Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour aider les clients à prévenir, détecter et contrer les menaces, Microsoft Defender pour le cloud collecte et traite des données de sécurité, notamment des informations de configuration, des métadonnées et des journaux d’événements. Microsoft adhère aux recommandations strictes de conformité et de sécurité, du codage jusqu'à l'exploitation d'un service.
Cet article explique comment les données sont gérées et protégées dans Defender pour le cloud.
Sources de données
Pour assurer une visibilité de l’état de la sécurité, identifier les vulnérabilités, recommander des mesures d’atténuation et détecter des menaces actives, Defender pour le cloud analyse les données provenant des sources suivantes :
Services Azure : utilise les informations relatives à la configuration des services Azure que vous avez déployés en communiquant avec le fournisseur de ressources de ce service. Pour les ressources dAzure IA, cela inclut les invites et les réponses d'intelligence artificielle.
Trafic réseau : tire parti des métadonnées de trafic réseau échantillonnées provenant de l’infrastructure de Microsoft, telles que l’IP/le port source/de destination, la taille de paquet et le protocole réseau.
Solutions de partenaires : collecte les alertes de sécurité des solutions de partenaires intégrées, telles que les solutions de pare-feu et anti-programme malveillant.
Vos machines : utilise les détails de configuration et les informations relatives aux événements de sécurité, telles que les événements Windows, les journaux d’audit et les messages syslog de vos machines.
Partage des données
Quand vous activez l’analyse des programmes malveillants de Defender pour le stockage, il est possible qu’elle partage des métadonnées, y compris des métadonnées classifiées en tant que données client (par exemple le hachage SHA-256), avec Microsoft Defender for Endpoint.
Microsoft Defender pour le cloud exécutant le plan de gestion de la posture de sécurité cloud (CSPM) de Microsoft Defender pour le cloud partage des données qui sont intégrées aux recommandations de Microsoft Security Exposure Management.
Remarque
Microsoft Security Exposure Management est actuellement en préversion publique.
Protection de données
Ségrégation des données
les données client sont maintenues séparées logiquement sur chaque composant, dans l'ensemble du service. Toutes les données sont balisées en fonction de l'organisation. Ce balisage est conservé tout au long du cycle de vie des données, et il est appliqué dans chaque couche du service.
Accès aux données
Pour fournir des recommandations de sécurité et examiner les menaces de sécurité potentielles, le personnel de Microsoft peut accéder aux informations collectées ou analysées par les services Azure, notamment les événements de création de processus, les invites d’IA et d’autres artefacts, ce qui peut inclure involontairement des données client ou des données personnelles à partir de vos machines.
Nous respectons l’Addendum relatif à la protection de Microsoft Online Services, qui indique que Microsoft n’utilisera pas les données client ou ne tirera pas d’informations de ces dernières à des fins commerciales, publicitaires ou similaires. Nous utilisons uniquement les données client en fonction des besoins pour vous proposer des services Azure, notamment des utilisations compatibles avec la fourniture de ces services. Vous conservez tous les droits sur les données client.
Utilisation des données
Microsoft utilise des modèles et des informations sur les menaces observées auprès de multiples locataires pour améliorer ses fonctionnalités de prévention et de détection. Cette utilisation s'effectue en accord avec les engagements de confidentialité décrits dans la Déclaration de confidentialité de Microsoft.
Microsoft Defender pour Cloud n’utilise pas les données client pour entraîner des modèles IA sans consentement de l’utilisateur. Conformément aux termes du produit Microsoft : Microsoft Defender pour cloud ou Microsoft Generative AI Services n’utilisent pas les données client pour entraîner un modèle de base d’IA générative, sauf si les instructions documentées du client sont fournies.
Gérer la collecte de données à partir de machines
Lorsque vous activez Defender pour le cloud dans Azure, la collecte de données est activée pour chacun de vos abonnements Azure. Vous pouvez également activer la collecte de données pour vos abonnements dans Defender pour le cloud. Defender pour serveurs utilise Defender pour point de terminaison pour collecter des données à partir de vos machines.
