Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page vous fournit des informations sur les fonctionnalités, les correctifs et les dépréciations antérieures à six mois. Pour connaître les dernières mises à jour, consultez Nouveautés de Defender pour le cloud ?.
Juin 2025
Détections DNS de Defender pour conteneurs basées sur Helm (préversion)
Éléments inclus :
Prise en charge du déploiement avec Helm
Pour obtenir des instructions d’installation et plus de détails, consultez Installer le capteur Defender pour les conteneurs à l’aide de Helm.
Détections de menaces DNS
Améliore l’efficacité de la mémoire, et réduit la consommation du processeur pour les déploiements de clusters volumineux.
Pour plus d’informations, consultez : Capteur pour Defender pour conteneurs Changelog.
Balises d’index facultatives pour stocker les résultats de l’analyse antivirus (Aperçu)
25 juin 2025
L’analyse des programmes malveillants Defender pour le stockage introduit des balises d’index facultatives pour les analyses lors du chargement et à la demande. Avec cette nouvelle fonctionnalité, les utilisateurs peuvent choisir de publier des résultats sur les balises d’index de l’objet blob lorsqu’un objet blob est analysé (par défaut) ou pour ne pas utiliser de balises d’index. Les balises d’index peuvent être activées ou désactivées au niveau de l’abonnement et du compte de stockage via le portail Azure ou via l’API.
Détection d’API et posture de sécurité pour les API hébergées dans Function Apps et Logic Apps (préversion)
25 juin 2025
Defender pour Cloud étend désormais ses fonctionnalités de découverte d’API et de sécurité pour inclure des API hébergées dans Azure Function Apps et Logic Apps, en plus de sa prise en charge existante des API publiées dans Gestion des API Azure.
Cette amélioration permet aux équipes de sécurité d’avoir une vue complète et mise à jour continue de la surface d’attaque de l’API de leur organisation. Les fonctionnalités clés sont les suivantes :
- Inventaire centralisé des API : découvrez et cataloguez automatiquement les API sur les services Azure pris en charge.
- Évaluations des risques de sécurité : identifiez et hiérarchisez les risques, notamment l’identification des API dormantes qui peuvent justifier la suppression, ainsi que les API non chiffrées susceptibles d’exposer des données sensibles.
Ces fonctionnalités sont automatiquement disponibles pour tous les clients DCSPM (Defender for Cloud Security Posture Management) qui ont activé l’extension Gestion des postures de sécurité des API.
Chronologie de déploiement : le déploiement de ces mises à jour commencera le 25 juin 2025 et devrait atteindre toutes les régions prises en charge dans un délai d’une semaine.
Surveillance de l’intégrité des fichiers sans agent (aperçu)
25 juin 2025
La surveillance de l’intégrité des fichiers sans agent (FIM) est désormais disponible en préversion. Cette fonctionnalité complète la solution FIM en disponibilité générale basée sur l’agent Microsoft Defender pour point de terminaison et introduit la prise en charge de la surveillance personnalisée des fichiers et des registres.
FiM sans agent permet aux organisations de surveiller les modifications de fichier et de Registre dans leur environnement sans déployer d’autres agents. Il offre une alternative légère et évolutive tout en conservant la compatibilité avec la solution existante basée sur l’agent.
Les fonctionnalités clés sont les suivantes :
- Surveillance personnalisée : répondez aux exigences de conformité et de sécurité spécifiques en définissant et en surveillant les chemins d’accès de fichiers personnalisés et les clés de Registre.
- Expérience unifiée : les événements de FIM sans agent et MDE sont stockés dans la même table d’espace de travail, avec des indicateurs sources clairs.
En savoir plus sur la surveillance de l’intégrité des fichiers et sur la façon d’activer la surveillance de l’intégrité des fichiers.
Analyse du code sans agent – Assistance GitHub et couverture personnalisable désormais disponible (aperçu)
18 juin 2025
Nous avons mis à jour la fonctionnalité d’analyse de code sans agent pour inclure des fonctionnalités clés qui étendent la couverture et le contrôle. Ces mises à jour incluent :
- Prise en charge des dépôts GitHub, en plus d’Azure DevOps
- Sélection personnalisable du scanneur : sélectionnez les outils (par exemple, Bandit, Checkov, ESLint) à exécuter
- Configuration de l’étendue granulaire : inclure ou exclure des organisations, des projets ou des référentiels spécifiques
L’analyse du code sans agent fournit une analyse de sécurité évolutive pour le code et l’infrastructure en tant que code (IaC) sans nécessiter de modifications apportées aux pipelines CI/CD. Il aide les équipes de sécurité à détecter les vulnérabilités et les configurations incorrectes sans interrompre les flux de travail des développeurs.
En savoir plus sur la configuration de l’analyse du code sans agent dans Azure DevOps ou GitHub.
mai 2025
Disponibilité générale des filtres personnalisables pour l'analyse de logiciels malveillants lors du téléchargement dans Defender pour le stockage.
28 mai 2025
L'analyse des programmes malveillants lors du téléversement prend maintenant en charge les filtres personnalisables. Les utilisateurs peuvent définir des règles d’exclusion pour les analyses de programmes malveillants lors du téléchargement en fonction des préfixes et des suffixes de chemin d’objet blob, ainsi que de la taille de l’objet blob. En excluant des chemins d’accès et des types d’objets blob spécifiques, tels que les journaux ou les fichiers temporaires, vous pouvez éviter les analyses inutiles et réduire les coûts.
Découvrez comment configurer des filtres d’analyse de programmes malveillants personnalisables lors du chargement.
Utilisateur actif (préversion publique)
La fonctionnalité Utilisateur actif permet aux administrateurs de sécurité d’identifier et d’affecter rapidement des recommandations aux utilisateurs les plus pertinents en fonction de l’activité récente du plan de contrôle. Pour chaque recommandation, jusqu’à trois utilisateurs actifs potentiels sont suggérés au niveau de la ressource, du groupe de ressources ou de l’abonnement. Les administrateurs peuvent sélectionner un utilisateur dans la liste, affecter la recommandation et définir une date d’échéance, ce qui déclenche une notification à l’utilisateur affecté. Cela simplifie les workflows de correction, réduit le temps d’investigation et renforce la posture globale de sécurité.
Disponibilité générale pour Defender pour les services IA
1er mai 2025
Defender pour Cloud prend désormais en charge la protection du runtime pour les services Azure AI (précédemment appelés protection contre les menaces pour les charges de travail IA).
La protection des services Azure AI couvre les menaces spécifiques aux services et applications IA, tels que le jailbreak, l’abus de portefeuille, l’exposition aux données, les modèles d’accès suspects, etc. Les détections utilisent des signaux provenant de Microsoft Threat Intelligence et d’Azure AI Prompt Shields, et appliquent le Machine Learning et l’IA pour sécuriser vos services IA.
En savoir plus sur Defender pour AI Services.
Microsoft Security Copilot est désormais en disponibilité générale dans Defender pour cloud
1er mai 2025
Microsoft Security Copilot est désormais en disponibilité générale dans Defender pour Cloud.
Security Copilot accélère la correction des risques pour les équipes de sécurité, ce qui facilite la résolution des risques cloud par les administrateurs. Il fournit des résumés générés par l’IA, des actions de correction et des e-mails de délégation, guidant les utilisateurs à chaque étape du processus de réduction des risques.
Les administrateurs de sécurité peuvent rapidement résumer les recommandations, générer des scripts de correction et déléguer des tâches par e-mail aux propriétaires de ressources. Ces fonctionnalités réduisent le temps d’investigation, aident les équipes de sécurité à comprendre les risques dans le contexte et à identifier les ressources pour une correction rapide.
Découvrez plus en détail Microsoft Security Copilot dans Defender pour le cloud.
Tableau de bord de sécurité de la disponibilité générale et de l’IA
1er mai 2025
Defender for Cloud améliore le tableau de bord de la sécurité des données pour y inclure AI Security avec le nouveau tableau de bord de la sécurité des données et de l’IA en disponibilité générale. Le tableau de bord fournit une plateforme centralisée pour superviser et gérer les données et les ressources IA, ainsi que leurs risques et leur état de protection associés.
Les principaux avantages du tableau de bord de sécurité des données et de l’IA sont les suivants :
- Vue unifiée : obtenez une vue complète de toutes les ressources d’IA et de données organisationnelles.
- Insights sur les données : identifiez l’emplacement de stockage de vos données et les types de ressources qui les conservent.
- Couverture de protection : évaluez la couverture de protection de vos données et ressources IA.
- Problèmes critiques : déterminez les ressources qui nécessitent une attention immédiate en fonction des recommandations, des alertes et des chemins d’attaque à gravité élevée.
- Découverte de données sensibles : recherchez et résumez les ressources de données sensibles dans vos ressources cloud et IA.
- Charges de travail IA : découvrez les empreintes des applications IA, notamment les services, les conteneurs, les jeux de données et les modèles.
Découvrez plus d’informations sur le tableau de bord de sécurité Données et IA.
Defender CSPM commence la facturation pour les ressources du serveur flexible Azure Database pour MySQL et du serveur flexible Azure Database pour PostgreSQL.
1er mai 2025
Date estimée pour la modification : Juin 2025
À compter du 1er juin 2025, Microsoft Defender CSPM démarre la facturation pour le serveur flexible Azure Database pour MySQL et les ressources du serveur flexible Azure Database pour PostgreSQL dans votre abonnement dans lequel Defender CSPM est activé. Ces ressources sont déjà protégées par Defender CSPM et aucune action utilisateur n’est requise. Une fois la facturation démarrée, votre facture peut augmenter.
Pour plus d’informations, consultez la tarification du plan CSPM
Avril 2025
| Date | Category | Update |
|---|---|---|
| 29 avril | Preview | Gestion du positionnement de l'IA dans GCP Vertex AI (version préliminaire) |
| 29 avril | Preview | Intégration de Defender pour cloud à Mend.io (préversion) |
| 29 avril | Change | Mises à jour des autorisations d’application GitHub |
| Avril 28 | Change | Mise à jour de Defender pour serveurs SQL dans le plan Machines |
| 27 avril | GA | Nouvelle limite par défaut pour l’analyse des programmes malveillants lors du téléchargement dans Microsoft Defender pour le stockage |
| 24 avril | GA | Disponibilité générale de l’intégration native de la gestion de la posture de sécurité des API dans le plan CSPM Defender |
| 7 avril | Modification à venir | Améliorations apportées aux alertes Defender pour les services d'application |
Gestion de la configuration IA dans GCP Vertex AI (version préliminaire)
29 avril 2025
Les fonctionnalités de gestion de la posture de sécurité IA de Defender pour Cloud prennent désormais en charge les charges de travail IA dans Google Cloud Platform (GCP) VERTEx AI (préversion).
Les principales fonctionnalités de cette version sont notamment :
- Découverte d’applications IA moderne : découvrez et cataloguez automatiquement les composants d’application IA, les données et les artefacts IA déployés dans GCP Vertex AI.
- Renforcement de la posture de sécurité : détectez les configurations incorrectes et recevez des recommandations intégrées et des actions de correction pour améliorer la posture de sécurité de vos applications IA.
- Analyse du chemin d’attaque : identifiez et corrigez les risques à l’aide de l’analyse avancée du chemin d’attaque pour protéger vos charges de travail IA contre les menaces potentielles.
Ces fonctionnalités sont conçues pour fournir une visibilité complète, une détection incorrecte de la configuration et un renforcement des ressources d’IA, ce qui garantit une réduction des risques pour les charges de travail IA développées sur la plateforme GCP Vertex AI.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
Intégration de Defender pour cloud à Mend.io (préversion)
29 avril 2025
Defender pour Cloud est désormais intégré à Mend.io en préversion. Cette intégration améliore la sécurité des applications logicielles en identifiant et en atténuant les vulnérabilités dans les dépendances des partenaires. Cette intégration simplifie les processus de découverte et de correction, ce qui améliore la sécurité globale.
En savoir plus sur l’intégration Mend.io.
Mise à jour des autorisations d’application GitHub
29 avril 2025
Les connecteurs GitHub dans Defender pour Cloud seront mis à jour pour inclure les autorisations d’administrateur pour [Propriétés personnalisées]. Cette autorisation est utilisée pour fournir de nouvelles fonctionnalités de contextualisation et est étendue à la gestion du schéma de propriétés personnalisées. Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation GitHub, accédez aux applications Microsoft Security DevOps dans Paramètres > GitHub Apps et acceptez la demande d’autorisations.
Dans un e-mail automatisé du support GitHub, sélectionnez Vérifier la requête d’autorisation pour accepter ou rejeter cette modification.
Remarque : Les connecteurs existants continuent de fonctionner sans la nouvelle fonctionnalité si l’action ci-dessus n’est pas effectuée.
Mise à jour vers Defender pour les serveurs SQL sur le plan Machines
28 avril 2025
Le plan Defender pour SQL Server sur les machines dans Microsoft Defender pour Cloud protège les instances SQL Server hébergées sur Azure, AWS, GCP et les machines locales.
À compter d’aujourd’hui, nous déployons progressivement une nouvelle solution d’agent améliorée pour le plan. La solution basée sur un agent élimine la nécessité de déployer l’agent Azure Monitor (AMA) et utilise plutôt l’infrastructure SQL existante. La solution est conçue pour faciliter l'intégration et améliorer l'étendue de la protection.
Actions requises du client :
Mettre à jour Defender pour SQL Server sur la configuration du plan Machines : les clients qui ont activé Defender pour SQL Server sur les ordinateurs avant aujourd’hui sont tenus de suivre ces instructions pour mettre à jour leur configuration, en suivant la version améliorée de l’agent.
Vérifiez l’état de protection des instances SQL Server : avec une date de début estimée de mai 2025, les clients doivent vérifier l’état de protection de leurs instances SQL Server dans leurs environnements. Découvrez comment résoudre les problèmes de déploiement de Defender pour SQL sur les machines.
Note
Une fois la mise à niveau de l’agent effectuée, vous pourriez constater une augmentation de votre facturation si des instances SQL Server supplémentaires sont protégées dans le cadre de votre plan Defender activé pour SQL Server sur les machines. Pour plus d’informations sur la facturation, consultez la page de tarification Defender for Cloud.
Nouvelle limite par défaut pour l'analyse des maliciels au téléchargement dans Microsoft Defender pour le stockage
27 avril 2025
La valeur limite par défaut pour l’analyse des programmes malveillants chargés a été mise à jour de 5 000 Go à 10 000 Go. Cette nouvelle limite s’applique aux scénarios suivants :
Nouveaux abonnements : Abonnements dans lesquels Defender pour le stockage est activé pour la première fois.
Abonnements réactivé : Abonnements où Defender pour le stockage a été précédemment désactivé et est désormais réactivé.
Lorsque l'analyse des programmes malveillants de Defender pour le stockage est activée pour ces abonnements, la limite par défaut pour l'analyse des programmes malveillants lors du chargement est fixée à 10 000 Go. Cette limite est réglable pour répondre à vos besoins spécifiques.
Pour plus d’informations, consultez la section sur l’analyse des programmes malveillants : facturation par Go, limitation mensuelle et configuration
Disponibilité générale de l’intégration native de la gestion de la posture de sécurité des API dans le plan CSPM Defender
24 avril 2025
La gestion des postures de sécurité des API est désormais en disponibilité générale dans le cadre du plan CSPM Defender. Cette version introduit un inventaire unifié de vos API, ainsi que des insights de posture, ce qui vous permet d’identifier et de hiérarchiser les risques d’API plus efficacement à partir de votre plan CSPM Defender. Vous pouvez activer cette fonctionnalité via la page Paramètres d’environnement en activant l’extension Posture de sécurité de l’API.
Avec cette mise à jour, de nouveaux facteurs de risque ont été ajoutés, y compris les facteurs de risque pour les API non authentifiées (AllowsAnonymousAccess) et les API qui n’ont pas de chiffrement (UnncryptedAccess). En outre, les API publiées via la Gestion des API Azure autorisent désormais le mappage vers toutes les entrées et les machines virtuelles Kubernetes connectés, ce qui permet d’obtenir une visibilité de bout en bout sur l’exposition des API et de prendre en charge la remédiation des risques grâce à l’analyse du chemin d’attaque.
Améliorations apportées aux alertes Defender pour app service
7 avril 2025
Le 30 avril 2025, les fonctionnalités d’alerte Defender pour App Service seront améliorées. Nous allons ajouter des alertes pour les exécutions de code suspectes et l’accès aux points de terminaison internes ou distants. En outre, nous avons amélioré la couverture et réduit le bruit des alertes pertinentes en développant notre logique et en supprimant les alertes qui causaient un bruit inutile. Dans le cadre de ce processus, l’alerte « Appel de thème WordPress suspect détecté » est déconseillée.
mars 2025
Protection améliorée des conteneurs avec évaluation des vulnérabilités et détection des logiciels malveillants pour les nœuds AKS est maintenant en disponibilité générale
30 mars 2025
Defender pour Cloud fournit désormais l’évaluation des vulnérabilités et la détection des programmes malveillants pour les nœuds dans Azure Kubernetes Service (AKS) en disponibilité générale. Fournir une protection de sécurité pour ces nœuds Kubernetes permet aux clients de maintenir la sécurité et la conformité dans le service Kubernetes managé et de comprendre leur part dans la responsabilité de sécurité partagée qu’ils ont avec le fournisseur de cloud managé. Pour recevoir les nouvelles fonctionnalités, vous devez activer l’analyse sans agent pour les machines » dans le cadre du plan Defender CSPM, Defender pour conteneurs ou Defender pour serveurs P2 sur votre abonnement.
Évaluation des vulnérabilités
Une nouvelle recommandation est désormais disponible dans le portail Azure : les nœuds AKS doivent avoir des résultats de vulnérabilité résolus. À l’aide de cette recommandation, vous pouvez maintenant passer en revue et corriger les vulnérabilités et les cvEs trouvés sur les nœuds Azure Kubernetes Service (AKS).
Détection de programme malveillant
De nouvelles alertes de sécurité sont déclenchées lorsque la fonctionnalité de détection de logiciels malveillants sans agent détecte des logiciels malveillants dans les nœuds AKS. La détection des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter les fichiers malveillants. Quand des menaces sont détectées, des alertes de sécurité sont dirigées vers Defender pour le cloud et Defender XDR, où vous pouvez les examiner et les corriger.
Note: La détection des programmes malveillants pour les nœuds AKS est disponible uniquement pour les environnements Defender pour conteneurs ou Defender pour serveurs P2.
Déploiement progressif Kubernetes (Préversion)
27 mars 2025
Nous présentons la fonctionnalité de déploiement avec contrôle d'accès Kubernetes (Aperçu) dans le plan Defender pour conteneurs. Le déploiement contrôlé par Kubernetes est un mécanisme permettant d’améliorer la sécurité Kubernetes en contrôlant le déploiement d’images conteneur qui violent les stratégies de sécurité organisationnelles.
Cette fonctionnalité est basée sur deux nouvelles fonctionnalités :
- Artefact des découvertes de vulnérabilités : découvertes générées pour chaque image conteneur scannée dans le cadre de l'évaluation des vulnérabilités.
- Règles de sécurité : ajout de règles de sécurité pour alerter ou empêcher le déploiement d’images conteneur vulnérables dans des clusters Kubernetes.
Règles de sécurité personnalisées : les clients peuvent personnaliser les règles de sécurité pour différents environnements, pour les clusters Kubernetes au sein de leur organisation ou pour les espaces de noms, afin d’activer les contrôles de sécurité adaptés aux besoins spécifiques et aux exigences de conformité.
Actions configurables pour une règle de sécurité :
Audit : la tentative de déploiement d’une image conteneur vulnérable déclenche une action « Audit », générant une recommandation avec des détails de violation sur l’image conteneur.
Refuser : la tentative de déploiement d’une image conteneur vulnérable déclenche une action « Refuser » pour empêcher le déploiement de l’image conteneur, ce qui garantit que seules les images sécurisées et conformes sont déployées.
Sécurité de bout en bout : Définition de la protection contre le déploiement d’images conteneur vulnérables comme première règle de sécurité, nous introduisons le mécanisme de gestion sécurisé Kubernetes de bout en bout, ce qui garantit que les conteneurs vulnérables ne entrent pas dans l’environnement Kubernetes du client.
Pour plus d’informations sur cette fonctionnalité, consultez la vue d’ensemble de la solution de déploiement contrôlé.
Filtres d'analyse des programmes malveillants personnalisables lors du téléchargement dans Defender pour le stockage (aperçu)
27 mars 2025
L'analyse des programmes malveillants lors du téléversement prend maintenant en charge les filtres personnalisables. Les utilisateurs peuvent définir des règles d’exclusion pour les analyses de programmes malveillants lors du téléchargement en fonction des préfixes et des suffixes de chemin d’objet blob, ainsi que de la taille de l’objet blob. En excluant des chemins d’accès et des types d’objets blob spécifiques, tels que les journaux ou les fichiers temporaires, vous pouvez éviter les analyses inutiles et réduire les coûts.
Découvrez comment configurer des filtres d’analyse de programmes malveillants personnalisables lors du chargement.
Disponibilité générale pour la prise en charge de l’analyse des machines virtuelles sans agent pour CMK dans Azure
26 mars 2025
L’analyse sans agent des machines virtuelles Azure avec des disques chiffrés CMK est désormais en disponibilité générale. Le plan CSPM Defender et Defender pour serveurs P2 prennent en charge l’analyse sans agent pour les machines virtuelles, désormais avec la prise en charge de CMK dans tous les clouds
Découvrez comment activer l’analyse sans agent pour les machines virtuelles Azure avec des disques chiffrés CMK.
Modification à venir des niveaux de gravité des recommandations
11 mars 2025
Nous améliorons les niveaux de gravité des recommandations pour améliorer l’évaluation et la hiérarchisation des risques. Dans le cadre de cette mise à jour, nous avons réévalué toutes les classifications de gravité et introduit un nouveau niveau — Critique. Auparavant, les recommandations étaient classées en trois niveaux : Faible, Moyen et Élevé. Avec cette mise à jour, il existe désormais quatre niveaux distincts : Faible, Moyen, Élevé et Critique, fournissant une évaluation des risques plus granulaire pour aider les clients à se concentrer sur les problèmes de sécurité les plus urgents.
