque. Defender propose également des instructions et des correctifs automatiques pour résoudre ces problèmes.
Examiner les résultats de l’évaluation de la configuration incorrecte
Sélectionnez le composant mal configuré dans l’onglet Configuration incorrecte pour ouvrir le volet d’informations.
Passez en revue les étapes de description et de correction.
Pour les configurations incorrectes au niveau du cluster, utilisez le bouton Correctif rapide pour démarrer le flux de correction.
Pour les configurations incorrectes des conteneurs, il est recommandé de déployer une stratégie pour empêcher les déploiements défectueux futurs. Utilisez le lien vers une stratégie intégrée « Azure Policy » appropriée.
Utilisez le propriétaire affecté (disponible avec le plan CSPM Defender), pour affecter un propriétaire pour le correctif et les avertir par courrier électronique ou avec un ticket dans le service maintenant.
Découvrez comment corriger les configurations incorrectes de sécurité avec Defender pour cloud.
Onglet Conformité
Defender pour Cloud évalue en permanence votre environnement par rapport aux normes réglementaires et aux benchmarks sélectionnés. Il fournit une vue claire de votre état de conformité, met en évidence les exigences non satisfaites et propose des recommandations pour vous aider à améliorer votre posture de sécurité cloud.
Comment utiliser l’onglet Conformité
Configurez la norme de conformité requise à laquelle vous devez adhérer. Vous configurez la norme au niveau de l’abonnement. Suivez le lien pour la configuration à partir de l’onglet Conformité ou des paramètres du tableau de bord.
Une fois les normes pertinentes sélectionnées, utilisez le résumé de l’onglet conformité pour comprendre la norme à laquelle vous vous conformez et qui nécessite des étapes supplémentaires pour se conformer.
La grille de l’onglet conformité affiche uniquement les recommandations pour les contrôles du cluster ou de ses composants ne sont pas conformes.
Utilisez les filtres pour filtrer la grille des recommandations en fonction de vos besoins.
Sélectionnez chaque recommandation pour ouvrir le panneau de détails.
Suivez les étapes de correction dans le panneau latéral pour vous conformer au contrôle approprié.
En savoir plussur la conformité réglementaire dans Defender pour cloud.
En savoir plus sur la configuration des normes de conformité réglementaire
Actions en bloc
Vous pouvez sélectionner plusieurs recommandations ou alertes en utilisant les cases à cocher en regard de chaque recommandation. Ensuite, sélectionnez Affecter le propriétaire pour les recommandations ou Modifier l’état des alertes dans la barre d’outils du tableau de bord.
Exporter les résultats de la sécurité
Sélectionnez Télécharger le rapport CSV pour télécharger les résultats de sécurité du cluster en tant que fichier CSV. Vous pouvez également utiliser l’API REST Defender pour cloud pour récupérer les résultats de sécurité.
Réglage
Activation du plan
Activez la protection des conteneurs Microsoft Defender pour cloud (Defender pour conteneurs) pour un seul cluster AKS ou au niveau de l’abonnement pour protéger tous les clusters de cet abonnement. Utilisez le panneau paramètres de la barre d’outils du tableau de bord pour activer le plan.
Note
Lorsque vous activez Defender pour conteneurs au niveau de l’abonnement, vous pouvez uniquement modifier les paramètres du plan au niveau de l’abonnement.
En activant d’autres plans Microsoft Defender pour cloud, vous pouvez analyser toutes vos ressources cloud pour identifier les chemins d’attaque inter-ressources, identifier plus précisément les risques et fournir des alertes et une visibilité complète des incidents de sécurité inter-ressources. En savoir plus.
Configurations de plan
Capteur Defender : déploie l’agent Defender pour conteneurs sur le cluster. Ce capteur est requis pour la protection contre les menaces d’exécution et les fonctionnalités de déploiement contrôlé.
Accès à l’API Kubernetes : requis pour l’évaluation des vulnérabilités, les configurations incorrectes, l’évaluation de conformité et la protection contre les menaces d’exécution.
Accès au Registre : requis pour les fonctionnalités d’évaluation des vulnérabilités et de déploiement contrôlé.
Azure Policy : déploie un agent sur le cluster pour générer des recommandations pour renforcer le plan de données du cluster.
Note
Si vous configurez les paramètres au niveau de l’abonnement, ils remplacent tous les paramètres configurés au niveau du cluster.
Définissez le plan Defender pour conteneurs pour le cluster ou l’abonnement à l’aide de commandes d’API REST.