Si vous n’utilisez pas les fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud, vous pouvez également désactiver la collecte de données à partir des machines virtuelles dans la stratégie de sécurité. La collecte des données est obligatoire pour les abonnements protégés par les fonctionnalités de sécurité renforcée. La collecte des artefacts et des captures instantanées des disques de machine virtuelle reste activée, même si la collecte de données est désactivée.
Vous pouvez spécifier l’espace de travail et la région où sont stockées les données collectées à partir de vos machines. La valeur par défaut consiste à stocker les données collectées à partir de vos machines dans l’espace de travail le plus proche, comme indiqué dans le tableau suivant :
| Zone géographique de machine virtuelle | Zone géographique d’espace de travail |
|---|---|
| États-Unis, Brésil, Afrique du Sud | États-Unis |
| Canada | Canada |
| Europe (à l’exclusion du Royaume-Uni) | Europe |
| Royaume-Uni | Royaume-Uni |
| Asie (à l’exception de l’Inde, du Japon, de la Corée, de la Chine) | Asie-Pacifique |
| Corée du Sud | Asie-Pacifique |
| Inde | Inde |
| Japon | Japon |
| Chine | Chine |
| Australie | Australie |
Remarque
Microsoft Defender pour le stockage stocke les artefacts de façon régionale en fonction de l’emplacement de la ressource Azure associée. En savoir plus dans Vue d’ensemble de Microsoft Defender pour le stockage.
Consommation des données
Les clients peuvent accéder aux données associées à Defender pour le cloud à partir des flux de données suivants :
| STREAM | Types de données |
|---|---|
| Journal d’activité Azure | Toutes les alertes de sécurité approuvées par Defender for Cloud sont associées aux demandes d'accès juste-à-temps (JIT). |
| Journaux d’activité Azure Monitor | Toutes les alertes de sécurité. |
| Azure Resource Graph | Alertes de sécurité, recommandations de sécurité, résultats d’évaluation des vulnérabilités, informations sur le degré de sécurisation, état des vérifications de conformité, et bien plus encore. |
| API REST Microsoft Defender pour le cloud | Alertes de sécurité, recommandations de sécurité et bien plus encore. |
Remarque
Si aucun plan Defender n’est activé sur l’abonnement, les données sont supprimées d’Azure Resource Graph après 30 jours d’inactivité dans le portail Microsoft Defender pour le cloud. Après l’interaction avec les artefacts dans le portail lié à l’abonnement, les données doivent être à nouveau visibles dans les 24 heures.
Conservation des données
Lorsque le graphique de sécurité du cloud collecte des données auprès d’Azure et d’environnements cloud et d’autres sources de données, il conserve les données pendant une période de 14 jours. Les données sont supprimées au-delà de 14 jours.
Il est possible que les données calculées, telles que les chemins d’attaque, soient conservées pendant 14 jours de jours. Les données calculées comprennent des données dérivées des données brutes collectées à partir de l’environnement. Par exemple, le chemin d’attaque est dérivé des données brutes collectées auprès de l’environnement.
Ces informations sont collectées conformément aux engagements en matière de confidentialité décrits dans notre Déclaration de confidentialité.
Le plan de protection contre les menaces de l'IA pour le Cloud de Defender inclut le stockage des invites et des réponses générées par le modèle des abonnements protégés. Les données sont stockées de manière sécurisée et conservées à des fins de reconnaissance de modèle et de détections d’anomalies et stockées pendant une durée de 30 jours
Defender pour le cloud et intégration de Microsoft Defender 365 Defender
Quand vous activez un des plans payants de Defender pour le cloud, vous bénéficiez automatiquement de tous les avantages de Microsoft Defender XDR. Les informations provenant de Microsoft Defender pour le cloud seront partagées avec Microsoft Defender XDR. Ces données peuvent contenir des données client et seront stockées en fonction de instructions de gestion des données Microsoft 365.