Par conséquent, les clients peuvent remarquer des modifications dans la gravité des recommandations existantes. En outre, l’évaluation du niveau de risque, disponible pour les clients CSPM Defender uniquement, peut également être affectée, car la gravité des recommandations et le contexte des ressources sont pris en compte. Ces ajustements pourraient affecter le niveau de risque global.
Le changement prévu aura lieu le 25 mars 2025.
Disponibilité générale de la supervision de l’intégrité des fichiers (FIM) basée sur Microsoft Defender pour point de terminaison dans Azure Government
03 mars 2025
La surveillance de l’intégrité des fichiers basée sur Microsoft Defender pour point de terminaison est désormais en disponibilité générale dans Azure Government (GCCH) dans le cadre de Defender pour serveurs Plan 2.
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Cette expérience FIM améliorée remplace l’expérience existante qui sera dépréciée avec la fin de vie de l’agent Log Analytics (MMA). L’expérience FIM sur MMA restera prise en charge dans Azure Government jusqu’à la fin de mars 2023.
Avec cette version, une expérience intégrée au produit sera publiée pour vous permettre de migrer votre configuration FIM via MMA vers la nouvelle version FIM sur Defender for Endpoint.
Pour obtenir des informations sur la façon d’activer FIM via Defender pour Endpoint, consultez Surveillance de l’intégrité des fichiers en utilisant Microsoft Defender pour Endpoint. Pour plus d’informations sur la désactivation des versions précédentes et l’utilisation de l’outil de migration, consultez Migrer la surveillance de l’intégrité des fichiers à partir des versions précédentes.
Important
La disponibilité de la surveillance de l’intégrité des fichiers dans Azure gérée par 21Vianet et dans les clouds GCCM n’est pas actuellement planifiée pour être prise en charge.
Février 2025
| Date | Category | Update |
|---|---|---|
| 27 février | Change | Amélioration de l’affichage du nom de ressource AWS EC2 |
| 27 février | GA | Analyse à la demande des programmes malveillants dans Microsoft Defender pour le stockage |
| 27 février | GA | Analyse des programmes malveillants Defender pour le stockage pour les blobs jusqu’à 50 Go |
| 23 février | Preview | Évaluation des vulnérabilités sans agent et indépendante du registre de conteneurs pour les conteneurs en cours d'exécution AKS (préversion) |
| 23 février | Preview | Tableau de bord de sécurité Données et IA (Préversion) |
| 19 février | Preview | Calculateur de coûts MDC (aperçu) |
| 19 février | Preview | Couverture nouvelle et améliorée de 31 normes réglementaires multicloud |
Amélioration de l’affichage du nom de ressource AWS EC2
27 février 2025
Date estimée pour la modification : Mars 2025
Nous améliorons la façon dont les noms de ressources sont affichés pour les instances AWS EC2 dans notre plateforme. Si une instance EC2 a une balise « name » définie, le champ Nom de la ressource affiche désormais la valeur de cette balise. Si aucune balise « name » n’est présente, le champ Nom de la ressource continue d’afficher l’ID d’instance comme précédemment. L’ID de ressource sera toujours disponible dans le champ ID de ressource pour référence.
L’utilisation de la balise EC2 « name » vous permet d’identifier facilement vos ressources avec des noms personnalisés et explicites au lieu des ID. Cela rend plus rapide la localisation et la gestion d’instances spécifiques, ce qui réduit le temps et l’effort consacré à la recherche ou au référencement croisé des détails de l’instance.
Analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage
27 février 2025
L’analyse des programmes malveillants à la demande dans Microsoft Defender pour le stockage, désormais en disponibilité générale, permet d’analyser les objets blob existants dans les comptes de stockage Azure chaque fois que nécessaire. Vous pouvez lancer des analyses à partir de l’interface utilisateur du Portail Azure ou via l’API REST, et tirer parti de l’automatisation via Logic Apps, des playbooks Automation et des scripts PowerShell. Cette fonctionnalité utilise Microsoft Defender Antivirus avec les dernières définitions de programmes malveillants pour chaque analyse, et fournit une estimation initiale des coûts dans le Portail Azure avant l’analyse.
Cas d’usage :
- Réponse aux incidents : analysez des comptes de stockage spécifiques après la détection d’activités suspectes.
- Base de référence de sécurité : analysez toutes les données stockées lors de la première activation de Defender pour le stockage.
- Conformité : définissez l’automatisation pour planifier des analyses qui permettent de répondre aux normes réglementaires et de protection des données.
Pour plus d’informations, consultez Analyse à la demande des programmes malveillants.
Analyse des programmes malveillants Defender pour le stockage, pour les blobs jusqu’à 50 Go
27 février 2025
L'analyse des programmes malveillants de Defender pour le stockage supporte désormais les blobs d'une taille allant jusqu'à 50 Go (auparavant limitée à 2 Go).
Notez que pour les comptes de stockage où des blobs volumineux sont chargés, l’augmentation de la limite de taille des blobs provoquera des frais mensuels plus élevés.
Pour éviter des frais élevés inattendus, vous pouvez définir un plafond approprié pour le total des Go analysés par mois. Pour plus d’informations, consultez Contrôle des coûts de l’analyse des programmes malveillants lors du chargement.
Évaluation des vulnérabilités sans agent indépendantes du registre de conteneurs pour les conteneurs d’exécution AKS (Préversion)
23 février 2025
Les plans Defender pour Conteneurs et Defender pour la Gestion de la Posture de Sécurité Cloud (CSPM) incluent désormais une évaluation des vulnérabilités sans agent, indépendamment du registre de conteneurs, pour les conteneurs d'exécution AKS. Cette amélioration étend la couverture de l’évaluation des vulnérabilités pour inclure l’exécution de conteneurs avec des images à partir de n’importe quel registre (non limité aux registres pris en charge), en plus de l’analyse des modules complémentaires Kubernetes et des outils tiers s’exécutant dans vos clusters AKS. Pour activer cette fonctionnalité, assurez-vous que l’analyse des machines sans agent est activée pour votre abonnement dans les paramètres d’environnement Defender pour cloud.
Tableau de bord de sécurité des données et de l'IA (version préliminaire)
23 février 2025
Defender for Cloud améliore le tableau de bord de sécurité des données afin d’inclure AI Security avec le nouveau tableau de bord de sécurité Données et IA en préversion. Le tableau de bord fournit une plateforme centralisée pour superviser et gérer les données et les ressources IA, ainsi que leurs risques et leur état de protection associés.
Les avantages clés du tableau de bord de sécurité Données et IA incluent :
- Vue unifiée : obtenez une vue complète de toutes les ressources d’IA et de données organisationnelles.
- Insights sur les données : identifiez l’emplacement de stockage de vos données et les types de ressources qui les conservent.
- Couverture de protection : évaluez la couverture de protection de vos données et ressources IA.
- Problèmes critiques : déterminez les ressources qui nécessitent une attention immédiate en fonction des recommandations, des alertes et des chemins d’attaque à gravité élevée.
- Découverte de données sensibles : recherchez et résumez les ressources de données sensibles dans vos ressources cloud et IA.
- Charges de travail IA : découvrez les empreintes des applications IA, notamment les services, les conteneurs, les jeux de données et les modèles.
Découvrez plus d’informations sur le tableau de bord de sécurité Données et IA.
Calculatrice de coûts MDC (Préversion)
19 février 2025
Nous sommes heureux d’introduire notre nouvelle calculatrice de coûts MDC pour vous aider à estimer facilement les coûts associés à la protection de vos environnements cloud. Cet outil est adapté pour vous fournir une compréhension claire et précise de vos dépenses, ce qui vous permet de planifier et de budgétiser efficacement.
Pourquoi utiliser la calculatrice de coûts ?
Notre calculatrice de coûts simplifie le processus d’estimation des coûts en vous permettant de définir l’étendue de vos besoins de protection. Vous sélectionnez les environnements et les plans que vous souhaitez activer, et la calculatrice remplit automatiquement les ressources facturables pour chaque plan, y compris les remises applicables. Vous avez une vue complète de vos coûts potentiels sans surprise.
Caractéristiques principales :
Définition de l’étendue : Sélectionnez les plans et les environnements qui vous intéressent. La calculatrice effectue un processus de découverte pour remplir automatiquement le nombre d’unités facturables pour chaque plan par environnement.
Ajustements automatiques et manuels : l’outil permet à la fois la collecte automatique de données et les ajustements manuels. Vous pouvez modifier la quantité unitaire et les niveaux de remise pour voir comment les modifications affectent le coût global.
Estimation complète des coûts : la calculatrice fournit une estimation pour chaque plan et un rapport de coût total. Vous obtenez une répartition détaillée des coûts, ce qui facilite la compréhension et la gestion de vos dépenses.
Prise en charge multicloud : Notre solution fonctionne pour tous les clouds pris en charge, ce qui vous permet d’obtenir des estimations de coûts précises, quel que soit votre fournisseur de cloud.
Exporter et partager : une fois que vous avez votre estimation des coûts, vous pouvez facilement l’exporter et la partager pour la planification budgétaire et les approbations.
Couverture nouvelle et améliorée de 31 normes réglementaires multicloud
19 février 2025
Nous sommes heureux d’annoncer la prise en charge améliorée et étendue de plus de 31 cadres réglementaires et de sécurité dans Defender for Cloud dans Azure, AWS et GCP. Cette amélioration simplifie le chemin d’obtention et de maintien de la conformité, réduit le risque de violations de données et permet d’éviter les amendes et les dommages en matière de réputation.
Les cadres nouveaux et améliorés sont les suivants :
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Règlement général sur la protection des données de l’UE (RGPD) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Contrôles CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Cadre de Contrôles de Sécurité des Clients SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certification du Modèle de Maturité en Cybersécurité (CMMC) Niveau 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Fédéral PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matrice des contrôles cloud CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Politique de Sécurité des Services d'Information du Système de Justice Pénale v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Loi générale brésilienne sur la protection des données (LGPD) de 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Loi Sarbanes Oxley (SOX) de 2022 | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Cela rejoint les versions récentes de CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 et CIS Amazon Elastic Kubernetes Service (EKS) v.15 il y a quelques mois.
Pour plus d’informations sur l’offre de conformité réglementaire de Defender for Cloud, en savoir plus>
Janvier 2025
| Date | Category | Update |
|---|---|---|
| 30 janvier | GA | Mettre à jour pour analyser les critères des registres de conteneurs |
| 29 janvier | Change | Améliorations de l'évaluation des vulnérabilités des conteneurs grâce à MDVM |
| 27 janvier | GA | Autorisations ajoutées au connecteur GCP pour prendre en charge les plateformes IA |
| 20 janvier | Change | Améliorations apportées à la recommandation des bases de référence Linux avec GC |
Mettre à jour pour analyser les critères des registres de conteneurs
30 janvier 2025
Nous mettons à jour l’un des critères d’analyse des images de Registre dans la recommandation en préversion pour les images de Registre dans tous les clouds et registres externes (Azure, AWS, GCP, Docker, JFrog).
Ce qui a changé.
Actuellement, nous réanalysons les images pendant 90 jours après qu’elles ont été envoyées à un registre. Ceci sera maintenant modifié pour scanner les 30 derniers jours.
Note
Aucune modification n’est apportée aux recommandations associées en disponibilité générale pour l’évaluation des vulnérabilités (VA) des conteneurs sur les images de registre.
Améliorations apportées à l’analyse de l’évaluation des vulnérabilités des conteneurs, avec MDVM
29 janvier 2025
Nous sommes heureux d’annoncer des améliorations apportées à notre couverture d’analyse des vulnérabilités des conteneurs avec les mises à jour suivantes :
Langages de programmation supplémentaires : prend désormais en charge PHP, Ruby et Rust.
Prise en charge étendue du langage Java : inclut l’analyse des JAR explosés.
Utilisation améliorée de la mémoire : performances optimisées lors de la lecture de fichiers d’image conteneur volumineux.
Autorisations ajoutées au connecteur GCP pour prendre en charge les plateformes IA
27 janvier 2025
Le connecteur GCP dispose désormais d’autorisations supplémentaires pour prendre en charge la plateforme IA GCP (Vertex AI) :
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Améliorations apportées à la recommandation des lignes de base Linux avec GC
20 janvier 2025
Nous améliorons la fonctionnalité Baselines Linux, alimentée par GC, afin d'améliorer sa précision et sa couverture. En février, vous remarquerez peut-être des modifications telles que les noms de règles mis à jour et des règles supplémentaires. Ces améliorations sont destinées à rendre l’évaluation des lignes de base plus précise et à jour. Pour plus d’informations sur les modifications, reportez-vous au blog pertinent.
Certaines des modifications peuvent inclure des modifications supplémentaires en « préversion publique ». Cette mise à jour est bénéfique pour vous et nous voulons vous tenir informé. Si vous préférez, vous pouvez refuser cette recommandation en l’exemptant de votre ressource ou en supprimant l’extension GC.
Décembre 2024
Modifications apportées à l’intervalle d’analyse des connecteurs cloud existants
31 décembre 2024
Au début du mois, une mise à jour a été publiée concernant les options d’intervalle révisées de Defender for Cloud pour l’analyse d’un environnement cloud. Le paramètre d’intervalle d’analyse détermine la fréquence à laquelle les services de découverte de Defender for Cloud analysent vos ressources cloud. Cette modification garantit un processus d’analyse plus équilibré, l’optimisation des performances, et la réduction du risque d’atteinte des limites d’API.
Les paramètres d’intervalle d’analyse des connecteurs cloud AWS et GCP existants seront mis à jour afin de garantir la capacité de Defender for Cloud à analyser vos environnements cloud.
Les ajustements suivants seront effectués :
- Les intervalles actuellement définis entre une et trois heures seront mis à jour et définis sur quatre heures.
- Les intervalles définis à cinq heures seront mis à jour à six heures.
- Les intervalles définis entre sept et 11 heures seront mis à jour et définis sur 12 heures.
- Les intervalles de 13 heures ou plus seront mis à jour à 24 heures.
Si vous préférez un intervalle d’analyse différent, vous pouvez ajuster les connecteurs cloud à l’aide de la page des paramètres d’environnement. Ces modifications seront appliquées automatiquement à tous les clients au début du mois de février 2025, et aucune autre action n’est nécessaire.
Les fonctionnalités d’analyse de sensibilité incluent désormais les partages de fichiers Azure
17 décembre 2024
Les fonctionnalités d’analyse de sensibilité de la gestion de la posture de sécurité cloud (CSPM) de Defender for Cloud incluent désormais les partages de fichiers Azure en disponibilité générale, en plus des conteneurs de blobs.
Avant cette mise à jour, l’activation d’un plan CSPM Defender sur un abonnement aurait automatiquement analysé les conteneurs de blobs dans les comptes de stockage pour rechercher des données sensibles. Grâce à cette mise à jour, la fonctionnalité d’analyse de la sensibilité de CSPM inclut désormais les partages de fichiers dans ces comptes de stockage. Cette amélioration affine l’évaluation des risques et la protection des comptes de stockage sensibles et fournit ainsi une analyse plus complète des risques potentiels.
En savoir plus sur l’analyse de confidentialité.
Intégrer Defender for Cloud CLI à des outils CI/CD populaires
L’intégration de l’analyse CLI Defender for Cloud aux outils CI/CD populaires dans Microsoft Defender for Cloud est désormais disponible en préversion publique. L’interface CLI peut désormais être incorporée dans des pipelines CI/CD pour analyser et identifier les vulnérabilités de sécurité dans le code source conteneurisé. Cette fonctionnalité aide les équipes de développement à détecter et à résoudre les vulnérabilités du code pendant l’exécution du pipeline. Il nécessite l’authentification auprès de Microsoft Defender for Cloud et les modifications apportées au script de pipeline. Les résultats de l’analyse seront chargés dans Microsoft Defender for Cloud, ce qui permet aux équipes de sécurité de les afficher et de les mettre en corrélation avec des conteneurs dans le registre de conteneurs. Cette solution fournit des insights continus et automatisés pour accélérer la détection et la réponse des risques, ce qui garantit la sécurité sans perturber les flux de travail.
Cas d’usage :
- Analyse du pipeline dans les outils CI/CD : surveillez en toute sécurité tous les pipelines qui appellent l’interface CLI.
- Détection anticipée des vulnérabilités : les résultats sont publiés dans le pipeline et envoyés à Microsoft Defender for Cloud.
- Analyses de sécurité continues : maintenez la visibilité et réagissez rapidement dans les cycles de développement sans compromettre la productivité.
Pour plus d’informations, consultez Intégrer Defender for Cloud CLI à des outils CI/CD populaires.
Expérience Installation de Defender for Cloud
10 décembre 2024
L’expérience Installation vous permet de démarrer vos étapes initiales avec Microsoft Defender for Cloud en connectant des environnements cloud tels qu’une infrastructure cloud, des référentiels de code et des registres externes de conteneurs.
Vous êtes accompagné tout au long de l’installation de votre environnement cloud pour protéger vos ressources à l’aide de plans de sécurité avancés, effectuer sans effort des actions rapides pour augmenter la couverture de sécurité à grande échelle, être conscient des problèmes de connectivité et informé des nouvelles fonctionnalités de sécurité. Vous pouvez naviguer dans la nouvelle expérience à partir du menu Defender for Cloud en sélectionnant Installation.
Révision des options d’intervalle pour l’analyse Defender for Cloud d’un environnement cloud
10 décembre 2024
Les options d’intervalle de balayage pour les connecteurs de cloud associés à AWS, GCP, Jfrog et DockerHub ont été révisées. La fonctionnalité d’intervalle de balayage vous permet de contrôler la fréquence à laquelle Defender for Cloud lance une analyse de l’environnement cloud. Vous pouvez définir l’intervalle de balayage sur 4, 6, 12 ou 24 heures lors de l’ajout ou de l’édition d’un connecteur de cloud. L’intervalle de balayage par défaut pour les nouveaux connecteurs continue à être de 12 heures.
Mise à jour de version du client Microsoft Defender for Endpoint est requise pour recevoir l’expérience FIM (File Integrity Monitoring)
Juin 2025
À compter de juin 2025, la surveillance de l’intégrité des fichiers (FIM) nécessite une version minimale du client Defender pour point de terminaison (MDE). Vérifiez que vous disposez des versions minimales suivantes de client pour continuer à bénéficier de l'expérience FIM dans Microsoft Defender for Cloud : pour Windows : 10.8760, pour Linux : 30.124082. En savoir plus
Novembre 2024
Les fonctionnalités d’analyse de sensibilité comprennent désormais les partages de fichiers Azure (version préliminaire)
28 novembre 2024
Les fonctionnalités d’analyse de la sensibilité de la gestion de la posture de sécurité cloud (CSPM) de Defender for Cloud incluent désormais les partages de fichiers Azure (en préversion), en plus conteneurs de blobs.
Avant cette mise à jour, l’activation d’un plan CSPM Defender sur un abonnement aurait automatiquement analysé les conteneurs de blobs dans les comptes de stockage pour rechercher des données sensibles. Grâce à cette mise à jour, la fonctionnalité d’analyse de la sensibilité de CSPM inclut désormais les partages de fichiers dans ces comptes de stockage. Cette amélioration affine l’évaluation des risques et la protection des comptes de stockage sensibles et fournit ainsi une analyse plus complète des risques potentiels.
En savoir plus sur l’analyse de confidentialité.
Modifications du consentement de l’étiquette de confidentialité
26 novembre 2024
Vous n’avez plus besoin de sélectionner le bouton de consentement dédié sous la section « Protection des informations » dans la page « Étiquettes », pour tirer parti des types d’informations personnalisés et des étiquettes de confidentialité configurées dans le portail Microsoft 365 Defender ou le portail Microsoft Purview.
Avec cette modification, tous les types d’informations personnalisés et étiquettes de confidentialité sont automatiquement importés dans le portail Microsoft Defender for Cloud.
En lire plus sur Personnalisation des paramètres de confidentialité des données.
Modifications apportées aux libellés de sensibilité
26 novembre 2024
Jusqu’à récemment, Defender for Cloud a importé toutes les étiquettes de confidentialité à partir du portail Microsoft 365 Defender qui répondent aux deux conditions suivantes :
- Étiquettes de confidentialité dont l’étendue est définie sur « Éléments -> Fichiers » ou « Éléments -> e-mails », sous la section « Définir l’étendue de votre étiquette » dans la section Information Protection.
- L’étiquette de sensibilité a une règle d’étiquetage automatique configurée.
Depuis le 26 novembre 2024, les noms des périmètres d'étiquettes de sensibilité dans l'interface utilisateur ont été mis à jour à la fois dans le portail Microsoft 365 Defender et dans le portail Microsoft Purview. Defender for Cloud importera désormais uniquement des étiquettes de confidentialité avec l’étendue « Fichiers et autres ressources de données » appliquée. Defender for Cloud n’importe plus d’étiquettes avec l’étendue « E-mails » appliquée à ces étiquettes.
Note
Les étiquettes qui ont été configurées avec « Éléments -> Fichiers » avant que cette modification ne soit automatiquement migrée vers la nouvelle étendue « Fichiers et autres ressources de données ».
Découvrez comment configurer les étiquettes de confidentialité.
Analyse des programmes malveillants Defender pour le stockage pour les blobs jusqu’à 50 Go (préversion)
25 novembre 2024
Date estimée du changement : 1er décembre 2024
À compter du 1er décembre 2024, l’analyse des programmes malveillants Defender pour le stockage prend en charge les blobs dont la taille peut atteindre 50 Go (taille auparavant limitée à 2 Go).
Notez que pour les comptes de stockage où des blobs volumineux sont chargés, l’augmentation de la limite de taille des blobs provoquera des frais mensuels plus élevés.
Pour éviter des frais élevés inattendus, vous pouvez définir un plafond approprié sur le total de Go analysés par mois. Pour plus d’informations, consultez Contrôle des coûts de l’analyse des programmes malveillants lors du chargement.
Versions actualisées des normes CIS pour les environnements Kubernetes managés et nouvelles recommandations
19 novembre 2024
Le tableau de bord de conformité réglementaire de Defender pour le cloud propose désormais des versions actualisées des normes du Center for Internet Security (CIS) pour évaluer la posture de sécurité des environnements Kubernetes managés.
Depuis le tableau de bord, vous pouvez attribuer les normes suivantes à vos ressources Kubernetes AWS/EKS/GKE :
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Pour garantir la meilleure profondeur possible de couverture pour ces normes, nous avons enrichi notre couverture en publiant également 79 nouvelles recommandations centrées sur Kubernetes.
Pour utiliser ces nouvelles recommandations, vous pouvez soit assigner les normes énumérées ci-dessus, soit créer une norme personnalisée et y inclure une ou plusieurs des nouvelles évaluations.
Avant-première publique des événements de processus du cloud Kubernetes en chasse avancée
Nous annonçons la version préliminaire des événements de processus du cloud Kubernetes en repérage avancé. Cette intégration puissante fournit des informations détaillées sur les événements de processus Kubernetes se produisant dans vos environnements multicloud. Vous pouvez l'utiliser pour découvrir les menaces qui peuvent être observées à travers les détails des processus, tels que les processus malveillants invoqués dans votre infrastructure en cloud. Pour plus d’informations, consultez CloudProcessEvents.
Dépréciation de la fonctionnalité BYOL (apportez votre propre licence) dans la gestion des vulnérabilités
19 novembre 2024
Date estimée de la modification :
3 février 2025 : la fonctionnalité ne sera plus disponible pour l’intégration de nouvelles machines et de nouveaux abonnements.
1er mai 2025 : la fonctionnalité sera totalement déconseillée et ne sera plus disponible.
Dans le cadre de nos efforts d’amélioration de l’expérience de sécurité Defender pour le cloud, nous rationalisons nos solutions d’évaluation des vulnérabilités. Nous supprimons la fonctionnalité « Bring Your Own License » dans Defender pour le cloud. Vous allez maintenant utiliser les connecteurs de gestion de l'exposition de Microsoft Security pour une solution plus fluide, intégrée et complète.
Nous vous recommandons de passer à la nouvelle solution de connecteur dans Microsoft Security Exposure Management. Notre équipe est là pour vous accompagner dans cette transition.
Pour plus d'informations sur l'utilisation des connecteurs, voir Vue d'ensemble de la connexion des sources de données dans Sécurité – Gestion de l’exposition – Sécurité Microsoft – Gestion de l’exposition.
Analyse de code sans agent dans Microsoft Defender pour le cloud (préversion)
19 novembre 2024
L’analyse de code sans agent dans Microsoft Defender pour le cloud est désormais disponible en préversion publique. Elle offre une sécurité rapide et évolutive pour tous les référentiels dans les organisations Azure DevOps avec un seul connecteur. Cette solution aide les équipes de sécurité à trouver et à corriger les vulnérabilités dans les configurations de code et d’infrastructure en tant que code (IaC) dans des environnements Azure DevOps. Elle ne nécessite aucun agent, aucune modification des pipelines et aucune interruption des workflows des développeurs, ce qui simplifie la configuration et la maintenance. Elle fonctionne indépendamment des pipelines d’intégration continue et de déploiement continu (CI/CD). La solution fournit des insights continus et automatisés pour accélérer la détection de risque et la réponse, assurant ainsi la sécurité sans interrompre les workflows.
Cas d’usage :
- Analyse à l’échelle de l’organisation : Vous pouvez surveiller en toute sécurité tous les dépôts dans les organisations Azure DevOps avec un seul connecteur.
- Détection anticipée des vulnérabilités : trouvez rapidement les risques liés au code et à l’IaC pour une gestion proactive des risques.
- Insights continus sur la sécurité : maintenez la visibilité sur l’ensemble des cycles de développement et répondez rapidement sans affecter la productivité.
Pour plus d’informations, consultez Analyse de code sans agent dans Microsoft Defender pour le cloud.
Analyse à la demande de malware dans Microsoft Defender pour le stockage (version préliminaire)
19 novembre 2024
L’analyse à la demande des programmes malveillants dans Microsoft Defender pour le stockage, désormais en préversion publique, permet d’analyser les blobs existants dans les comptes Stockage Azure chaque fois que cela est nécessaire. Vous pouvez lancer des analyses à partir de l’interface utilisateur du Portail Azure ou via l’API REST, et tirer parti de l’automatisation via Logic Apps, des playbooks Automation et des scripts PowerShell. Cette fonctionnalité utilise Microsoft Defender Antivirus avec les dernières définitions de programmes malveillants pour chaque analyse, et fournit une estimation initiale des coûts dans le Portail Azure avant l’analyse.
Cas d’usage :
- Réponse aux incidents : analysez des comptes de stockage spécifiques après la détection d’activités suspectes.
- Base de référence de sécurité : analysez toutes les données stockées lors de la première activation de Defender pour le stockage.
- Conformité : définissez l’automatisation pour planifier des analyses qui permettent de répondre aux normes réglementaires et de protection des données.
Pour plus d’informations, consultez Analyse à la demande des programmes malveillants.
Prise en charge du registre de conteneurs JFrog Artifactory par Defender pour les conteneurs (préversion)
18 novembre 2024
Cette fonctionnalité étend la prise en charge des registres externes par Microsoft Defender pour les conteneurs à JFrog Artifactory. Vos images conteneur JFrog Artifactory sont analysées avec Microsoft Defender Vulnerability Management pour identifier les menaces de sécurité et atténuer les risques de sécurité.
La gestion de la posture de sécurité de l’IA est désormais en disponibilité générale (GA)
18 novembre 2024
Les fonctionnalités de gestion de la posture de sécurité de l’IA de Defender pour le cloud sont désormais en disponibilité générale (GA).
Defender pour le cloud réduit les risques liés aux charges de travail IA dans le cloud en effectuant les opérations suivantes :
À la découverte de la liste de matériaux de l'IA générative (Bill of Materials, BOM), qui inclut des composants d'application, des données et des éléments d'IA, depuis le code jusqu'au cloud.
Renforcement de la posture de sécurité des applications IA générative avec des recommandations intégrées et en explorant et en corrigeant les risques de sécurité.
Utilisation de l’analyse du chemin d’attaque pour identifier et corriger les risques.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
Protection des actifs critiques dans Microsoft Defender pour le cloud
18 novembre 2024
Aujourd'hui, nous sommes heureux d'annoncer la disponibilité générale de la protection des actifs critiques dans Microsoft Defender pour le cloud. Cette fonctionnalité permet aux administrateurs de la sécurité d’étiqueter les ressources « crown jewel » les plus critiques pour leurs organisations, ce qui permet à Defender pour le cloud de leur fournir le niveau de protection le plus élevé et de donner la priorité aux problèmes de sécurité sur ces ressources. En savoir plus sur la protection des ressources critiques.
Parallèlement à la version de disponibilité générale, nous développons également la prise en charge de l’étiquetage des ressources d’identité Kubernetes et non humaines.
Protection améliorée des ressources critiques pour les conteneurs
18 novembre 2024
La protection des ressources critiques est étendue pour prendre en charge des cas d’usage supplémentaires pour les conteneurs.
Les utilisateurs peuvent désormais créer des règles personnalisées qui marquent les actifs gérés par Kubernetes (charges de travail, conteneurs, etc.) comme critiques en fonction de l'espace de noms Kubernetes de l'actif et/ou de l'étiquette Kubernetes de l'actif.
Comme pour d'autres cas d'utilisation de la protection des actifs critiques, Microsoft Defender pour le cloud prend en compte la criticité des actifs pour la priorisation des risques, l'analyse du chemin d'attaque et l'explorateur de sécurité.
Améliorations apportées à la détection et à la réponse aux menaces de conteneur
18 novembre 2024
Microsoft Defender pour le cloud offre une série de nouvelles fonctionnalités permettant aux équipes SOC de s’attaquer aux menaces liées aux conteneurs dans les environnements natifs Cloud avec plus de rapidité et de précision. Ces améliorations comprennent Threat Analytics, les capacités GoHunt, la réponse guidée Microsoft Security Copilot et les actions de réponse natives du cloud pour les pods Kubernetes.
Présentation des actions de réponse conçues pour le cloud pour les pods Kubernetes (version préliminaire)
Defender pour le cloud offre désormais des actions de réponse multiclouds pour les pods Kubernetes, accessibles exclusivement à partir du portail Defender XDR. Ces fonctionnalités améliorent la réponse aux incidents pour les clusters AKS, EKS et GKE.
Les nouvelles actions de réponse sont les suivantes :
Isolation réseau : bloque instantanément tout le trafic vers un pod, empêchant le déplacement latéral et l’exfiltration des données. Nécessite la configuration d’une stratégie réseau sur votre cluster Kubernetes.
Arrêt du pod : arrêt rapide des pods suspects, arrêt de l’activité malveillante sans perturber l’application plus large.
Ces actions permettent aux équipes SOC de contenir efficacement les menaces dans les environnements cloud.
Rapport Threat Analytics pour les conteneurs
Nous introduisons un rapport dédié Threat Analytics, conçu pour fournir une visibilité complète sur les menaces ciblant les environnements conteneurisés. Ce rapport fournit aux équipes SOC les informations nécessaires pour détecter et répondre aux derniers modèles d'attaques sur les clusters AKS, EKS et GKE.
Points forts :
- Analyse détaillée des principales menaces et des techniques d'attaque associées dans les environnements Kubernetes.
- Des suggestions concrètes pour renforcer votre posture de sécurité native Cloud et atténuer les risques émergents.
GoHunt pour les pods Kubernetes et les ressources Azure
GoHunt étend désormais ses capacités de chasse aux pods Kubernetes et aux ressources Azure, au sein du portail Defender XDR. Cette fonctionnalité améliore la chasse aux menaces proactive, permettant aux analystes SOC de mener des enquêtes approfondies sur les charges de travail natives du cloud.
Fonctionnalités clés :
- Des capacités de requête avancées pour détecter les anomalies dans les pods Kubernetes et les ressources Azure, offrant un contexte plus riche pour l'analyse des menaces.
- Intégration transparente avec les entités Kubernetes pour une chasse aux menaces et une investigation efficaces.
Réponse guidée de Security Copilot pour les pods Kubernetes
Présentation de Guided Response pour les pods Kubernetes, une fonctionnalité alimentée par Security Copilot. Cette nouvelle fonctionnalité fournit en temps réel des conseils étape par étape, aidant les équipes SOC à répondre rapidement et efficacement aux menaces liées aux conteneurs.
Principaux avantages :
- Des playbooks de réponse contextuelle adaptés aux scénarios d'attaque Kubernetes courants.
- Support expert en temps réel de Security Copilot, comblant le fossé des connaissances et permettant une résolution plus rapide.
L’intégration native de l’API Gestion de l’état de sécurité dans le plan CSPM de Defender est désormais disponible en préversion publique
15 novembre 2024
Les fonctionnalités de l’API de gestion de l’état de sécurité (Préversion) sont désormais incluses dans le plan CSPM Defender et peuvent être activées via des extensions dans le plan sous la page des paramètres de l’environnement. Pour plus d’informations, consultez Améliorer la posture de sécurité de votre API (préversion).
Protection améliorée des conteneurs avec évaluation des vulnérabilités et détection des logiciels malveillants pour les nœuds AKS (préversion)
13 novembre 2024
Defender pour le cloud propose désormais des fonctionnalités d’évaluation des vulnérabilités et de détection des logiciels malveillants pour les nœuds dans Azure Kubernetes Service (AKS), et offre aux clients des informations claires sur leur part de responsabilité partagée en matière de sécurité avec le fournisseur de cloud managé.
La protection de ces nœuds Kubernetes permet aux clients de maintenir le niveau de sécurité et de conformité à l’échelle du service Kubernetes managé.
Pour bénéficier des nouvelles fonctionnalités, vous devez activer l’option d’analyse sans agent des machines dans CSPM Defender, Defender pour les conteneurs ou Defender pour serveurs (Plan 2) de votre abonnement.
Évaluation des vulnérabilités
Une nouvelle recommandation est désormais disponible dans le Portail Azure : AKS nodes should have vulnerability findings resolved. Grâce à cette recommandation, vous pouvez désormais passer en revue et corriger les vulnérabilités et risques courants (CVE) détectés sur les nœuds Azure Kubernetes Service (AKS).
Détection de programme malveillant
De nouvelles alertes de sécurité sont déclenchées lorsque la fonctionnalité de détection de logiciels malveillants sans agent détecte des logiciels malveillants dans les nœuds AKS.
La détection des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter les fichiers malveillants. Quand des menaces sont détectées, des alertes de sécurité sont dirigées vers Defender pour le cloud et Defender XDR, où vous pouvez les examiner et les corriger.
Important
La détection des logiciels malveillants pour les nœuds AKS est disponible uniquement pour les environnements avec Defender pour les conteneurs ou Defender pour serveurs P2.
Documentation sur les alertes et l’outil de simulation améliorés Kubernetes (K8s)
7 novembre 2024
Fonctionnalités clés
- Documentation sur les alertes basées sur des scénarios : les alertes K8s sont désormais documentées en fonction de scénarios réels, fournissant des conseils plus clairs sur les menaces potentielles et les actions recommandées.
- Intégration de Microsoft Defender for Endpoint (MDE) : les alertes sont enrichies avec des informations de contexte et de menace supplémentaires de MDE, ce qui vous permet de répondre efficacement.
- Nouvel outil de simulation : un outil de simulation puissant est disponible pour tester l’état de la sécurité en simulant divers scénarios d’attaque et en générant les alertes correspondantes.
Benefits
- Meilleure compréhension des alertes : la documentation basée sur des scénarios fournit une compréhension plus intuitive des alertes K8s.
- Réponse améliorée aux menaces : les alertes sont enrichies avec un contexte précieux, ce qui permet des réponses plus rapides et plus précises.
- Test de sécurité proactif : le nouvel outil de simulation vous permet de tester vos défenses de sécurité et d’identifier les vulnérabilités potentielles avant qu’elles ne soient exploitées.
Prise en charge améliorée de la classification des données sensibles de l'API
6 novembre 2024
Microsoft Defender pour le cloud étend les capacités de classification des données sensibles de la sécurité API au chemin d'accès de l’URL de l'API et aux paramètres de requête ainsi qu'aux demandes et réponses de l'API, y compris la source des informations sensibles trouvées dans les propriétés de l'API. Ces informations seront disponibles dans l’expérience d’analyse du chemin d’attaque, la page Détails supplémentaires de Cloud Security Explorer lorsque les opérations gestion des API avec des données sensibles sont sélectionnées et, dans le tableau de bord de sécurité des API, sous la page des détails de la collecte des charges de travail, avec un nouveau menu contextuel côté qui fournit des insights détaillés sur les données sensibles trouvées, permettre aux équipes de sécurité de localiser et atténuer efficacement les risques d’exposition aux données.
Note
Ce changement comprendra un déploiement unique pour les clients existants de Defender for APIs et Defender CSPM.
Nouvelle prise en charge du mappage des points de terminaison de la Gestion des API Azure avec le calcul backend
6 novembre 2024
La posture de sécurité API de Defender pour le cloud prend désormais en charge le mappage des points de terminaison API publiés via Azure API Management Gateway vers les ressources de calcul de back-end, telles que les machines virtuelles, dans le Cloud Security Explorer de Defender Cloud Security Posture Management (Defender CSPM). Cette visibilité permet d'identifier le trafic API acheminé vers des destinations de calcul en cloud, ce qui vous permet de détecter et de traiter les risques d'exposition associés aux points d'extrémité API et aux ressources backend connectées.
Prise en charge améliorée de la sécurité des API pour les déploiements de gestion des API Azure multirégions et la gestion des révisions d’API
6 novembre 2024
La couverture de la sécurité des API dans Defender pour le cloud aura désormais une prise en charge complète des déploiements multirégions de Gestion des API Azure, notamment la posture de sécurité complète et la prise en charge de la détection des menaces dans les régions primaires et secondaires
L'activation et la désactivation des API vers Defender pour APIs seront désormais gérées au niveau de l'API de gestion des API Azure. Toutes les révisions Gestion des API Azure associées seront automatiquement incluses dans le processus, ce qui élimine la nécessité de gérer l’intégration et le débarquement pour chaque révision d’API individuellement.
Cette modification inclut un déploiement unique auprès des clients existants de Defender pour les API.
Détails du déploiement :
- Le déploiement aura lieu au cours de la semaine du 6 novembre pour les clients existants de Defender for APIs.
- Si la révision « actuelle » d’une API Gestion des API Azure est déjà intégrée à Defender pour les API, toutes les révisions associées pour cette API seront également automatiquement intégrées à Defender pour les API.
- Si la révision « actuelle » d’une API Gestion des API Azure n’est pas intégrée à Defender pour les API, toutes les révisions d’API associées qui ont été intégrées à Defender pour les API seront désactivées.
Octobre 2024
L’expérience de migration de MMA est désormais disponible.
28 octobre 2024
Vous pouvez maintenant faire en sorte que tous vos environnements soient entièrement préparés pour la dépréciation prévue de l’agent Log Analytics (MMA) attendue fin novembre 2024.
Defender pour le cloud a ajouté une nouvelle expérience qui vous permet de prendre des mesures à grande échelle pour tous vos environnements affectés :
- Ce sont des prérequis manquants, qui sont nécessaires pour bénéficier de la couverture de sécurité complète offerte par Defender pour serveurs Plan 2.
- Qui sont connectés à Defender pour serveurs Plan 2 avec l’approche d’intégration héritée via l’espace de travail Log Analytics.
- Qui utilisent l’ancienne version du Monitoring d’intégrité de fichier (FIM) avec l’agent Log Analytics (MMA) ; ils doivent migrer vers la nouvelle version améliorée de FIM avec Defender for Endpoint (MDE)..
Découvrez comment utiliser la nouvelle expérience de migration de MMA.
Les résultats de sécurité pour les dépôts GitHub sans GitHub Advanced Security sont maintenant en disponibilité générale
21 octobre 2024
La possibilité de recevoir des résultats de sécurité pour les configurations incorrectes de l’infrastructure en tant que code (IaC), les vulnérabilités de conteneur et les faiblesses de code pour les dépôts GitHub sans GitHub Advanced Security est maintenant en disponibilité générale.
Notez que l’analyse des secrets, l’analyse du code à l’aide de GitHub CodeQL et l’analyse des dépendances nécessitent toujours l’analyse avancée GitHub.
Pour en savoir plus sur les licences requises, consultez la page de support DevOps. Pour savoir comment intégrer votre environnement GitHub à Defender pour le cloud, suivez le Guide d’intégration GitHub. Pour savoir comment configurer Microsoft Security DevOps GitHub Action, consultez notre documentation GitHub Action.
Dépréciation de trois normes de conformité
14 octobre 2024
Date estimée du changement : 17 novembre 2024
Trois normes de conformité sont supprimées du produit :
- SWIFT CSP-CSCF v2020 (pour Azure) : cette version a été remplacée par la version v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 et v1.3.0 – Nous avons deux versions plus récentes disponibles (v1.4.0 et v2.0.0)
Explorez plus en détail les normes de conformité disponibles dans Defender pour le cloud dans Normes de conformité disponibles.
Dépréciation de trois normes Defender pour le cloud
8 octobre 2024
Date estimée du changement : 17 novembre 2024
Pour simplifier la gestion de Defender pour le cloud avec des comptes AWS et des projets GCP, nous supprimons les trois normes Defender pour le cloud suivantes :
- Pour AWS - AWS CSPM
- Pour GCP - GCP CSPM et GCP par défaut
La norme par défaut, Microsoft Cloud Security Benchmark (MCSB), contient désormais toutes les évaluations qui étaient uniques à ces normes.
Détection de dérive binaire publiée en disponibilité générale
9 octobre 2024
La détection de dérive binaire est maintenant publiée en disponibilité générale dans le plan Defender pour les conteneurs. Notez que la détection de dérive binaire fonctionne maintenant sur toutes les versions AKS.
Mise à jour des recommandations du runtime des conteneurs (préversion)
6 octobre 2024
Les recommandations sur la préversion pour « Les vulnérabilités des conteneurs fonctionnant dans AWS/Azure/GCP doivent être résolues » sont mises à jour pour regrouper tous les conteneurs qui font partie de la même charge de travail en une seule recommandation, ce qui réduit les doublons et évite les fluctuations dues aux nouveaux conteneurs et à ceux qui sont terminés.
Depuis le 6 octobre 2024, les ID d’évaluation suivants sont remplacés pour ces recommandations :
| Recommendation | ID d’évaluation précédente | Nouvel ID d’évaluation |
|---|---|---|
| -- | -- | -- |
| Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans Azure doivent être résolus | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans AWS doivent être résolus | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans GCP doivent être résolus | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Si vous recevez actuellement des rapports de vulnérabilité à partir de ces recommandations via l’API, veuillez vous assurer de mettre à jour l’appel d’API avec le nouvel ID d’évaluation.
Informations sur l’identité et l’accès à Kubernetes dans le graphique de sécurité (aperçu)
6 octobre 2024
Les informations sur l’identité et l’accès à Kubernetes sont ajoutées au graphique de sécurité, notamment les nœuds qui représentent toutes les entités liées au contrôle d’accès en fonction du rôle (RBAC) de Kubernetes (comptes de service, rôles, liaisons de rôle, etc.) et les périphéries qui représentent les autorisations entre les objets Kubernetes. Les clients peuvent désormais interroger le graphique de sécurité pour leur RBAC Kubernetes et les relations entre les entités Kubernetes (Peut s’authentifier en tant que, Peut usurper l’identité de, Attribue un rôle, Accès défini par, Attribue l’accès à, A la permission de, etc.)
Chemins d’attaque basés sur les informations d’identité et d’accès à Kubernetes (préversion)
6 octobre 2024
En utilisant les données RBAC de Kubernetes dans le graphique de sécurité, Defender pour le cloud détecte désormais les mouvements latéraux Kubernetes, Kubernetes vers le cloud et dans Kubernetes. Il signale d’autres chemins d’attaque où les attaquants peuvent exploiter les autorisations de Kubernetes et du cloud pour effectuer des mouvements latéraux vers, depuis et dans les clusters Kubernetes.
Amélioration de l’analyse du chemin d’attaque pour les conteneurs
6 octobre 2024
Le nouveau moteur d’analyse de chemin d’attaque publié en novembre dernier prend dorénavant aussi en charge les cas d’utilisation des conteneurs, en détectant dynamiquement de nouveaux types de chemins d’attaque dans les environnements cloud en fonction des données ajoutées au graphique. Nous pouvons ainsi trouver davantage de chemins d’attaque pour les conteneurs et détecter des schémas d’attaque plus complexes et sophistiqués utilisés par les attaquants pour infiltrer les environnements cloud et Kubernetes.
Découverte complète des images de conteneurs dans les registres pris en charge
6 octobre 2024
Defender pour le cloud collecte désormais des données d’inventaire pour toutes les images de conteneurs dans les registres pris en charge, ce qui permet une visibilité complète dans le graphique de sécurité sur toutes les images dans vos environnements cloud, y compris les images qui n’ont actuellement aucune recommandation de posture.
Les fonctionnalités d’interrogation via Cloud Security Explorer ont été améliorées et les utilisateurs peuvent désormais rechercher des images de conteneurs en fonction de leurs métadonnées (digest, référentiel, système d’exploitation, étiquette, etc.)
Inventaire logiciel des conteneurs avec Cloud Security Explorer
6 octobre 2024
Les clients peuvent désormais obtenir une liste des logiciels installés dans leurs conteneurs et dans leurs images de conteneurs via Cloud Security Explorer. Cette liste peut également être utilisée pour obtenir rapidement d’autres informations sur l’environnement client, comme par exemple la recherche de tous les conteneurs et images de conteneurs avec un logiciel affecté par une vulnérabilité 0-jour, avant même la publication d’un CVE.
Septembre 2024
Améliorations de l’expérience de l’explorateur de sécurité cloud
22 septembre 2024
Date estimée de la modification : octobre 2024
Cloud Security Explorer a été conçu pour améliorer les performances et la fonctionnalité de la grille, fournir davantage d’enrichissement de données sur chaque ressource cloud, améliorer les catégories de recherche et améliorer le rapport d’exportation CSV avec plus d’informations sur les ressources cloud exportées.
Disponibilité générale de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint
18 septembre 2024
La nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender for Endpoint est désormais en disponibilité générale dans le cadre de Defender pour serveurs Plan 2. FIM vous permet de :
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Cette expérience FIM améliorée remplace l’expérience existante qui sera dépréciée avec la fin de vie de l’agent Log Analytics (MMA). L’expérience FIM via MMA restera prise en charge jusqu’à la fin novembre 2024.
Avec cette version, une expérience intégrée au produit est publiée pour vous permettre de migrer votre configuration FIM via MMA vers la nouvelle version FIM sur Defender for Endpoint.
Pour obtenir des informations sur la façon d’activer FIM via Defender pour Endpoint, consultez Surveillance de l’intégrité des fichiers en utilisant Microsoft Defender pour Endpoint. Pour savoir comment désactiver les versions précédentes, veuillez consulter la section Migrer la surveillance de l’intégrité des fichiers depuis les versions précédentes.
L’expérience de migration FIM est disponible dans Defender pour le cloud
18 septembre 2024
Une expérience intégrée au produit est publiée pour vous permettre de migrer votre configuration FIM via MMA vers la nouvelle version FIM sur Defender for Endpoint. Avec cette expérience, vous pouvez :
- Passer en revue l’environnement affecté avec l’ancienne version de FIM activée via MMA et nécessitant une migration.
- Exporter vos règles FIM actuelles de l’expérience basée sur MMA et les conserver dans des espaces de travail.
- Migrer vers des abonnements P2 activés avec le nouveau FIM sur MDE.
Pour utiliser l’expérience de migration, accédez au volet Paramètres de l’environnement et sélectionnez le bouton de migration MMA dans la ligne supérieure.
Abandon de la capacité d’approvisionnement automatique du MMA
18 septembre 2024 Dans le cadre de la mise hors service de l’agent MMA, la capacité d’approvisionnement automatique qui permet l’installation et la configuration de l’agent pour les clients MDC sera également abandonnée en 2 étapes :
Fin septembre 2024 : l’approvisionnement automatique de MMA sera désactivé pour les clients qui n’utilisent plus cette capacité, ainsi que pour les abonnements nouvellement créés. Après la fin du mois de septembre, il ne sera plus possible de réactiver cette capacité sur ces abonnements.
Fin novembre 2024 : l’approvisionnement automatique de MMA sera désactivé pour les abonnements qui ne l’ont pas encore désactivé. À partir de ce moment, il ne sera plus possible de réactiver cette capacité sur les abonnements existants.
Intégration à Power BI
15 septembre 2024
Defender pour le cloud peut désormais s’intégrer à Power BI. Cette intégration vous permet de créer des rapports et tableaux de bord personnalisés en utilisant les données de Defender pour le cloud. Vous pouvez utiliser Power BI pour visualiser et analyser votre posture de sécurité, votre conformité et vos recommandations de sécurité.
En savoir plus sur la nouvelle intégration avec Power BI.
Mise à jour des exigences réseau multicloud CSPM
11 septembre 2024
Date estimée de la modification : octobre 2024
À partir d'octobre 2024, nous ajouterons davantage d'adresses IP à nos services de découverte multicloud afin de tenir compte des améliorations et de garantir une expérience plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à partir de nos services, vous devez mettre à jour votre liste d’autorisation IP avec les nouvelles plages fournies ici. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement. La liste est suffisante pour la pleine capacité de l’offre de base (gratuite) de CSPM.
Obsolescence des fonctionnalités de Defender pour serveurs
9 septembre 2024
Les contrôles d’application adaptatifs et le renforcement adaptatif du réseau sont désormais dépréciés.
Le cadre national de sécurité espagnol (Esquema Nacional de Seguridad (ENS)) ajouté au tableau de bord de conformité réglementaire pour Azure
9 septembre 2024
Les organisations qui souhaitent vérifier la conformité de leurs environnements Azure avec la norme ENS peuvent désormais le faire à l’aide de Defender pour le cloud.
La norme ENS s’applique à l’ensemble du secteur public en Espagne, ainsi qu’aux fournisseurs collaborant avec l’administration. Elle établit des principes de base, des exigences et des mesures de sécurité pour protéger les informations et services traités électroniquement. L’objectif est de garantir l’accès, la confidentialité, l’intégrité, la traçabilité, l’authenticité, la disponibilité et la conservation des données.
Consulter la liste complète des normes de conformité prises en charge.
Corrigez les recommandations de mises à jour et de correctifs système sur vos machines
8 septembre 2024
Vous pouvez désormais corriger les recommandations de mises à jour et de correctifs système sur vos machines Azure Arc activées et vos machines virtuelles Azure. Les mises à jour et correctifs système sont essentiels pour assurer la sécurité et la santé de vos machines. Les mises à jour contiennent souvent des correctifs de sécurité pour des vulnérabilités qui, si elles ne sont pas corrigées, sont exploitables par des attaquants.
Les informations sur les mises à jour manquantes des machines sont désormais recueillies à l’aide du Gestionnaire de mise à jour Azure.
Afin de maintenir la sécurité de vos machines pour les mises à jour et correctifs système, vous devrez activer les paramètres de mise à jour périodique des évaluations sur vos machines.
Apprenez comment Corriger les recommandations de mises à jour et de correctifs système sur vos machines.
L’intégration de ServiceNow inclut désormais le module de conformité des configurations
4 septembre 2024
L’intégration du plan CSPM de Defender pour le cloud avec ServiceNow inclut désormais le module de conformité des configurations de ServiceNow. Cette fonctionnalité vous permet d’identifier, de prioriser et de remédier aux problèmes de configuration dans vos ressources cloud tout en réduisant les risques de sécurité et en améliorant votre posture de conformité globale grâce à des workflows automatisés et des informations en temps réel.
Pour en savoir plus, veuillez consulter la section Intégration de ServiceNow avec Defender pour le cloud.
Le plan de protection du stockage par transaction de Defender for Storage (classique) n’est plus disponible pour les nouveaux abonnements
4 septembre 2024
Date estimée du changement : 5 février 2025
Après le 5 février 2025, vous ne pourrez plus activer le plan de protection du stockage par transaction de Defender pour le stockage (classique), sauf s’il est déjà activé dans votre abonnement. Pour plus d’informations, veuillez consulter la section Passer au nouveau plan Defender pour le stockage.
La configuration invité Azure Policy est désormais en disponibilité générale (GA)
1 septembre 2024
La configuration invité Azure Policy de Defender pour serveurs est désormais en disponibilité générale (GA) pour tous les clients multicloud de Defender for Servers Plan 2. La configuration des invités fournit une expérience unifiée pour la gestion des bases de référence de sécurité dans l’ensemble de votre environnement. Elle vous permet d’évaluer et de faire appliquer les configurations de sécurité sur vos serveurs, y compris les machines Windows et Linux, les VM Azure, les instances AWS EC2 et GCP.
Apprenez comment activer la configuration de la machine Azure Policy dans votre environnement.
Aperçu du support du registre de conteneurs Docker Hub par Defender pour les conteneurs
1 septembre 2024
Nous introduisons l’aperçu public de l’extension de la couverture de Microsoft Defender pour les conteneurs pour inclure des registres externes, en commençant par les registres de conteneurs Docker Hub. Dans le cadre de la gestion de la posture de sécurité cloud de votre organisation, l’extension de la couverture aux registres de conteneurs Docker Hub offre les avantages de l’analyse de vos images de conteneurs Docker Hub à l’aide de Microsoft Defender Vulnerability Management pour identifier les menaces de sécurité et atténuer les risques potentiels.
Pour plus d’informations sur cette fonctionnalité, veuillez consulter la section Évaluation des vulnérabilités pour Docker Hub.
Août 2024
| Date | Category | Update |
|---|---|---|
| 28 août | Preview | Nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender pour Endpoint |
| Août 22 | Dépréciation à venir | Mise hors service de l’intégration des alertes Defender pour le cloud aux alertes Azure WAF |
| 1er août | GA | Activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle |
Nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender pour Endpoint
28 août 2024
La nouvelle version de la surveillance de l’intégrité des fichiers basée sur Microsoft Defender pour Endpoint est désormais disponible en publiquement en préversion. Elle fait partie de Defender for Servers Plan 2. L’application vous permet de :
- Respectez les exigences de conformité en surveillant en temps réel les fichiers et registres critiques et en auditant les changements.
- Identifiez les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers.
Dans le cadre de cette version, l’expérience FIM via AMA ne sera plus disponible dans le portail Defender pour le cloud. L’expérience FIM via MMA restera prise en charge jusqu’à la fin novembre 2024. Début septembre, une expérience intégrée au produit sera publiée, vous permettant de migrer votre configuration FIM via MMA vers la nouvelle version FIM basée sur Defender pour Endpoint.
Pour obtenir des informations sur la façon d’activer FIM via Defender pour Endpoint, consultez Surveillance de l’intégrité des fichiers en utilisant Microsoft Defender pour Endpoint. Pour obtenir des informations sur la façon de migrer à partir des versions précédentes, consultez Migrer la surveillance de l’intégrité des fichiers à partir des versions précédentes.
Mise hors service de l’intégration des alertes Defender pour le cloud aux alertes Azure WAF
22 août 2024
Date estimée de la modification : 25 septembre 2024
L’intégration des alertes Defender pour cloud avec les alertes WAF Azure sera supprimée le 25 septembre 2024. Aucune action n’est nécessaire de votre côté. Pour les clients Microsoft Sentinel, vous pouvez configurer le connecteur Pare-feu d’applications web Azure.
Activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle
1er août 2024
Vous pouvez désormais activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle sur les clouds gouvernementaux. Cette fonctionnalité vous permet d’activer Microsoft Defender pour SQL sur plusieurs serveurs en même temps, ce qui vous permet d’économiser du temps et des efforts.
Découvrez comment activer Microsoft Defender pour les serveurs SQL sur les machines à grande échelle.
Juillet 2024
Disponibilité générale des recommandations de découverte et de configuration améliorées pour la protection des points de terminaison
31 juillet 2024
Les fonctionnalités de découverte améliorées pour les solutions de protection des points de terminaison et l’identification améliorée des problèmes de configuration sont désormais en disponibilité générale et disponibles pour les serveurs multiclouds. Ces mises à jour sont incluses dans Defender pour serveurs Plan 2 et Gestion de la posture de sécurité cloud (CSPM) Defender.
La fonctionnalité de recommandations améliorée utilise l’analyse de machine sans agent, ce qui permet une découverte et une évaluation complètes de la configuration des solutions de détection et de réponse des points de terminaison prises en charge. Lorsque des problèmes de configuration sont identifiés, les étapes de correction sont fournies.
Avec cette version de disponibilité générale, la liste des solutions prises en charge est développée pour inclure deux autres outils de détection et de réponse de point de terminaison :
- La plateforme Singularity de SentinelOne
- Cortex XDR
Sécurisation renforcée du réseau adaptative déconseillée
31 juillet 2024
Date estimée de la modification : 31 août 2024
La sécurisation renforcée du réseau adaptative est déconseillée.
Les expériences suivantes sont impactées par le fait que la fonctionnalité est déconseillée :
- Recommandation : Les recommandations de renforcement du réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles sur Internet [clé d’évaluation : f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alerte : Trafic détecté à partir d’adresses IP recommandées pour le blocage
Aperçu : Les évaluations de sécurité pour GitHub ne nécessitent plus de licence supplémentaire
22 juillet 2024
Les utilisateurs GitHub dans Defender pour le cloud n’ont plus besoin d’une licence GitHub Advanced Security pour afficher les résultats de la sécurité. Cela s’applique aux évaluations de sécurité pour les faiblesses du code, les configurations incorrectes de l’infrastructure en tant que code (IaC) et les vulnérabilités dans les images conteneur qui sont détectées pendant la phase de génération.
Les clients disposant de GitHub Advanced Security continueront à recevoir des évaluations de sécurité supplémentaires dans Defender pour le cloud pour les informations d’identification exposées, les vulnérabilités dans les dépendances open source et les résultats CodeQL.
Pour en savoir plus sur la sécurité DevOps dans Defender pour le cloud, consultez la Vue d’ensemble de la sécurité DevOps. Pour savoir comment intégrer votre environnement GitHub à Defender pour le cloud, suivez le Guide d’intégration GitHub. Pour savoir comment configurer Microsoft Security DevOps GitHub Action, consultez notre documentation GitHub Action GitHub .
Chronologies mises à jour vers la dépréciation MMA dans Defender pour serveurs Plan 2
18 juillet 2024
Date estimée de la modification : août 2024
Avec la dépréciation à venir de l’agent Log Analytique en août, toutes les valeurs de sécurité pour la protection du serveur dans Defender for le cloud s’appuient sur l’intégration à Microsoft Defender pour point de terminaison (MDE) en tant qu’agent unique et sur les fonctionnalités sans agent fournies par la plateforme cloud et l’analyse des machines sans agent.
Les fonctionnalités suivantes ont les chronologies et les plans mis à jour ; ainsi, la prise en charge de MMA sur MMA sera étendue pour les clients Defender pour le cloud jusqu’à la fin de novembre 2024 :
Surveillance de l’intégrité des fichiers (FIM) : version préliminaire publique pour la nouvelle version FIM sur MDE est prévue pour le août 2024. La version ga de FIM alimentée par l’agent Log Analytics continuera d’être prise en charge pour les clients existants jusqu’à la fin de novembre 2024.
Base de référence de sécurité : en guise d’alternative à la version basée sur MMA, la version préliminaire actuelle basée sur Guest Configuration sera publiée en disponibilité générale en septembre 2024. Les bases de référence de sécurité du système d’exploitation alimentées par l’agent Log Analytics continueront d’être prises en charge pour les clients existants jusqu’à la fin de novembre 2024.
Pour plus d’informations, consultez Préparer la mise hors service de l’agent Log Analytics.
Dépréciation des fonctionnalités liées à MMA dans le cadre de la mise hors service de l’agent(e)
18 juillet 2024
Date estimée de la modification : août 2024
Dans le cadre de la dépréciation de Microsoft Monitoring Agent (MMA) et de la mise à jour de la stratégie de déploiement de Defender pour serveurs, toutes les fonctions de sécurité de Defender pour serveurs seront désormais fournies par un(e) agent(e) unique (Defender for Endpoint), ou par des capacités d’analyse sans agent(e). Il n’est pas nécessaire de dépendre du MMA ou de l’Azure Monitoring Agent (AMA).
À mesure que nous abordons la mise hors service de l’agent(e) en août 2024, les fonctionnalités suivantes liées à MMA seront supprimées du portail Defender pour cloud :
- Affichage de l’état de l’installation de MMA dans les panneaux Inventaire et Intégrité des ressources .
- La possibilité d’intégrer de nouveaux serveurs non-Azure à Defender pour serveurs via des espaces de travail Log Analytics sera supprimée des panneaux Inventaire et Prise en main .
Note
Nous recommandons aux clients actuels, qui ont intégré des serveurs locaux à l’aide de l’approche héritée, de connecter ces machines via des serveurs avec Azure Arc. Nous vous recommandons également d’activer Defender pour serveurs Plan 2 sur les abonnements Azure auxquels ces serveurs sont connectés.
Si vous avez activé de manière sélective Defender pour serveurs Plan 2 sur des machines virtuelles Azure spécifiques via l’approche héritée, activez Defender pour serveurs Plan 2 sur les abonnements Azure de ces machines. Excluez les machines individuelles de la couverture Defender pour serveurs à l’aide de la configuration de Defender pour serveurs par ressource.
Ces étapes garantissent qu’il n’y a aucune perte de couverture de sécurité en raison de la mise hors service de l’agent(e) Log Analytics.
Pour maintenir la continuité de la sécurité, nous conseillons aux clients avec Defender for Servers Plan 2 d’activer l’analyse des machines sans agent(e) et l’intégration de à Microsoft Defender for Endpoint sur leurs abonnements.
Vous pouvez utiliser ce classeur personnalisé pour suivre votre patrimoine d’agent(e) Log Analytics (MMA) et surveiller l’état de déploiement de Defender pour serveurs sur les machines virtuelles Azure et Azure Arc.
Pour plus d’informations, consultez Préparer la mise hors service de l’agent Log Analytics.
Préversion publique Binary Drift désormais disponible dans Microsoft Defender pour les conteneurs
Nous présentons la préversion publique de Binary Drift pour Microsoft Defender pour les conteneurs. Cette fonctionnalité permet d’identifier et d’atténuer les risques de sécurité potentiels associés à des fichiers binaires non autorisés dans vos conteneurs. La dérive binaire identifie et envoie des alertes sur les processus binaires potentiellement dangereux au sein de vos conteneurs. En outre, il permet l’implémentation d’une nouvelle Binary Drift Policy pour contrôler les préférences d’alerte, offrant la possibilité d’adapter les notifications aux besoins de sécurité spécifiques. Pour plus d’informations sur cette fonctionnalité, consultez Binary Drift Detection
Les scripts de correction automatisés pour AWS et GCP sont désormais en disponibilité générale
14 juillet 2024
En mars, nous avons publié des scripts de correction automatisés pour AWS & GCP en préversion publique, ce qui vous permet de corriger les suggestions pour AWS &GCP à grande échelle par programme.
Aujourd’hui, nous publions cette fonctionnalité en disponibilité générale. Découvrez comment utiliser des scripts de correction automatisés.
Mise à jour des autorisations d’application GitHub
11 juillet 2024
Date estimée du changement: 18 juillet 2024
La sécurité DevOps dans Defender pour Cloud effectue constamment des mises à jour qui nécessitent que les clients disposant de connecteurs GitHub dans Defender for Cloud mettent à jour les autorisations pour l’application Microsoft Security DevOps dans GitHub.
Dans le cadre de cette mise à jour, l’application GitHub nécessite des autorisations de lecture GitHub Copilot Business. Cette autorisation sera utilisée pour aider les clients à mieux sécuriser leurs déploiements GitHub Copilot. Nous vous suggérons de mettre à jour l’application dès que possible.
Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation GitHub, accédez à l’application Microsoft Security DevOps dans Paramètres > GitHub Apps et acceptez la requête d’autorisations.
Dans un e-mail automatisé du support GitHub, sélectionnez Vérifier la requête d’autorisation pour accepter ou rejeter cette modification.
Les normes de conformité sont désormais en disponibilité générale
10 juillet 2024
En mars, nous avons ajouté des versions préliminaires de nombreuses nouvelles normes de conformité pour que les clients valident leurs ressources AWS et GCP.
Ces normes incluent CIS Google Kubernetes Engine (GKE), ISO/IEC 27001 et ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), LGPD (General Personal Data Protection Law), California Consumer Privacy Act (CCPA), etc.
Ces normes d’évaluation sont désormais en disponibilité générale( GA).
Consulter la liste complète des normes de conformité prises en charge.
Amélioration de l’expérience d’inventaire
9 juillet 2024
Date estimée de la modification : 11 juillet 2024
L’expérience d’inventaire sera mise à jour pour améliorer les performances, avec notamment des améliorations apportées à la logique de requête « Ouvrir la requête » du panneau dans Azure Resource Graph. Les mises à jour de la logique qui sous-tend le calcul des ressources d'Azure peuvent entraîner la comptabilisation et la présentation d'autres ressources.
Outil de mappage de conteneurs à exécuter par défaut dans GitHub
8 juillet 2024
Date estimée de la modification : 12 août 2024
Avec les fonctionnalités de sécurité DevOps dans Microsoft Defender Cloud Security Posture Management (gestion de la posture de sécurité cloud, ou CSPM), vous pouvez mapper vos applications natives cloud du code vers le cloud pour lancer facilement les workflows de correction des développeurs et réduire le temps de correction des vulnérabilités dans vos images conteneur. Actuellement, vous devez configurer manuellement l’outil de mappage d’images conteneur pour qu’il s’exécute dans l’action Microsoft Security DevOps dans GitHub. Avec cette modification, le mappage de conteneurs s’exécute par défaut dans le cadre de l’action Microsoft Security DevOps. Apprenez-en davantage sur l’action Microsoft Security DevOps.
Juin 2024
| Date | Category | Update |
|---|---|---|
| 27 juin | GA | Analyse IaC de Checkov dans Defender pour le cloud. |
| 24 juin | Update | Changement de la tarification de Defender pour les conteneurs multicloud |
| 20 juin | Dépréciation à venir |
Rappel de la dépréciation pour les suggestions adaptatives lors de la dépréciation de Microsoft Monitoring Agent (MMA). Dépréciation estimée en août 2024. |
| 10 juin | Preview | Copilot dans Defender pour le cloud |
| 10 juin | Mise à jour à venir |
Activation automatique de l’évaluation des vulnérabilités SQL en utilisant la configuration express sur des serveurs non configurés. Mise à jour estimée : 10 juillet 2024. |
| 3 juin | Mise à jour à venir |
Changements dans le comportement des suggestions d’identité Mise à jour estimée : 10 juillet 2024. |
Disponibilité générale : Analyse IaC Checkov dans Defender pour le cloud
27 juin 2024
Nous annonçons la disponibilité générale de l’intégration Checkov pour l’analyse IaC (Infrastructure-as-Code) via Microsoft Security DevOps (MSDO). Dans le cadre de cette version, Checkov remplace TerraScan en tant qu’analyseur IaC par défaut qui s’exécute dans le cadre de l’interface de ligne de commande MSDO (CLI). TerraScan peut toujours être configuré manuellement via les variables d’environnement de MSDO, mais ne s’exécute pas par défaut.
Les résultats de sécurité de Checkov se présentent sous forme de suggestions pour les référentiels Azure DevOps et GitHub dans les évaluations Les référentiels Azure DevOps doivent avoir des résultats d’une infrastructure en tant que code résolus et Les référentiels GitHub doivent avoir des résultats d’infrastructure en tant que code résolus.
Pour en savoir plus sur la sécurité DevOps dans Defender pour le cloud, consultez la Vue d’ensemble de la sécurité DevOps. Pour savoir comment configurer l’interface CLI MSDO, consultez la documentation Azure DevOps ou GitHub .
Mise à jour : Changement de la tarification de Defender pour les conteneurs multicloud
24 juin 2024
Comme Defender pour les conteneurs dans un environnement multicloud est désormais en disponibilité générale, il n’est plus gratuit. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.
Dépréciation : Rappel de la dépréciation pour les suggestions adaptatives
20 juin 2024
Date estimée de la modification : août 2024
Dans le cadre de la dépréciation MMA et de la stratégie de déploiement mise à jour de Defender pour serveurs, les fonctionnalités de sécurité de Defender pour serveurs seront fournies via l’agent Microsoft Defender for Endpoint (MDE) ou via les fonctionnalités d’analyse sans agent. Ces deux options ne dépendent pas des agents MMA ou Azure Monitoring Agent (AMA).
Les recommandations de sécurité adaptatives, appelées contrôles d’application adaptatifs et renforcement du réseau adaptatif, seront supprimées. La version en disponibilité générale actuelle basée sur MMA et la préversion basée sur AMA seront déconseillées en août 2024.
Préversion : Copilot dans Defender pour le cloud
10 juin 2024
Nous annonçons l’intégration de Microsoft Security Copilot à Defender pour le cloud en préversion publique. L’expérience incorporée de Copilot dans Defender pour le cloud offre aux utilisateurs la possibilité de poser des questions et d’obtenir des réponses en langage naturel. Copilot peut vous aider à comprendre le contexte d’une recommandation, l'effet de la mise en œuvre d'une recommandation, les étapes nécessaires pour mettre en œuvre une recommandation, assister à la délégation de recommandations, et aider à la correction des mauvaises configurations dans le code.
Découvrez plus en détail Microsoft Security Copilot dans Defender pour le cloud.
Mise à jour : Activation automatique de l’évaluation des vulnérabilités SQL
10 juin 2024
Date estimée de la modification : 10 juillet 2024
À l’origine, l’évaluation des vulnérabilités SQL avec Configuration express était activée automatiquement seulement sur les serveurs où Microsoft Defender pour SQL était activé après l’introduction de Configuration express en décembre 2022.
Nous allons mettre à jour tous les serveurs SQL Azure où Microsoft Defender pour SQL a été activé avant décembre 2022 et qui n’avaient pas de stratégie d’évaluation des vulnérabilités SQL existante en place, de façon à ce que l’évaluation des vulnérabilités SQL soit activée automatiquement avec Configuration express.
- L’implémentation de ce changement se fera progressivement, sur plusieurs semaines, et ne nécessitera aucune action de la part de l’utilisateur(-trice).
- Cette modification s’applique aux serveurs Azure SQL où Microsoft Defender pour SQL a été activé au niveau de l’abonnement Azure.
- Les serveurs avec une configuration classique existante (valide ou non valide) ne seront pas affectés par cette modification.
- Au moment de l’activation, la recommandation « Vous devez résoudre les vulnérabilités découvertes des bases de données SQL » peut s’afficher et avoir un impact potentiel sur votre niveau de sécurité.
Mise à jour : Modifications apportées au comportement des suggestions d’identité
3 juin 2024
Date estimée de la modification : juillet 2024
Ces modifications sont les suivantes :
- La ressource évaluée va devenir l’identité au lieu de l’abonnement.
- Les recommandations n’auront plus de « sous-recommandations ».
- La valeur du champ « assessmentKey » dans l’API sera modifiée pour ces recommandations.
Seront appliquées aux recommandations suivantes :
- Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur
- Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur
- Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur
- Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés
- Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés
- Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés
- Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés
- Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés
- Au maximum trois propriétaires doivent être désignés pour votre abonnement.
- Plusieurs propriétaires doivent être affectés à votre abonnement
Mai 2024
Disponibilité générale : Détection des programmes malveillants sans agent dans Defender pour serveurs Plan 2
30 mai 2024
La détection des programmes malveillants sans agent de Defender pour le cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP est désormais en disponibilité générale en tant que nouvelle fonctionnalité dans Defender pour serveurs Plan 2.
La détection des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter les fichiers malveillants. Les menaces détectées déclenchent des alertes de sécurité directement dans Defender pour le cloud et Defender XDR, où elles peuvent être examinées et corrigées. En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Mise à jour : Configurer les notifications par e-mail pour les chemins d’attaque
22 mai 2024
Vous pouvez maintenant configurer les notifications par e-mail lorsqu’un chemin d’attaque est détecté avec un niveau de risque spécifié ou supérieur. Découvrez comment Configurer les notifications par e-mail.
Mise à jour : La chasse avancée dans Microsoft Defender XDR inclut désormais les alertes et les incidents de Microsoft Defender pour le cloud
21 mai 2024
Les alertes et incidents de Defender pour le cloud sont désormais intégrés à Microsoft Defender XDR et sont accessibles dans le Portail Microsoft Defender. Cette intégration permet d'enrichir le contexte des enquêtes qui portent sur les ressources, les appareils et les identités dans le cloud. Découvrez la chasse avancée dans l’intégration XDR.
Préversion : Intégration de Checkov pour l’analyse IaC dans Defender pour le cloud
9 mai 2024
L’intégration de Checkov pour la sécurité DevOps dans Defender pour le cloud est désormais en préversion. Cette intégration améliore la qualité et le nombre total de vérifications Infrastructure-as-Code exécutées par l’interface CLI MSDO lors de l’analyse des modèles IaC.
Dans la préversion, Checkov doit être appelé explicitement par le biais du paramètre d’entrée « outils » pour l’interface CLI MSDO.
En savoir plus sur sécurité DevOps dans Defender pour le cloud et la configuration de l’interface CLI MSDO pour Azure DevOps et GitHub.
En disponibilité générale : Gestion des autorisations dans Defender pour le cloud
7 mai 2024
La gestion des autorisations est désormais en disponibilité générale dans Defender pour cloud.
Préversion : Gestion de la posture de sécurité multicloud IA
6 mai 2024
La gestion de la posture de sécurité IA est disponible en préversion dans Defender pour le cloud. Cette fonctionnalité fournit des capacités de gestion de la posture de sécurité IA pour Azure et AWS, pour améliorer la sécurité de vos pipelines et services IA.
Apprenez-en davantage sur la gestion de la posture de sécurité de l’IA.
Préversion limitée : Protection contre les menaces pour les charges de travail IA dans Azure
6 mai 2024
La protection contre les menaces pour les charges de travail IA dans Defender pour le cloud est disponible en préversion limitée. Ce plan vous aide à monitorer vos applications avec Azure OpenAI au moment de l’exécution à la recherche d’activités malveillantes, à identifier les risques de sécurité et à les corriger. Il fournit des insights contextuels sur la protection contre les menaces de charge de travail IA, en intégrant l’INTELLIGENCE artificielle responsable et Microsoft Threat Intelligence. Les alertes de sécurité pertinentes sont intégrées au portail Defender.
Apprenez-en davantage sur la protection contre les menaces pour les charges de travail IA.
En disponibilité générale : Gestion des stratégies de sécurité
2 mai 2024
La gestion des stratégies de sécurité dans les clouds (Azure, AWS, GCP) est désormais en disponibilité générale. Cela permet aux équipes de sécurité de gérer leurs stratégies de sécurité de manière cohérente et avec de nouvelles fonctionnalités
En savoir plus sur les stratégies de sécurité dans Microsoft Defender pour le cloud.
Préversion : Defender pour les bases de données open source disponible dans AWS
1 mai 2024
Defender pour les bases de données open source sur AWS est désormais disponible en préversion. Il ajoute la prise en charge de différents types d’instances Amazon Relational Database Service (RDS).
En savoir plus sur Defender pour les bases de données open source et comment activer Defender pour les bases de données open source sur AWS.
Dépréciation : Suppression de FIM (avec AMA)
1 mai 2024
Date estimée de la modification : août 2024
Dans le cadre de la dépréciation MMA et de la stratégie de déploiement mise à jour de Defender pour serveurs, toutes les fonctionnalités de sécurité de Defender pour serveurs seront fournies via un agent unique (MDE) ou via des fonctionnalités d’analyse sans agent, et sans dépendance sur les agents MMA ou AMA.
La nouvelle version de la supervision de l’intégrité des fichiers (File Integrity Monitoring/FIM) sur Microsoft Defender pour point de terminaison (MDE) vous permet de respecter les exigences de conformité en supervisant les fichiers et registres critiques en temps réel, en auditant les modifications et en détectant les modifications suspectes du contenu des fichiers.
Dans le cadre de cette version, l’expérience FIM sur AMA ne sera plus disponible via le portail Defender pour le cloud à compter d’août 2024. Pour plus d’informations, veuillez consulter Expérience de surveillance de l’intégrité des fichiers – modifications et conseils de migration.
Pour plus d’informations sur la nouvelle version de l’API, consultez API REST Microsoft Defender pour le cloud.
Avril 2024
| Date | Category | Update |
|---|---|---|
| 16 avril | Mise à jour à venir |
Modification des ID d’évaluation CIEM. Mise à jour estimée : mai 2024. |
| 15 avril | GA | Defender pour les conteneurs est désormais disponible pour AWS et GCP. |
| 3 avril | Update | La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud |
| 3 avril | Update | Mises à jour de Defender pour les bases de données relationnelles open source. |
Mise à jour : Modification des ID d’évaluation CIEM
16 avril 2024
Date estimée de la modification : mai 2024
Les recommandations suivantes vont être remodelées, ce qui entraînera un changement de leurs ID d’évaluation :
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
Disponibilité générale : Defender pour les conteneurs pour AWS et GCP
15 avril 2024
La détection des menaces du runtime et la découverte sans agent pour AWS et GCP dans Defender pour les conteneurs sont désormais en disponibilité générale. En outre, il existe une nouvelle fonctionnalité d’authentification dans AWS qui simplifie l’approvisionnement.
En savoir plus sur la matrice de prise en charge des conteneurs dans Defender pour le cloud et sur la configuration des composants de Defender pour les conteneurs.
Mise à jour : Hiérarchisation des risques
3 avril 2024
La hiérarchisation des risques est désormais l’expérience par défaut dans Defender pour le cloud. Cette fonctionnalité vous permet de vous concentrer sur les problèmes de sécurité les plus critiques dans votre environnement en hiérarchisant les recommandations en fonction des facteurs de risque de chaque ressource. Les facteurs de risque incluent l’impact potentiel du problème de sécurité en cours de violation, les catégories de risques et le chemin d’attaque dont fait partie le problème de sécurité. En savoir plus sur la hiérarchisation des risques.
Mise à jour : Defender pour les bases de données relationnelles open source
3 avril 2024
- Mises à jour postérieures à la disponibilité générale des serveurs flexibles Defender pour PostgreSQL : la mise à jour permet aux clients d’appliquer une protection pour les serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui fournit une flexibilité totale pour l’activation d’une protection en fonction des ressources ou d’une protection automatique de toutes les ressources au niveau de l’abonnement.
- Disponibilité générale et disponibilité des serveurs flexibles Defender pour MySQL : Defender pour le cloud a étendu sa prise en charge des bases de données relationnelles open source Azure en incorporant les serveurs flexibles MySQL.
Cette version comprend :
- Compatibilité des alertes avec celles existantes pour les serveurs uniques Defender pour MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
- Les mises à jour des serveurs flexibles Azure Database pour MySQL seront déployées au cours des prochaines semaines. Si l’erreur
The server <servername> is not compatible with Advanced Threat Protections’affiche, vous pouvez attendre la mise à jour ou ouvrir un ticket de support afin de mettre à jour le serveur plus tôt vers une version prise en charge.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources de serveur flexible are automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
Découvrez plus d’informations sur Microsoft Defender pour les bases de données relationnelles open source.
Mars 2024
Disponibilité générale : Analyse des images conteneur Windows
31 mars 2024
Nous annonçons la disponibilité générale des images conteneur Windows pour l’analyse par Defender pour les conteneurs.
Mise à jour : L’exportation continue inclut désormais les données relatives aux chemins d’attaque
25 mars 2024
Nous annonçons que l’exportation continue inclut désormais les données relatives aux chemins d’attaque. Cette fonctionnalité vous permet de diffuser des données de sécurité vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique.
En savoir plus sur l’exportation continue.
Préversion : L'analyse sans agent prend en charge les machines virtuelles chiffrées CMK dans Azure
21 mars 2024
Jusqu'à présent, l'analyse sans agent a couvert les machines virtuelles chiffrées CMK dans AWS et GCP. Avec cette mise en production, nous achevons également la prise en charge pour Azure. La capacité utilise une approche d'analyse unique pour CMK dans Azure :
- Defender pour le cloud ne gère pas la clé ou le processus de déchiffrement. Les clés et le déchiffrement sont gérés en toute transparence par Azure Compute et sont transparents pour le service d’analyse sans agent de Defender pour le cloud.
- Les données de disque de machine virtuelle non chiffrées ne sont jamais copiées ou rechiffrées avec une autre clé.
- La clé d’origine n’est pas répliquée pendant le processus. En la purgeant, vous supprimez les données de votre machine virtuelle de production et de l’instantané temporaire de Defender pour le cloud.
Durant la préversion publique, cette capacité n’est pas activée automatiquement. Si vous utilisez Defender for Servers P2 ou Defender CSPM et que votre environnement dispose de machines virtuelles avec des disques chiffrés CMK, vous pouvez désormais les analyser pour les vulnérabilités, les secrets et les programmes malveillants en suivant ces étapes d’activation.
Préversion : Suggestions personnalisées basées sur KQL pour Azure
17 mars 2024
Les suggestions personnalisées basées sur KQL pour Azure sont désormais disponibles en préversion publique et prises en charge pour tous les clouds. Pour plus d’informations, consultez Créer des normes et recommandations de sécurité personnalisées.
Mise à jour : Inclusion des suggestions DevOps dans le benchmark de la sécurité cloud Microsoft
13 mars 2024
Aujourd’hui, nous annonçons que vous pouvez désormais surveiller votre posture de sécurité et de conformité DevOps dans le benchmark de sécurité cloud Microsoft (MCSB) en plus d’Azure, AWS et GCP. Les évaluations DevOps font partie du contrôle Sécurité DevOps dans MCSB.
MCSB est une nouvelle infrastructure qui définit des principes fondamentaux de sécurité du cloud, basés sur des normes sectorielles et des infrastructures de conformité courantes. MCSB fournit des détails prescriptifs sur la façon d’implémenter ses recommandations de sécurité indépendantes du cloud.
En savoir plus sur les recommandations DevOps qui seront incluses et le benchmark de sécurité cloud Microsoft.
Disponibilité générale : L’intégration de ServiceNow est désormais en disponibilité générale
12 mars 2024
Nous annonçons la disponibilité générale de l’intégration de ServiceNow.
Préversion : Protection des actifs critiques dans Microsoft Defender pour le cloud
12 mars 2024
Defender pour le cloud inclut désormais une fonctionnalité de niveau critique pour l’entreprise, qui utilise le moteur de ressources critiques de la Gestion de l’exposition pour la sécurité de Microsoft, afin d’identifier et de protéger les ressources importantes via la hiérarchisation des risques, l’analyse du chemin d’attaque et l’Explorateur de sécurité pour le cloud. Pour plus d’informations, consultez Protection des ressources critiques dans Microsoft Defender pour le cloud (préversion).
Mise à jour : Suggestions sur AWS et GCP améliorées avec des scripts de correction automatisés
12 mars 2024
Nous améliorons les recommandations concernant AWS et GCP avec des scripts de correction automatisés qui vous permettent d’apporter des corrections par programmation et à grande échelle. En savoir plus sur les scripts de correction automatisés.
Préversion : Normes de conformité ajoutées au tableau de bord de conformité
6 mars 2024
Suite aux commentaires des clients, nous avons ajouté des normes de conformité en préversion à Defender pour le cloud.
Consulter la liste complète des normes de conformité prises en charge
Nous travaillons en permanence à l’ajout et à la mise à jour de nouvelles normes pour les environnements Azure, AWS et GCP.
Découvrez comment attribuer une norme de sécurité.
Mises à jour : Mises à jour Defender pour les bases de données relationnelles open source
6 mars 2024**
Date estimée de la modification : avril 2024
Mises à jour postérieures à la disponibilité générale des serveurs flexibles Defender pour PostgreSQL : la mise à jour permet aux clients d’appliquer une protection pour les serveurs flexibles PostgreSQL existants au niveau de l’abonnement, ce qui fournit une flexibilité totale pour l’activation d’une protection en fonction des ressources ou d’une protection automatique de toutes les ressources au niveau de l’abonnement.
Disponibilité générale et disponibilité des serveurs flexibles Defender pour MySQL : Defender pour le cloud va généraliser sa prise en charge des bases de données relationnelles open source Azure en incorporant les serveurs flexibles MySQL. Cette mise en production inclut :
- Compatibilité des alertes avec celles existantes pour les serveurs uniques Defender pour MySQL.
- Activation de ressources individuelles.
- Activation au niveau de l’abonnement.
Si vous protégez déjà votre abonnement avec Defender pour les bases de données relationnelles open source, vos ressources de serveur flexible are automatiquement activées, protégées et facturées. Des notifications spécifiques à la facturation ont été envoyées par e-mail pour les abonnements affectés.
Découvrez plus d’informations sur Microsoft Defender pour les bases de données relationnelles open source.
Mise à jour : Modifications apportées aux paramètres des Offres de conformité et des Actions Microsoft
3 mars 2024
Date estimée de la modification : 30 septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, Offre de conformité et Actions Microsoft, vont changer.
Tableau qui répertorie l’état de conformité des produits de Microsoft (accessible à partir du bouton Offres de conformité dans la barre d’outils du tableau de bord de conformité réglementaire de Defender). Une fois ce bouton supprimé dans Defender pour le cloud, vous pourrez néanmoins toujours accéder à ces informations en utilisant le portail d’approbation de services.
Pour un sous-ensemble de contrôles, Actions Microsoft était accessible à partir du bouton Actions Microsoft (préversion) dans le volet des détails des contrôles. Une fois ce bouton supprimé, vous pouvez voir les actions Microsoft en accédant au Portail d’approbation de services pour FedRAMP de Microsoft, puis en accédant au document Azure System Security Plan (Plan de sécurité du système Azure).
Mise à jour : Modification de l’accès à Offres de conformité et à Actions Microsoft
3 mars 2024
Date estimée de la modification : septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, Offre de conformité et Actions Microsoft, vont changer.
Tableau qui répertorie l’état de conformité des produits de Microsoft (accessible à partir du bouton Offres de conformité dans la barre d’outils du tableau de bord de conformité réglementaire de Defender). Une fois ce bouton supprimé dans Defender pour le cloud, vous pourrez néanmoins toujours accéder à ces informations en utilisant le portail d’approbation de services.
Pour un sous-ensemble de contrôles, Actions Microsoft était accessible à partir du bouton Actions Microsoft (préversion) dans le volet des détails des contrôles. Une fois ce bouton supprimé, vous pouvez voir les actions Microsoft en accédant au Portail d’approbation de services pour FedRAMP de Microsoft, puis en accédant au document Azure System Security Plan (Plan de sécurité du système Azure).
Dépréciation : Mise hors service de l’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys
3 mars 2024
L’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys est en cours de mise à l’arrêt. La mise hors service sera effective le 6 mars. D’ici là, des résultats partiels peuvent encore apparaître dans les recommandations de Qualys et les résultats de Qualys dans le graphique de sécurité. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers des Évaluations des vulnérabilités pour Azure avec Microsoft Defender Vulnerability Management. Pour en savoir plus sur la transition vers l’offre d’évaluation des vulnérabilités de conteneur avec Microsoft Defender Vulnerability Management, consultez Transition de Qualys à Microsoft Defender Vulnerability Management.
Février 2024
| Date | Category | Update |
|---|---|---|
| 28 février | Deprecation | Microsoft Security Code Analysis (MSCA) n’est plus opérationnel. |
| 28 février | Update | La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP. |
| 26 février | Update | Prise en charge de Defender pour les conteneurs dans le cloud |
| 20 février | Update | Nouvelle version du capteur Defender pour Microsoft Defender pour les conteneurs |
| 18 février | Update | Prise en charge de la spécification du format d’image Open Container Initiative (OCI) |
| 13 février | Deprecation | Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy. |
| 5 février | Mise à jour à venir |
Mise hors service du fournisseur de ressources Microsoft.SecurityDevOps Attendu : 6 mars 2024 |
Dépréciation : Microsoft Security Code Analysis (MSCA) n’est plus opérationnel
28 février 2024
En février 2021, la dépréciation de la tâche MSCA a été communiquée à tous les clients et a été passée à la fin de la vie depuis mars 2022. Depuis le 26 février 2024, MSCA n’est plus opérationnel officiellement.
Les clients peuvent obtenir les derniers outils de sécurité DevOps de Defender pour le cloud via Microsoft Security DevOps et d’autres outils de sécurité via GitHub Advanced Security pour Azure DevOps.
Mise à jour : La gestion des stratégies de sécurité mise à jour étend la prise en charge à AWS et GCP
28 février 2024
L’expérience mise à jour pour la gestion des stratégies de sécurité, initialement publiée en préversion pour Azure, étend sa prise en charge aux environnements multiclouds (AWS et GCP). Cette préversion inclut les éléments suivants :
- Gestion des normes de conformité réglementaire dans Defender pour Cloud dans les environnements Azure, AWS et GCP.
- Même expérience d’interface multicloud pour la création et la gestion des recommandations personnalisées Microsoft Cloud Security Benchmark(MCSB).
- L’expérience mise à jour est appliquée à AWS et GCP pour créer des recommandations personnalisées avec une requête KQL.
Mise à jour : Prise en charge de Defender pour les conteneurs dans le cloud
26 février 2024
Les fonctionnalités de détection des menaces d’Azure Kubernetes Service (AKS) dans Defender pour les conteneurs sont désormais entièrement prises en charge dans les clouds commerciaux, Azure Government et Azure China 21Vianet. Passez en revue les fonctionnalités prises en charge.
Mise à jour : Nouvelle version du capteur Defender pour Defender pour les conteneurs
20 février 2024
Une nouvelle version du capteur Defender pour les conteneurs est disponible. Il inclut des améliorations de performances et de sécurité, la prise en charge des nœuds arch AMD64 et Arm64 (Linux uniquement) et utilise Inspektor Gadget comme agent de collecte de processus au lieu de Sysdig. La nouvelle version étant prise en charge uniquement sur les versions de noyau Linux 5.4 et supérieures, si vous avez des versions antérieures du noyau Linux, vous devez faire une mise à niveau. La prise en charge d’Arm64 est disponible uniquement à partir d’AKS V1.29 et les versions suivantes. Pour plus d’informations, voir Systèmes d’exploitation hôtes pris en charge.
Mise à jour : Prise en charge de la spécification du format d’image Open Container Initiative (OCI)
18 février 2024
La spécification du format d’image Open Container Initiative (OCI) est désormais prise en charge par l’évaluation des vulnérabilités basée sur la Gestion des vulnérabilités Microsoft Defender pour les clouds AWS, Azure et GCP.
Dépréciation : Mise hors service de l’évaluation des vulnérabilités des conteneurs AWS avec Trivy
13 février 2024
L’évaluation des vulnérabilités des conteneurs basée sur Trivy a été mise hors service. Les clients qui utilisaient auparavant cette évaluation doivent procéder à une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur la Gestion des vulnérabilités Microsoft Defender. Pour savoir comment procéder à la mise à niveau, consultez Comment faire pour mettre à niveau l’évaluation des vulnérabilités Trivy mise hors service vers l’évaluation des vulnérabilités AWS basée sur la Gestion des vulnérabilités Microsoft Defender ?
Mise à jour : Mise hors service du fournisseur de ressources Microsoft.SecurityDevOps
5 février 2024
Date estimée de modification: 6 mars 2024
Microsoft Defender pour le Cloud met hors service le fournisseur de ressources Microsoft.SecurityDevOps qui a été utilisé lors de la préversion publique de la sécurité DevOps, après une migration vers le fournisseur Microsoft.Security existant. Ce changement a pour but d’améliorer l’expérience client en réduisant le nombre de fournisseurs de ressources associés aux connecteurs DevOps.
Les clients qui utilisent toujours l’API version 2022-09-01-preview sous la version Microsoft.SecurityDevOps préliminaire pour interroger les données de sécurité Defender pour Cloud DevOps seront affectés. Pour éviter toute interruption de leur service, le client doit effectuer une mise à jour vers la nouvelle API version 2023-09-01-preview sous le Microsoft.Security fournisseur.
Les clients qui utilisent actuellement la sécurité DevOps de Microsoft Defender pour le cloud à partir du Portail Azure ne seront pas affectés.
Janvier 2024
Mise à jour : Nouvel insight pour les référentiels actifs dans Cloud Security Explorer
31 janvier 2024
Un nouvel insight pour les référentiels Azure DevOps a été ajouté à Cloud Security Explorer pour indiquer si les référentiels sont actifs. Cet insight indique que le référentiel de code n’est pas archivé ou désactivé, ce qui signifie que l’accès en écriture au code, aux builds et aux demandes de tirage est toujours disponible pour les utilisateurs. Les référentiels archivés et désactivés peuvent être considérés comme de priorité inférieure, car le code n’est généralement pas utilisé dans les déploiements actifs.
Pour tester la requête via Cloud Security Explorer, utilisez ce lien de requête.
Mise à jour : Modification de la tarification associée à la détection des menaces pour les conteneurs multicloud
30 janvier 2024**
Date estimée de la modification : avril 2024
Quand la détection des menaces pour les conteneurs multiclouds passera en disponibilité générale, elle ne sera plus gratuite. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.
Mise à jour : Application de la valeur de sécurité DevOps Premium de Defender CSPM
29 janvier 2024**
Date estimée de la modification : 7 mars 2024
Defender pour le cloud commence à appliquer la vérification du plan Defender CSPM pour la valeur de sécurité DevOps Premium à compter du 7 mars 2024. Si vous avez activé le plan CSPM Defender sur un environnement cloud (Azure, AWS, GCP) au sein du même locataire où vos connecteurs DevOps sont créés, vous continuerez à recevoir des fonctionnalités DevOps premium sans frais supplémentaires. Si vous n’êtes pas un client CSPM Defender, vous avez jusqu’au 7 mars 2024 pour activer CSPM Defender avant de perdre l’accès à ces fonctionnalités de sécurité. Pour activer Defender CSPM sur un environnement cloud connecté avant le 7 mars 2024, suivez la documentation d’activation décrite ici.
Pour plus d’informations sur les fonctionnalités de sécurité DevOps disponibles dans les plans CSPM de base et Defender CSPM, consultez notre documentation décrivant la disponibilité des fonctionnalités.
Pour plus d’informations sur DevOps Security dans Defender pour Cloud, consultez la documentation de présentation.
Pour plus d’informations sur les capacités de sécurité du code vers le cloud dans Defender CSPM, consultez Comment protéger vos ressources avec Defender CSPM.
Préversion : Posture de conteneur sans agent pour GCP dans Defender pour les conteneurs et Defender CSPM
24 janvier 2024
Les nouvelles capacités de posture de conteneur sans agent (préversion) sont disponibles pour GCP, notamment les évaluations des vulnérabilités pour GCP avec la Gestion des vulnérabilités Microsoft Defender. Pour plus d’informations sur toutes les capacités, consultez Posture de conteneur sans agent dans Defender CSPM et Capacités sans agent dans Defender pour les conteneurs.
Vous pouvez également en savoir plus sur la gestion de la posture de conteneur sans agent pour multicloud dans ce billet de blog.
Préversion : Analyse des programmes malveillants sans agent pour les serveurs
16 janvier 2024
Nous annonçons la publication de la détection de programmes malveillants sans agent de Defender pour le cloud pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP, en tant que nouvelle fonctionnalité incluse dans Defender pour serveurs Plan 2.
La détection des programmes malveillants sans agent pour les machines virtuelles est désormais incluse dans notre plateforme d’analyse sans agent. L’analyse des programmes malveillants sans agent utilise le moteur anti-programme malveillant Microsoft Defender Antivirus pour analyser et détecter des fichiers malveillants. Toutes les menaces détectées déclenchent des alertes de sécurité directement dans Defender pour le cloud et Defender XDR, où elles peuvent être examinées et corrigées. Le scanneur de programmes malveillants sans agent complète la couverture basée sur l’agent avec une deuxième couche de détection des menaces avec intégration sans friction et n’a aucun effet sur les performances de votre ordinateur.
En savoir plus sur l’analyse des programmes malveillants sans agent pour les serveurs et l’analyse sans agent pour les machines virtuelles.
Disponibilité générale de l’intégration de Defender pour le cloud à Microsoft Defender XDR
15 janvier 2024
Nous annonçons la disponibilité générale (GA) de l’intégration entre Defender pour le cloud et Microsoft Defender XDR (anciennement Microsoft 365 Defender).
Cette intégration apporte des capacités de protection de cloud compétitives dans le centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender pour le cloud et l’intégration Defender XDR, les équipes du SOC peuvent découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
En savoir plus sur les alertes et incidents dans Microsoft Defender XDR.
Mise à jour : Rôle Azure intégré d’analyse de machine virtuelle sans agent
14 janvier 2024**
Date estimée du changement : février 2024
Dans Azure, l’analyse sans agent pour les machines virtuelles utilise un rôle intégré (appelé opérateur de numérisation de machines virtuelles) avec les autorisations minimales nécessaires pour analyser et évaluer vos machines virtuelles pour détecter les problèmes de sécurité. Afin de fournir en permanence des suggestions pertinentes sur l'état de l'analyse et la configuration des machines virtuelles contenant des volumes chiffrés, une mise à jour des autorisations de ce rôle est prévue. La mise à jour inclut l’ajout de l’autorisation Microsoft.Compute/DiskEncryptionSets/read. Cette autorisation permet uniquement d'améliorer l'identification de l'utilisation des disques chiffrés dans les machines virtuelles. Il ne fournit plus de fonctionnalités de Defender pour Cloud pour déchiffrer ou d’accéder au contenu de ces volumes chiffrés au-delà des méthodes de chiffrement déjà prises en charge avant cette modification. Cette modification devrait avoir lieu en février 2024 et aucune action n’est requise de votre part.
Mise à jour : Les annotations de demande de tirage (pull request) de sécurité DevOps activées par défaut pour les connecteurs Azure DevOps
12 janvier 2024
La sécurité DevOps expose les résultats de sécurité sous forme d’annotations dans les demandes de tirage (pull request) pour aider les développeurs à prévenir et à corriger les vulnérabilités de sécurité potentielles et les erreurs de configuration avant d’entrer en production. Depuis le 12 janvier 2024, les annotations de demande de tirage sont désormais activées par défaut pour tous les référentiels Azure DevOps nouveaux et existants connectés à Defender pour le cloud.
Par défaut, les annotations de demande de tirage sont activées uniquement pour les résultats IaC (Infrastructure as Code) de gravité élevée. Les clients devront toujours configurer Microsoft Security for DevOps (MSDO) afin qu’ils s’exécutent dans les builds de demande de tirage et activent la stratégie de validation de build pour les builds CI dans les paramètres du référentiel Azure DevOps. Les clients peuvent désactiver la fonctionnalité Annotation de demande de tirage pour des référentiels spécifiques à partir des options de configuration du référentiel du volet de sécurité DevOps.
En savoir plus sur l’activation des annotations de demande de tirage pour Azure DevOps.
Chemin d’accès de la mise hors service de l’évaluation des vulnérabilités intégrée de Defender pour serveurs (Qualys)
9 janvier 2024
Date estimée de la modification : mai 2024
La solution d’évaluation des vulnérabilités intégrée à Defender pour serveurs et basée sur la technologie Qualys est sur le point d’être mise hors service, cette opération devant être finalisée le 1er mai 2024. Si vous utilisez actuellement la solution d’évaluation des vulnérabilités optimisée par Qualys, vous devez planifier votre transition vers la solution de gestion des vulnérabilités Microsoft Defender intégrée.
Pour plus d’informations sur notre décision d’unifier notre offre d’évaluation des vulnérabilités avec Microsoft Defender Vulnerability Management, vous pouvez lire ce billet de blog.
Vous pouvez également consulter les questions courantes sur la transition vers la solution Microsoft Defender Vulnerability Management.
Mise à jour : configuration réseau multicloud de Defender pour le cloud
3 janvier 2024
Date estimée de la modification : mai 2024
À partir de mai 2024, nous retirerons les anciennes adresses IP associées à nos services de découverte multi-cloud afin de tenir compte des améliorations et de garantir une expérience plus sûre et plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à nos services, vous devez mettre à jour votre liste d'adresses IP avec les nouvelles plages indiquées dans les sections suivantes. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement.
La liste est applicable à tous les plans et suffisante pour que l'offre de base (gratuite) du CSPM soit pleinement opérationnelle.
Adresses IP à mettre hors service :
- GCP de découverte : 104.208.29.200, 52.232.56.127
- AWS de découverte : 52.165.47.219, 20.107.8.204
- Intégration : 13.67.139.3
Nouvelles plages d’adresses IP spécifiques à une région à ajouter :
- Europe Ouest : 52.178.17.48/28
- Europe Nord : 13.69.233.80/28
- USA Centre : 20.44.10.240/28
- USA Est 2 : 20.44.19.128/28
Décembre 2023
Consolidation des noms de niveau 2 de service de Defender pour le cloud
30 décembre 2023
Nous allons consolider les noms de niveau 2 de service hérités pour tous les plans Defender pour le cloud en un seul nouveau nom de niveau 2 de service, Microsoft Defender pour le cloud.
Aujourd’hui, il existe quatre noms de niveau 2 de service : Azure Defender, Advanced Threat Protection, Advanced Data Security et Security Center. Les différents compteurs de Microsoft Defender pour le cloud sont regroupés sous ces noms de niveau 2 de service distincts, ce qui crée une certaine complexité lors de l’utilisation de Cost Management + Facturation et d’autres outils liés à la facturation Azure.
Le changement simplifie le processus d’examen des frais de Defender for Cloud et offre une meilleure clarté dans l’analyse des coûts.
Pour assurer une transition fluide, nous avons pris des mesures pour maintenir la cohérence du nom du produit/service, de la référence SKU et des ID de compteur. Les clients concernés recevront une notification de service Azure informationnelle pour communiquer les modifications.
Les organisations qui récupèrent des données de coût en appelant nos API devront mettre à jour les valeurs dans leurs appels pour prendre en charge la modification. Par exemple, dans cette fonction de filtre, les valeurs ne retournent aucune information :
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| ANCIEN nom de niveau 2 de service | NOUVEAU nom de niveau 2 de service | Niveau de service - Niveau 4 de service (aucune modification) |
|---|---|---|
| Sécurité Avancée des Données | Microsoft Defender pour le cloud | Defender pour SQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour les registres de conteneurs |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour DNS |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Key Vault |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Kubernetes |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour MySQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour PostgreSQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Resource Manager |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour le stockage |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour la gestion de surface d’attaque externe |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour Azure Cosmos DB |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour les conteneurs |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour MariaDB |
| Security Center | Microsoft Defender pour le cloud | Defender pour App Service |
| Security Center | Microsoft Defender pour le cloud | Defender pour les serveurs |
| Security Center | Microsoft Defender pour le cloud | CSPM Defender |
Defender pour serveurs au niveau de la ressource en disponibilité générale
24 décembre 2023
Il est désormais possible de gérer Defender pour serveurs sur des ressources spécifiques au sein de votre abonnement, ce qui vous offre un contrôle complet sur votre stratégie de protection. Grâce à cette fonctionnalité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l’abonnement.
Découvrez plus d’informations sur l’activation de Defender pour serveurs au niveau de la ressource.
Mise hors service des connecteurs classiques pour le multicloud
21 décembre 2023
L’expérience du connecteur multicloud classique est mise hors service et les données ne sont plus diffusées en continu vers des connecteurs créés via ce mécanisme. Ces connecteurs classiques ont été utilisés pour connecter les recommandations AWS Security Hub et GCP Security Command Center à Defender pour le cloud et intégrer AWS EC2s à Defender pour serveurs.
La valeur totale de ces connecteurs a été remplacée par l’expérience des connecteurs de sécurité multi-cloud natifs, qui est en disponibilité générale pour AWS et GCP depuis mars 2022 sans coût supplémentaire.
Les nouveaux connecteurs natifs sont inclus dans votre plan et offrent une expérience d’intégration automatisée avec des options d’intégration de comptes uniques, de comptes multiples (avec Terraform) et d’intégration organisationnelle avec provisionnement automatique pour les plans Defender suivants : fonctionnalités CSPM de base gratuites, Gestion de la posture de sécurité cloud (CSPM) Defender, Defender pour serveurs, Defender pour SQL et Defender pour les conteneurs.
Publication du workbook Couverture
21 décembre 2023
Le workbook Couverture vous permet de suivre quels plans Defender pour le cloud sont actifs sur quelles parties de vos environnements. Ce workbook peut vous aider à protéger entièrement vos environnements et vos abonnements. En ayant accès à des informations détaillées sur la couverture, vous pouvez aussi identifier les domaines qui peuvent nécessiter d’autres protections et prendre des mesures pour traiter ces domaines.
En savoir plus sur le classeur Couverture.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender dans Azure Government et Azure exploité par 21Vianet
14 décembre 2023
L’évaluation des vulnérabilités pour des images conteneur Linux dans des registres de conteneurs Azure basés sur Gestion des vulnérabilités de Microsoft Defender est publiée en disponibilité générale dans Azure Government et Azure exploité par 21Vianet. Cette nouvelle publication est disponible sous les plans Defender pour les conteneurs et Defender pour les registres de conteneurs.
- Dans le cadre de ce changement, de nouvelles recommandations ont été publiées pour la disponibilité générale et incluses dans le calcul du score sécurisé. Passer en revue les recommandations de sécurité nouvelles et mises à jour
- L’analyse d’images conteneur alimentée par Microsoft Defender Vulnerability Management entraîne désormais des frais en fonction de la tarification du plan. Les images analysées à la fois par notre offre Évaluation des vulnérabilités des conteneurs basée sur Qualys et par notre offre Évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender ne seront facturées qu’une seule fois.
Les recommandations qualys pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continuent d’être disponibles pour les clients qui ont activé Defender pour conteneurs sur l’un de leurs abonnements avant cette version. Les nouveaux clients qui intègrent Defender pour les conteneurs après cette publication voient seulement les nouvelles recommandations de l’évaluation des vulnérabilités des conteneurs basées sur Gestion des vulnérabilités de Microsoft Defender.
Préversion publique de la prise en charge par Windows de l’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender
14 décembre 2023
La prise en charge des images Windows a été publiée en préversion publique dans le cadre de l’évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender pour les registres de conteneurs Azure et Azure Kubernetes Services.
Mise hors service de l’évaluation de la vulnérabilité des conteneurs AWS basée sur Trivy
13 décembre 2023
L’évaluation des vulnérabilités des conteneurs basée sur Trivy est maintenant en cours de mise hors service, qui sera complètement effective le 13 février. Cette fonctionnalité est désormais déconseillée et continuera d’être disponible pour les clients existants qui l’utilisent jusqu’au 13 février. Nous encourageons les clients utilisant cette fonctionnalité à effectuer une mise à niveau vers la nouvelle évaluation des vulnérabilités des conteneurs AWS basée sur Gestion des vulnérabilités de Microsoft Defender d’ici au 13 février.
Posture de conteneur sans agent pour AWS dans Defender pour les conteneurs et Defender CSPM (préversion)
13 décembre 2023
Les nouvelles fonctionnalités de la posture de conteneur sans agent (préversion) sont disponibles pour AWS. Pour plus d’informations, consultez Posture de conteneur sans agent dans Defender CSPM et Fonctionnalités sans agent dans Defender pour les conteneurs.
Disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans Defender pour le plan de bases de données relationnelles open source
13 décembre 2023
Nous annonçons la publication en disponibilité générale de la prise en charge du serveur flexible PostgreSQL dans le plan Microsoft Defender pour les bases de données relationnelles open source. Microsoft Defender pour les bases de données relationnelles open source offre une protection avancée contre les menaces pour les serveurs flexibles PostgreSQL, en détectant les activités anormales et en générant des alertes de sécurité.
Découvrez comment Activer Microsoft Defender pour les bases de données relationnelles open source.
L’évaluation des vulnérabilités des conteneurs basée sur Gestion des vulnérabilités de Microsoft Defender prend désormais en charge les images minimales (Distroless) Google
12 décembre 2023
Les évaluations des vulnérabilités de conteneur alimentées par Gestion des vulnérabilités Microsoft Defender ont été étendues avec une couverture plus étendue pour les packages de système d’exploitation Linux, prenant désormais en charge Google Distroless.
Pour obtenir la liste de tous les systèmes d’exploitation pris en charge, consultez Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités basée sur Gestion des vulnérabilités de Microsoft Defender.
Novembre 2023
Quatre alertes seront déconseillées
30 novembre 2023
Dans le cadre de notre processus d'amélioration de la qualité, les alertes de sécurité suivantes seront déconseillées :
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilité générale de l’analyse des secrets sans agent dans Defender pour serveurs et Defender CSPM
27 novembre 2023
L’analyse des secrets sans agent améliore la sécurité des machines virtuelles basées sur le cloud en identifiant les secrets en texte clair sur les disques de machine virtuelle. L’analyse des secrets sans agent fournit des informations complètes pour aider à classer par ordre de priorité les résultats détectés et à atténuer les risques des mouvements latéraux avant qu’ils ne se produisent. Cette approche proactive empêche l’accès non autorisé, ce qui garantit que votre environnement cloud reste sécurisé.
Nous annonçons la disponibilité générale de l’analyse des secrets sans agent, qui est incluse dans les plans Defender pour serveurs P2 et Defender CSPM.
L’analyse des secrets sans agent utilise des API cloud pour effectuer des captures instantanées de vos disques, en conduisant une analyse hors bande qui garantit qu’il n’y a aucun effet sur les performances de votre machine virtuelle. L’analyse des secrets sans agent étend la couverture offerte par Defender pour le cloud aux ressources cloud dans les environnements Azure, AWS et GCP afin d’améliorer votre sécurité cloud.
Avec cette publication, les fonctionnalités de détection de Defender pour le cloud prennent désormais en charge d’autres types de base de données, les URL signées du magasin de données, les jetons d’accès, etc.
Découvrez comment gérer les secrets avec l’analyse des secrets sans agent.
Activer la gestion des autorisations avec Microsoft Defender pour le cloud (préversion)
22 novembre 2023
Microsoft propose désormais des solutions CNAPP (Protection des applications natives Cloud) et CIEM (Gestion des droits d’utilisation de l’infrastructure cloud) avec Microsoft Defender pout le cloud (CNAPP) et Gestion des autorisations Microsoft Entra (CIEM).
Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d’accès inutilisées ou excessives dans Microsoft Defender pour le cloud.
Les équipes de sécurité peuvent conduire les contrôles d’accès les moins privilégiés pour les ressources cloud et recevoir des recommandations actionnables pour résoudre les risques d’autorisations dans les environnements cloud Azure, AWS et GCP dans le cadre de leur CSPM (Defender Cloud Security Posture Management), sans aucune exigence de licence supplémentaire.
Découvrez comment activer la gestion des autorisations dans Microsoft Defender pour le cloud (préversion).
Intégration de Microsoft Defender pour le cloud avec ServiceNow
22 novembre 2023
ServiceNow est désormais intégré à Microsoft Defender pour le cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender pour le cloud afin de hiérarchiser la correction des recommandations qui affectent votre entreprise. Microsoft Defender pour le cloud s’intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer/afficher des tickets ServiceNow (liés aux recommandations) de Microsoft Defender pour le cloud.
Vous pouvez en savoir plus sur l’intégration de Defender pour le cloud avec ServiceNow.
Disponibilité générale du processus d’autoapprovisionnement pour les serveurs SQL sur le plan des machines
20 novembre 2023
En préparation à la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender pour le cloud a publié un processus d’approvisionnement automatique Azure Monitoring Agent (AMA) ciblé sur SQL Server. Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients. Il permet également d’activer des machines virtuelles Azure SQL et des serveurs SQL avec Arc au niveau des ressources.
Les clients qui utilisent le processus d’approvisionnement automatique MMA doivent migrer vers le nouveau processus d’approvisionnement automatique de l’agent Azure Monitor pour SQL Server sur des machines. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Disponibilité générale de Defender pour les API
15 novembre 2023
Nous annonçons la disponibilité générale de Microsoft Defender pour les API. Defender pour les API est conçu pour protéger les organisations contre les menaces de sécurité des API.
Defender pour les API permet aux organisations de protéger leurs API et leurs données contre les acteurs malveillants. Les organisations peuvent investiguer et améliorer leur position de sécurité des API, classer par ordre de priorité les correctifs de vulnérabilités, et détecter et répondre rapidement aux menaces actives en temps réel. Les organisations peuvent également intégrer des alertes de sécurité directement dans leur plateforme de gestion des informations et des événements de sécurité (SIEM), par exemple Microsoft Sentinel, pour investiguer et trier les problèmes.
Vous pouvez découvrir comment protéger vos API avec Defender pour les API. Vous pouvez aussi en savoir plus en consultant À propos de Microsoft Defender pour les API.
Vous pouvez également lire ce blog pour en savoir plus sur l’annonce en disponibilité générale.
Microsoft Defender pour le Cloud est maintenant intégré à Microsoft 365 Defender (préversion)
15 novembre 2023
Les entreprises peuvent protéger leurs ressources et appareils cloud avec la nouvelle intégration entre Microsoft Defender pour le cloud et Microsoft Defender XDR. Cette intégration relie les ressources cloud, les appareils et les identités, qui nécessitaient auparavant plusieurs expériences.
Cette intégration apporte également des fonctionnalités de protection de cloud compétitives dans le Centre des opérations de sécurité (SOC) au quotidien. Avec Microsoft Defender XDR, les équipes du Centre des opérations de sécurité (SOC) peuvent facilement découvrir les attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Point de terminaison, Identité, Office 365, etc.
Voici les principaux avantages :
Une interface simple à utiliser pour les équipes SOC : avec les alertes et les corrélations cloud de Defender pour le cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d’une seule interface, ce qui améliore considérablement l’efficacité opérationnelle.
Un scénario histoire d’attaque : les clients sont en mesure de comprendre entièrement le scénario d’attaque, y compris leur environnement cloud, à l’aide de corrélations prédéfinies qui combinent des alertes de sécurité provenant de plusieurs sources.
Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge les nouvelles entités cloud propres à Microsoft Defender pour le cloud, comme des ressources cloud. Les clients peuvent faire correspondre des entités de machine virtuelle à des entités d’appareil, fournissant une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui y ont été déclenchés.
API unifiée pour les produits de sécurité Microsoft : les clients peuvent désormais exporter les données de leurs alertes de sécurité dans les systèmes de leur choix en utilisant une même API, car les alertes et incidents Microsoft Defender pour le cloud font désormais partie de l’API publique de Microsoft Defender XDR.
L’intégration entre Defender pour le cloud et Microsoft Defender XDR est disponible pour tous les clients Defender pour le cloud nouveaux et existants.
Disponibilité générale de l’évaluation des vulnérabilités des conteneurs alimentée par la Gestion des vulnérabilités de Microsoft Defender (MDVM) dans Defender pour les conteneurs et Defender pour les registres de conteneurs
15 novembre 2023
L’évaluation des vulnérabilités (VA) pour des images de conteneurs Linux dans des registres de conteneurs Azure alimentées par la Gestion des vulnérabilités de Microsoft Defender (MDVM) est publiée pour la disponibilité générale (GA) dans Defender pour les conteneurs et Defender pour les registres de conteneurs.
Dans le cadre de cette modification, les recommandations suivantes ont été publiées pour la disponibilité générale et renommées, et sont désormais incluses dans le calcul du score sécurisé :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (optimisé par l’agent Gestion des vulnérabilités Microsoft Defender) | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | Les évaluations des vulnérabilités des images conteneur analysent votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution. | Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L’analyse de l’image conteneur alimentée par MDVM entraîne désormais des frais en fonction de la tarification du plan.
Note
Les images analysées à la fois par notre offre de conteneur VA alimentée par Qualys et l’offre de conteneur VA alimentée par MDVM, ne seront facturées qu’une seule fois.
Les recommandations Qualys ci-dessous pour l’évaluation des vulnérabilités des conteneurs ont été renommées et continueront d’être disponibles pour les clients qui ont activé Defender pour les conteneurs sur l’un de leurs abonnements avant le 15 novembre. Les nouveaux clients qui intègrent Defender pour les conteneurs après le 15 novembre voient uniquement les nouvelles recommandations d’évaluation des vulnérabilités de conteneur optimisées par Gestion des vulnérabilités de Microsoft Defender.
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Modification des noms de recommandations d’évaluations des vulnérabilités de conteneur
Les recommandations relatives aux évaluations des vulnérabilités d’un conteneur suivantes ont été renommées :
| Nom de la recommandation actuel | Nouveau nom de la recommandation | Description | Clé d’évaluation |
|---|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | Les vulnérabilités (optimisées par Qualys) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs Azure (optimisées par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
| Les résultats de vulnérabilité des images de registre de conteneurs élastiques doivent être résolus | Les vulnérabilités (optimisées par Trivy) doivent être résolues sur les images de conteneur de registre AWS | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Hiérarchisation des risques désormais disponible pour les recommandations
15 novembre 2023
Vous pouvez maintenant hiérarchiser vos recommandations de sécurité en fonction du niveau de risque qu’elles présentent, en tenant compte à la fois de l’exploitabilité et de l’effet commercial potentiel de chaque problème de sécurité sous-jacent.
En organisant vos recommandations en fonction de leur niveau de risque (critique, élevé, moyen, faible), vous pouvez résoudre les risques les plus critiques au sein de votre environnement et hiérarchiser efficacement la correction des problèmes de sécurité en fonction du risque réel tel que l’exposition à Internet, la sensibilité des données, les possibilités de déplacement latéral et les chemins d’attaque potentiels qui pourraient être atténués en résolvant les recommandations.
En savoir plus sur la hiérarchisation des risques.
Analyse du chemin d'attaque : nouveau moteur et améliorations importantes
15 novembre 2023
Nous publions des améliorations apportées aux fonctionnalités d’analyse des chemins d’attaque dans Microsoft Defender pour le cloud.
Nouveau moteur : l’analyse du chemin d’attaque a un nouveau moteur, qui utilise l’algorithme de recherche de chemin d’accès pour détecter tous les chemins d’attaque possibles qui existent dans votre environnement cloud (en fonction des données que nous avons dans notre graphique). Nous pouvons trouver de nombreux chemins d’attaque supplémentaires dans votre environnement et détecter des modèles d’attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
Améliorations : les améliorations suivantes sont publiées :
- Hiérarchisation des risques : liste hiérarchisée des chemins d’attaque en fonction du risque (exploitabilité et impact sur l’entreprise).
- Correction améliorée : identifier les recommandations spécifiques qui doivent être résolues pour briser réellement la chaîne.
- Chemins d’attaque interclouds – détection des chemins d’attaque qui sont des chemins d’accès interclouds (chemins qui commencent dans un cloud et se terminent dans un autre).
- MITRE : mappage de tous les chemins d’attaque au framework MITRE.
- Expérience utilisateur actualisée – expérience actualisée avec des fonctionnalités plus fortes : filtres avancés, recherche et regroupement de chemins d’attaque pour faciliter le triage.
Découvrez comment identifier et corriger les chemins d’accès d’attaques
Modifications apportées au schéma de table Azure Resource Graph d'Attack Path
15 novembre 2023
Le schéma de table Azure Resource Graph du chemin d’attaque est mis à jour. La propriété attackPathType est supprimée et d’autres propriétés sont ajoutées.
Version en disponibilité générale de la prise en charge de GCP dans defender CSPM
15 novembre 2023
Nous annonçons la version en disponibilité générale du graphique contextuel de sécurité cloud et de l’analyse du chemin d’attaque de Defender CSPM avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de Defender CSPM pour une visibilité complète et une sécurité cloud intelligente sur les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan Defender CSPM.
Note
La facturation de la version en disponibilité générale du support GCP dans Defender CSPM commencera le 1er février 2024.
Version en disponibilité générale du tableau de bord de sécurité des données
15 novembre 2023
Le tableau de bord de la sécurité des données est désormais disponible en version en disponibilité générale dans le cadre du plan CSPM Defender.
Le tableau de bord de sécurité des données vous permet d’afficher le patrimoine de données de votre organisation, les risques liés aux données sensibles et les insights sur vos ressources de données.
Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version en disponibilité générale de la découverte de données sensibles pour les bases de données
15 novembre 2023
La découverte de données sensibles pour les bases de données managées, notamment les bases de données Azure SQL et les instances AWS RDS (toutes les saveurs SGBDR) est désormais en disponibilité générale et permet la découverte automatique de bases de données critiques qui contiennent des données sensibles.
Pour activer cette fonctionnalité dans tous les magasins de données pris en charge sur vos environnements, vous devez activer Sensitive data discovery dans Defender CSPM. Découvrez comment activer la découverte de données sensibles dans Defender CSPM.
Vous pouvez également découvrir comment la découverte de données sensibles est utilisée dans la posture de sécurité prenant en charge les données.
Annonce de la préversion publique : Nouvelle visibilité étendue de la sécurité des données multicloud dans Microsoft Defender pour le cloud.
La nouvelle version de la recommandation pour rechercher les mises à jour système manquantes est maintenant en disponibilité générale
6 novembre 2023
Vous n’avez plus besoin d’un agent supplémentaire sur vos machines virtuelles Azure et vos machines Azure Arc pour que les machines aient toutes les dernières mises à jour système critiques ou de sécurité.
La nouvelle recommandation de mise à jour système, System updates should be installed on your machines (powered by Azure Update Manager) dans le Apply system updates contrôle, est basée sur Update Manager et est désormais entièrement en disponibilité générale. La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et machines Azure Arc au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous guide pour faire une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire de mise à jour.
Les anciennes et nouvelles versions des recommandations pour rechercher les mises à jour système manquantes seront disponibles jusqu’en août 2024, c’est-à-dire quand l’ancienne version est dépréciée. Les deux recommandations : System updates should be installed on your machines (powered by Azure Update Manager) et System updates should be installed on your machines sont disponibles sous le même contrôle : Apply system updates et ont les mêmes résultats. Par conséquent, il n’y a pas de duplication de l’effet sur le degré de sécurisation.
Nous vous recommandons de migrer vers la nouvelle recommandation et de supprimer l’ancienne, en la désactivant dans l’initiative intégrée de Defender pour le cloud dans la stratégie Azure.
La recommandation [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) est également en disponibilité générale et constitue un prérequis, ce qui a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le correctif disponible.
Pour appliquer la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)pour corriger la recommandation.
Note
Activer des évaluations périodiques pour les machines avec Arc dont Defender pour serveurs Plan 2 n’est pas activé sur leur abonnement ou connecteur associé, (soumis au tarif d’Azure Update Manager). Les machines avec Arc qui ont Defender pour serveurs Plan 2 activé sur leur abonnement ou connecteurs associés, ou toute machine virtuelle Azure, sont éligibles à cette fonctionnalité sans coût supplémentaire.
Octobre 2023
Modification de la gravité de l’alerte de sécurité du contrôle d’application adaptatif
Date d’annonce : 30 octobre 2023
Dans le cadre du processus d’amélioration de la qualité des alertes de sécurité de Defender pour serveurs et dans le cadre de la fonctionnalité contrôles d’application adaptatifs, la gravité de l’alerte de sécurité suivante passe à « Informational » :
| Alerte [Type d’alerte] | Description de l’alerte |
|---|---|
| La violation de la stratégie de contrôle d’application adaptative a été auditée.[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application. |
Pour continuer à afficher cette alerte dans la page « Alertes de sécurité » dans le portail Microsoft Defender pour cloud, modifiez la gravité du filtre d’affichage par défaut pour inclure des alertes d’information dans la grille.
Révisions de Gestion des API Azure hors connexion supprimées de Defender pour les API
25 octobre 2023
Defender pour les API a mis à jour sa prise en charge des révisions d’API de Gestion des API Azure. Les révisions hors connexion n’apparaissent plus dans l’inventaire d’API Defender intégré et ne semblent plus être intégrées à Defender pour les API. Les révisions hors connexion n’autorisent pas l’envoi d’un trafic vers elles et ne présentent aucun risque du point de vue de la sécurité.
Recommandations de gestion de la posture de sécurité DevOps disponibles en préversion publique
19 octobre 2023
Les nouvelles recommandations de gestion de posture DevOps sont désormais disponibles en préversion publique pour tous les clients disposant d’un connecteur pour Azure DevOps ou GitHub. La gestion de la posture DevOps permet de réduire la surface d’attaque des environnements DevOps en découvrant les faiblesses des configurations de sécurité et des contrôles d’accès. En savoir plus sur la gestion de la posture DevOps.
Publication de CIS Azure Foundations Benchmark v2.0.0 dans le tableau de bord conformité réglementaire
18 octobre 2023
Microsoft Defender pour le cloud prend désormais en charge le dernier Benchmark CIS Azure Security Foundations - version 2.0.0 dans le tableau de bord de la conformité réglementaire, ainsi qu’une initiative de stratégie intégrée dans Azure Policy. La publication de la version 2.0.0 dans Microsoft Defender pour le cloud est le résultat d’une collaboration entre Microsoft, le Center for Internet Security (CIS) et les communautés d’utilisateurs. La version 2.0.0 élargit considérablement l’étendue de l’évaluation, qui inclut désormais plus de 90 stratégies Azure intégrées et succède aux versions antérieures 1.4.0 et 1.3.0 et 1.0 de Microsoft Defender pour le cloud et Azure Policy. Pour plus d’informations, vous pouvez consulter ce billet de blog.
Septembre 2023
Passer à la limite quotidienne de Log Analytics
Azure Monitor offre la possibilité de définir une limite quotidienne sur les données ingérées dans vos espaces de travail Log Analytics. Toutefois, les événements de sécurité Defender pour le cloud ne sont actuellement pas pris en charge dans ces exclusions.
La limite quotidienne Log Analytics n’exclut plus l’ensemble de données suivant :
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Tous les types de données facturables seront limités si la limite quotidienne est atteinte. Cette modification améliore votre capacité à contenir entièrement les coûts liés à une ingestion de données plus élevée que prévu.
Apprenez-en plus sur espaces de travail avec Microsoft Defender pour le cloud.
Tableau de bord de la sécurité des données disponible en préversion publique
27 septembre 2023
Le tableau de bord de la sécurité des données est désormais disponible en préversion publique dans le cadre du plan CSPM Defender. Le tableau de bord de la sécurité des données est un tableau de bord interactif centré sur les données qui met en lumière les risques importants pour les données sensibles, en hiérarchisant les alertes et les chemins d’attaque éventuels pour les données sur les charges de travail cloud hybrides. Découvrez plus d’informations sur le tableau de bord de la sécurité des données.
Version préliminaire : nouveau processus d’approvisionnement automatique pour SQL Server plan sur les machines
21 septembre 2023
Microsoft Monitoring Agent (MMA) sera déprécié en août 2024. Defender pour le cloud a mis à jour sa stratégie en remplaçant MMA par la publication d’un processus d’approvisionnement automatique de l’agent de surveillance Azure SQL Server ciblé.
Pendant la préversion, les clients qui utilisent le processus de provisionnement automatique MMA avec l’option Agent Azure Monitor (préversion) sont priés de migrer vers le nouveau processus de provisionnement automatique Azure Monitoring Agent pour SQL Server sur des machines (préversion). Le processus de migration est transparent et fournit une protection continue pour toutes les machines.
Pour plus d’informations, consultez Migrer vers le processus de provisionnement automatique Azure Monitoring Agent ciblé sur SQL Server.
Alertes GitHub Advanced Security pour Azure DevOps dans Defender pour le cloud
20 septembre 2023
Vous pouvez maintenant afficher GitHub Advanced Security pour les alertes Azure DevOps (GHAzDO) relatives à CodeQL, aux secrets et aux dépendances dans Defender pour le cloud. Les résultats sont affichés sur la page DevOps et dans Recommandations. Pour voir ces résultats, intégrez vos dépôts avec GHAzDO à Defender pour le cloud.
En savoir plus sur GitHub Advanced Security pour Azure DevOps.
Fonctionnalité exemptée désormais disponible pour les recommandations de Defender pour API
11 septembre 2023
Vous pouvez désormais exempter les recommandations pour les recommandations de sécurité Defender pour API suivantes.
| Recommendation | Description et stratégie associée | Severity |
|---|---|---|
| (Préversion) Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation des points de terminaison d’API inutilisés peut présenter un risque de sécurité. Il s’agit peut-être d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui ont été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | Low |
| (Préversion) Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Pour les API publiées dans Gestion des API Azure, cette recommandation évalue l’exécution de l’authentification par le biais des clés d’abonnement, du jeton JWT et du certificat client configurés dans Gestion des API Azure. Si aucun de ces mécanismes d’authentification n’est exécuté pendant l’appel d’API, l’API reçoit cette recommandation. | High |
En savoir plus sur les recommandations d’exemption dans Defender pour le cloud.
Créer des exemples d’alertes pour les détections de Defender pour API
11 septembre 2023
Vous pouvez maintenant générer des exemples d’alertes pour les détections de sécurité qui ont été publiées dans le cadre de la préversion publique de Defender pour API. Découvrez plus d’informations sur la génération d’exemples d’alertes dans Defender pour le cloud.
Préversion : l’évaluation des vulnérabilités des conteneurs optimisée par l’agent Gestion des vulnérabilités Microsoft Defender prend désormais en charge l’analyse lors de l’extraction
6 septembre 2023
L’évaluation des vulnérabilités des conteneurs alimentée par Gestion des vulnérabilités Microsoft Defender prend désormais en charge un déclencheur supplémentaire pour l’analyse d’images extraites d’un ACR. Ce déclencheur nouvellement ajouté fournit une couverture supplémentaire pour les images actives en plus des déclencheurs existants qui analysent les images envoyées à un ACR au cours des 90 derniers jours et les images en cours d’exécution dans AKS.
Ce nouveau déclencheur commencera à être déployé aujourd’hui et devrait être disponible pour tous les clients d’ici la fin du mois de septembre.
Format de nommage des normes de Center for Internet Security (CIS) en matière de conformité réglementaire mis à jour
6 septembre 2023
Le format de nommage des benchmarks de base CIS (Center for Internet Security) dans le tableau de bord de conformité passe de [Cloud] CIS [version number] à CIS [Cloud] Foundations v[version number]. Reportez-vous au tableau suivant :
| Nom actuel | Nouveau Nom |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Découvrez comment améliorer votre conformité réglementaire.
Découverte de données sensibles pour les bases de données PaaS (préversion)
5 septembre 2023
Les fonctionnalités de la posture de sécurité sensible aux données pour la découverte de données sensibles sans friction pour les bases de données PaaS (bases de données Azure SQL et instances Amazon RDS de tout type) sont désormais en préversion publique. Cette préversion publique vous permet de créer une carte de vos données critiques où qu’elles se trouvent et du type des données qui se trouvent dans ces bases de données.
La découverte de données sensibles pour les bases de données Azure et AWS ajoute à la taxonomie et à la configuration partagées, qui sont déjà disponibles publiquement pour les ressources de stockage d’objets cloud (Stockage Blob Azure, compartiments AWS S3 et compartiments de stockage GCP) et fournit une expérience de configuration et d’activation unique.
Les bases de données sont analysées chaque semaine. Si vous activez sensitive data discovery, la découverte s’exécute dans les 24 heures. Les résultats peuvent être affichés dans le Cloud Security Explorer ou en examinant les nouveaux chemins d’attaque pour les bases de données managées comprenant des données sensibles.
La posture de sécurité sensible aux données pour les bases de données est disponible via le plan Defender CSPM et est automatiquement activée sur les abonnements où l’option sensitive data discovery est activée.
Pour en savoir plus sur la posture de sécurité sensible aux données, consultez les articles suivants :
- Prise en charge et conditions préalables pour la posture de sécurité prenant en charge les données
- Activer la posture de sécurité sensible aux données
- Explorer les risques concernant les données sensibles
Disponibilité générale (GA) : analyse des programmes malveillants dans Defender pour le stockage
1 septembre 2023
L’analyse des programmes malveillants est désormais en disponibilité générale (GA) en tant que module complémentaire de Defender pour le stockage. L'analyse des malwares dans Defender pour le stockage permet de protéger vos comptes de stockage contre les contenus malveillants en effectuant une analyse complète des programmes malveillants sur les contenus téléchargés en temps quasi réel, grâce aux fonctionnalités de Microsoft Defender Antivirus. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. La fonctionnalité d’analyse des programmes malveillants est une solution SaaS sans agent qui permet une configuration à grande échelle et prend en charge l’automatisation de la réponse à grande échelle.
En savoir plus sur l’analyse des programmes malveillants dans Defender pour le stockage.
L’analyse des programmes malveillants est facturée en fonction de votre utilisation des données et du budget. La facturation commence le 3 septembre 2023. Pour plus d’informations, consultez la page de tarification .
Si vous utilisez le plan précédent, vous devez migrer de manière proactive vers le nouveau plan afin d’activer l’analyse des programmes malveillants.
Lire le billet de blog de l’annonce de Microsoft Defender pour le cloud.
Août 2023
Les mises à jour en août sont les suivantes :
Defender pour conteneurs :découverte sans agent pour Kubernetes
30 août 2023
Nous sommes ravis de présenter Defender pour conteneurs :découverte sans agent pour Kubernetes. Cette version marque une étape importante en matière de sécurité des conteneurs, vous permettant d’obtenir des insights avancés et des fonctionnalités d’inventaire complètes pour les environnements Kubernetes. La nouvelle offre de conteneur est optimisée par le graphique de sécurité contextuelle Defender pour le cloud. Voici ce que vous pouvez attendre de cette dernière mise à jour :
- Découverte sans agent pour Kubernetes
- Fonctionnalités d’inventaire complètes
- Insights de sécurité spécifiques à Kubernetes
- Meilleure chasse aux risques avec Cloud Security Explorer
La découverte sans agent pour Kubernetes est désormais disponible pour tous les clients Defender pour conteneurs. Vous pouvez commencer à utiliser ces fonctionnalités avancées dès aujourd’hui. Nous vous encourageons à mettre à jour vos abonnements pour que l’ensemble complet d’extensions soit activé et tirer parti des derniers ajouts et fonctionnalités. Visitez le volet Environnement et paramètres de votre abonnement Defender pour conteneurs pour activer l’extension.
Note
L’activation des derniers ajouts n’entraîne pas de nouveaux coûts pour les clients Defender pour conteneurs actifs.
Pour plus d’informations, consultez Présentation de la sécurité de conteneur de Microsoft Defender pour les conteneurs.
Publication de recommandation : Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles
22 août 2023
Une nouvelle recommandation dans Defender pour le stockage a été publiée. Cette recommandation garantit que Defender pour stockage est activé au niveau de l’abonnement avec des fonctionnalités d’analyse des programmes malveillants et de détection des menaces de données sensibles.
| Recommendation | Description |
|---|---|
| Microsoft Defender pour le stockage doit être activé avec l’analyse des programmes malveillants et la détection des menaces de données sensibles | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. Avec une configuration simple sans agent à grande échelle, lorsqu’il est activé au niveau de l’abonnement, tous les comptes de stockage existants et nouvellement créés sous cet abonnement sont automatiquement protégés. Vous pouvez également exclure des comptes de stockage spécifiques des abonnements protégés. |
Cette nouvelle recommandation remplace la recommandation actuelle Microsoft Defender for Storage should be enabled (clé d’évaluation 1be22853-8ed1-4005-9907-ddad64cb1417). Toutefois, cette recommandation sera toujours disponible dans les clouds de gouvernement Azure.
En savoir plus sur Microsoft Defender pour stockage.
Les propriétés étendues dans les alertes de sécurité Defender pour le cloud sont masquées dans les journaux d’activité
17 août 2023
Nous avons récemment modifié la façon dont les alertes de sécurité et les journaux d’activité sont intégrés. Pour mieux protéger les informations sensibles sur les clients, nous n’incluons plus ces informations dans les journaux d’activité. Au lieu de cela, nous le masquons avec des astérisque. Toutefois, ces informations sont toujours disponibles via l’API alertes, l’exportation continue et le portail Defender pour le cloud.
Les clients qui s’appuient sur les journaux d’activité pour exporter des alertes vers leurs solutions SIEM doivent envisager d’utiliser une autre solution, car ce n’est pas la méthode recommandée pour exporter les alertes de sécurité Defender pour le cloud.
Pour obtenir des instructions sur l’exportation d’alertes de sécurité Defender pour le cloud vers SIEM, SOAR et d’autres applications tierces, consultez Stream alertes vers une solution SIEM, SOAR ou IT Service Management.
Préversion de la prise en charge de GCP dans Defender CSPM
15 août 2023
Nous annonçons la préversion du graphique contextuel de sécurité cloud et de l’analyse du chemin d’attaque de Defender CSPM avec prise en charge des ressources GCP. Vous pouvez appliquer la puissance de Defender CSPM pour une visibilité complète et une sécurité cloud intelligente sur les ressources GCP.
Les principales fonctionnalités de notre prise en charge GCP sont les suivantes :
- Analyse du chemin d’attaque : comprendre les itinéraires potentiels que les attaquants peuvent emprunter.
- Explorateur de sécurité cloud : identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur des graphiques sur le graphique de sécurité.
- Analyse sans agent : analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d’agent.
- Posture de sécurité prenant en compte les données : découvrez et corrigez les risques pour les données sensibles dans les compartiments de stockage Google Cloud.
En savoir plus sur les options de plan Defender CSPM.
Nouvelles alertes de sécurité dans Defender pour serveurs Plan 2 : détection des attaques potentielles qui abusent des extensions de machines virtuelles Azure
7 août 2023
Cette nouvelle série d’alertes se concentre sur la détection des activités suspectes des extensions de machine virtuelle Azure et fournit des insights sur les tentatives d’attaquants de compromettre et d’effectuer des activités malveillantes sur vos machines virtuelles.
Microsoft Defender pour serveurs peut désormais détecter l’activité suspecte des extensions de machine virtuelle, ce qui vous permet d’obtenir une meilleure couverture de la sécurité des charges de travail.
Les extensions de machine virtuelle Azure sont de petites applications qui exécutent un post-déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :
- Pour la collecte et la surveillance des données.
- Pour l’exécution du code et le déploiement de configuration avec des privilèges élevés.
- Pour réinitialiser les informations d’identification et créer des utilisateurs administratifs.
- Pour le chiffrement des disques.
Voici un tableau des nouvelles alertes.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Échec suspect lors de l’installation de l’extension GPU dans votre abonnement (préversion) (VM_GPUExtensionSuspiciousFailure) |
Intention suspecte d’installer une extension GPU sur des machines virtuelles non prises en charge. Cette extension doit être installée sur les machines virtuelles équipées d’un processeur graphique et, dans ce cas, les machines virtuelles ne sont pas équipées de ce type. Ces échecs peuvent être vus lorsque des adversaires malveillants exécutent plusieurs installations de cette extension à des fins de crypto-exploration. | Impact | Medium |
|
Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) Cette alerte a été publiée en juillet 2023. |
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’installation suspecte d’une extension GPU. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels. | Impact | Low |
|
Run Command avec un script suspect a été détecté sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousScript) |
Une Run Command avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
|
Une utilisation suspecte non autorisée de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousFailure) |
L’utilisation suspecte non autorisée de Run Command a échoué et a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent tenter d’utiliser Run Command pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Resource Manager Azure. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Execution | Medium |
|
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle (préversion) (VM_RunCommandSuspiciousUsage) |
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur vos machines virtuelles via Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant. | Execution | Low |
|
Une utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles (préversion) (VM_SuspiciousMultiExtensionUsage) |
L’utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de ces extensions pour la collecte de données, la surveillance du trafic réseau, etc. dans votre abonnement. Cet usage est considéré comme suspect, car il n’a pas été couramment observé auparavant. | Reconnaissance | Medium |
|
Une installation suspecte d’extensions de chiffrement de disque a été détectée sur vos machines virtuelles (préversion) (VM_DiskEncryptionSuspiciousUsage) |
Une installation suspecte d'extensions de chiffrement de disque a été détectée sur vos machines virtuelles en analysant les opérations d'Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de l’extension de chiffrement de disque pour déployer des chiffrements de disque complets sur vos machines virtuelles via le Resource Manager Azure dans le but d’effectuer une activité de ransomware. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant et en raison du nombre élevé d’installations d’extension. | Impact | Medium |
|
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles (préversion) (VM_VMAccessSuspiciousUsage) |
Une utilisation suspecte de l’extension d’accès aux machines virtuelles a été détectée sur vos machines virtuelles. Les attaquants peuvent abuser de l’extension d’accès aux machines virtuelles pour accéder à et compromettre vos machines virtuelles disposant de privilèges élevés en réinitialisant l’accès ou en gérant les utilisateurs administratifs. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Persistence | Medium |
|
Desired State Configuration extension (DSC) avec un script suspect a été détecté sur votre machine virtuelle (préversion) (VM_DSCExtensionSuspiciousScript) |
L’extension Desired State Configuration (DSC) avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
|
Une utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles (préversion) (VM_DSCExtensionSuspiciousUsage) |
L’utilisation suspecte de plusieurs extensions Desired State Configuration (DSC) a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension. | Impact | Low |
|
L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle (préversion) (VM_CustomScriptExtensionSuspiciousCmd) (Cette alerte existe déjà et a été améliorée avec des méthodes de logique et de détection améliorées.) |
Une extension de script personnalisée avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l'extension de script personnalisé pour exécuter un code malveillant avec des privilèges élevés sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes. | Execution | High |
Consultez les alertes basées sur les extensions dans Defender pour serveurs.
Pour obtenir la liste complète des alertes, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.
Mises à jour du modèle d’entreprise et des tarifs pour les plans Defender pour le cloud
1er août 2023
Microsoft Defender pour le cloud possède trois plans qui offrent une protection de la couche de service :
Defender pour Key Vault
Defender pour Resource Manager
Defender pour DNS
Ces plans sont passés à un nouveau modèle d’entreprise avec des prix et des emballages différents pour répondre aux commentaires des clients concernant la prévisibilité des dépenses et la simplification de la structure de coût globale.
Résumé des modifications de modèle d’entreprise et de tarification :
Les clients existants de Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise et leur tarification actuels, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et la nouvelle tarification.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement et par mois. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle d’abonnement de Defender pour Resource Manager.
Les clients existants de Defender pour Key-Vault, Defender pour Resource Manager et Defender pour DNS conservent leur modèle d’entreprise et leur tarification actuels, sauf s’ils choisissent activement de basculer vers le nouveau modèle d’entreprise et la nouvelle tarification.
- Defender pour Resource Manager : ce plan a un prix fixe par abonnement et par mois. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle d’abonnement de Defender pour Resource Manager.
- Defender pour Key Vault : ce plan a un prix fixe par coffre et par mois, sans frais de dépassement. Les clients peuvent passer au nouveau modèle commercial en sélectionnant le nouveau modèle par chambre forte de Defender for Key Vault
- Defender pour DNS : les clients de Defender pour serveurs Plan 2 ont accès à la valeur Defender pour DNS dans le cadre de Defender pour serveurs Plan 2 sans frais supplémentaires. Les clients qui ont à la fois Defender pour serveur Plan 2 et Defender pour DNS ne sont plus facturés pour Defender pour DNS. Defender pour DNS n’est plus disponible en tant que plan autonome.
Pour en savoir plus sur la tarification de ces plans, consultez la page de tarification de Defender pour le cloud.
Juillet 2023
Les mises à jour du mois de juillet incluent :
Préversion de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender
31 juillet 2023
Nous annonçons la publication de l’évaluation des vulnérabilités (VA) pour les images conteneur Linux dans les registres de conteneurs Azure alimentés par Gestion des vulnérabilités Microsoft Defender dans Defender pour conteneurs et Defender pour les registres de conteneurs. La nouvelle offre VA de conteneurs sera fournie parallèlement à notre offre VA de conteneurs existante avec Qualys dans Defender pour les conteneurs et Defender pour les registres de conteneurs, et inclura des réanalyses quotidiennes des images de conteneurs, des informations d’exploitabilité, une prise en charge du système d’exploitation et des langages de programmation (SCA) et bien plus encore.
Cette nouvelle offre commencera à être déployée aujourd'hui et devrait être disponible pour tous les clients d'ici le 7 août.
En savoir plus sur l’évaluation des vulnérabilités de conteneur avec Gestion des vulnérabilités Microsoft Defender.
La posture de conteneur sans agent dans CSPM Defender est désormais en disponibilité générale
30 juillet 2023
Les fonctionnalités de posture de conteneur sans agent sont désormais en disponibilité générale dans le cadre du plan Defender CSPM (Cloud Security Posture Management).
En savoir plus sur la posture de conteneur sans agent dans CSPM Defender.
Gestion des mises à jour automatiques de Defender pour point de terminaison pour Linux
20 juillet 2023
Par défaut, Defender pour le cloud tente de mettre à jour vos agents Defender pour point de terminaison pour Linux intégrés à l’extension MDE.Linux. Avec cette version, vous pouvez gérer ce paramètre et désactiver la configuration par défaut pour gérer manuellement vos cycles de mise à jour.
Analyse des secrets sans agent pour les machines virtuelles dans Defender pour serveurs P2 &GPSI Defender
18 juillet 2023
L’analyse des secrets est désormais disponible dans le cadre de l’analyse sans agent dans Defender pour serveurs P2 et Defender CSPM. Cette fonctionnalité permet de détecter les secrets non managés et non sécurisés enregistrés sur des machines virtuelles, dans des ressources Azure ou AWS, qui peuvent être utilisés à des fins de mouvement latéral dans le réseau. En cas de détection de secrets, Defender pour le cloud peut vous aider à établir des priorités et à prendre des mesures correctives exploitables en vue de réduire le risque de mouvement latéral, tout cela sans nuire aux performances de votre machine.
Pour plus d’informations sur la protection de vos secrets avec l’analyse des secrets, consultez Gérer les secrets avec l’analyse des secrets sans agent.
Nouvelle alerte de sécurité dans Defender pour serveurs plan 2 : détection des attaques potentielles à l’aide des extensions de pilotes GPU de machine virtuelle Azure
12 juillet 2023
Cette alerte se concentre sur l’identification des activités suspectes à l’aide des extensions de pilote GPU de machine virtuelle Azure et fournit des insights sur les tentatives de compromission de vos machines virtuelles par des attaquants. L’alerte cible les déploiements suspects d’extensions de pilotes GPU. Ces extensions sont souvent utilisées par les acteurs de menace pour utiliser toute la puissance de la carte graphique et effectuer un cryptojacking.
| Nom d’affichage de l’alerte (Type d’alerte) |
Description | Severity | Tactique MITRE |
|---|---|---|---|
| Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion) (VM_GPUDriverExtensionUnusualExecution) |
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté l’installation suspecte d’une extension GPU dans votre machine virtuelle. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. | Low | Impact |
Pour obtenir la liste complète des alertes, consultez le tableau de référence pour toutes les alertes de sécurité dans Microsoft Defender pour le cloud.
Prise en charge de la désactivation des résultats de vulnérabilité spécifiques
9 juillet 2023
Publication de la prise en charge pour désactiver les résultats des vulnérabilités pour vos images de registre de conteneurs ou pour l’exécution d’images dans le cadre d’une posture de conteneur sans agent. Si votre organisation a besoin d’ignorer un résultat de vulnérabilité sur votre image de registre de conteneurs plutôt que de le corriger, vous pouvez désactiver cette fonction. Les résultats désactivés n’ont pas d’effet sur votre degré de sécurisation, et ne génèrent aucun bruit indésirable.
Découvrez comment désactiver les résultats d’évaluation des vulnérabilités sur les images du registre de conteneurs.
La posture de sécurité prenant en charge les données est désormais en disponibilité générale
1er juillet 2023
La posture de sécurité prenant en charge les données dans Microsoft Defender pour le cloud est désormais en disponibilité générale. Elle aide les clients à réduire les risques liés aux données et à réagir aux violations de données. À l’aide de la posture de sécurité prenant en compte les données, vous pouvez :
- Découvrez automatiquement les ressources de données sensibles dans Azure et AWS.
- Évaluer la sensibilité des données, l’exposition des données et la façon dont les données circulent entre les organisations.
- Découvrir de manière proactive et continue les risques susceptibles d’entraîner des violations de données.
- Détectez des activités suspectes pouvant indiquer des menaces continues pour des ressources de données sensibles
Pour plus d’informations, consultez Posture de sécurité prenant en charge les données dans Microsoft Defender pour le cloud.
Juin 2023
Les mises à jour du mois de juin incluent :
Intégration simplifiée de comptes multiclouds grâce à des paramètres améliorés
26 juin 2023
Defender pour le cloud a amélioré l’expérience d’intégration pour inclure une nouvelle interface utilisateur simplifiée et des instructions en plus de nouvelles fonctionnalités qui vous permettent d’intégrer vos environnements AWS et GCP tout en fournissant un accès à des fonctionnalités d’intégration avancées.
Pour les organisations ayant adopté Hashicorp Terraform pour l’automatisation, Defender pour le cloud offre désormais la possibilité d’utiliser Terraform comme méthode de déploiement avec AWS CloudFormation ou GCP Cloud Shell. Vous pouvez désormais personnaliser les noms de rôles requis lors de la création de l’intégration. Vous pouvez également choisir entre les options suivantes :
Accès par défaut : permet à Defender for Cloud d’analyser vos ressources et d’inclure automatiquement des fonctionnalités futures.
Accès avec des privilèges minimum : accorde à Defender pour le cloud l’accès aux autorisations actuelles nécessaires pour les plans sélectionnés uniquement.
Si vous sélectionnez les autorisations avec des privilèges minimum, vous recevez uniquement des notifications relatives à de nouveaux rôles et autorisations nécessaires pour que l’intégrité du connecteur soit complètement opérationnelle.
Defender pour le cloud vous permet de différencier vos comptes cloud par leur nom natif des fournisseurs cloud. Par exemple, des alias de compte AWS et des noms de projet GCP.
Prise en charge du point de terminaison privé pour l’analyse des programmes malveillants dans Defender pour le stockage
25 juin 2023
La prise en charge du point de terminaison privé est désormais disponible dans le cadre de la préversion publique de l’analyse des programmes malveillants dans Defender pour le stockage. Cette fonctionnalité permet d’activer l’analyse des programmes malveillants sur les comptes de stockage qui utilisent des points de terminaison privés. Aucune configuration supplémentaire n’est nécessaire.
L’analyse des programmes malveillants (préversion) dans Defender pour stockage permet de protéger vos comptes de stockage contre le contenu malveillant en effectuant une analyse complète du contenu chargé en quasi-temps réel, à l’aide de fonctionnalités de Antivirus Microsoft Defender. Il est conçu pour aider à répondre aux exigences de sécurité et de conformité en matière de traitement des contenus non fiables. Il s’agit d’une solution SaaS sans agent qui permet une configuration simple à grande échelle, sans aucune maintenance, et prend en charge l’automatisation de la réponse à grande échelle.
Les points de terminaison privés fournissent une connectivité sécurisée à vos services Stockage Azure, éliminant efficacement l’exposition à Internet public, et sont considérés comme une meilleure pratique en matière de sécurité.
Pour les comptes de stockage avec des points de terminaison privés qui ont déjà activé l’analyse des programmes malveillants, vous devez désactiver et activer le plan avec l’analyse des programmes malveillants pour que cela fonctionne.
En savoir plus sur l’utilisation de points de terminaison privés dans Defender pour le stockage et sur la sécurisation de vos services de stockage.
Recommandation de version pour la préversion : Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur en cours d’exécution
21 juin 2023
Une nouvelle recommandation de conteneur dans GPSI Defender alimentée par Gestion des vulnérabilités Microsoft Defender est publiée pour la préversion :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les découvertes des vulnérabilités (fournies par Gestion des vulnérabilités Microsoft Defender) (préversion) doivent être résolues sur les images de conteneur en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Cette nouvelle recommandation remplace la recommandation actuelle du même nom, fournie par Qualys, seulement dans CSPM Defender (remplaçant la clé d’évaluation 41503391-efa5-47ee-9282-4eff6131462c).
Des mises à jour de contrôle ont été apportées aux normes NIST 800-53 en matière de conformité réglementaire
15 juin 2023
Les normes NIST 800-53 (à la fois R4 et R5) ont récemment été mises à jour avec des modifications de contrôle apportées à la conformité réglementaire dans Microsoft Defender pour le cloud. Les contrôles gérés par Microsoft ont été supprimés de la norme et les informations sur l’implémentation de responsabilité Microsoft (dans le cadre du modèle de responsabilité partagée cloud) sont désormais disponibles uniquement dans le volet détails du contrôle sous Microsoft Actions.
Ces contrôles étaient auparavant calculés en tant que contrôles réussis. Vous pourriez donc constater une baisse significative de votre score de conformité pour des normes NIST entre avril 2023 et mai 2023.
Si vous souhaitez obtenir plus d’informations sur les contrôles de conformité, consultez Tutoriel : Améliorer votre conformité aux normes – Microsoft Defender pour le cloud.
La planification de la migration cloud, avec une analyse de rentabilité Azure Migrate, comprend désormais Defender pour le cloud
11 juin 2023
Vous pouvez désormais découvrir les économies éventuelles à réaliser en matière de sécurité en appliquant Defender pour le cloud dans le contexte d’une analyse de rentabilité Azure Migrate.
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais en disponibilité générale
7 juin 2023
La configuration Express pour les évaluations des vulnérabilités dans Defender pour SQL est désormais en disponibilité générale. La configuration Express offre une expérience d’intégration simplifiée pour les évaluations des vulnérabilités SQL à l’aide d’une configuration en un clic (ou d’un appel d’API). Aucun paramètre ou dépendance supplémentaire n’est nécessaire sur les comptes de stockage managé.
Consultez ce blog pour en savoir plus sur la configuration rapide.
Vous pouvez découvrir les différences entre la configuration express et la configuration classique.
Étendues supplémentaires ajoutées aux connecteurs Azure DevOps existants
6 juin 2023
Defender pour DevOps a ajouté les étendues supplémentaires suivantes à l’application Azure DevOps (ADO) :
Gestion avancée de la sécurité:
vso.advsec_manage. Qui est nécessaire pour vous permettre d’activer, de désactiver et de gérer GitHub Advanced Security pour ADO.Mappage de conteneurs :
vso.extension_manage,vso.gallery_manager; Ce qui est nécessaire pour vous permettre de partager l’extension de décorateur avec l’organisation ADO.
Seuls les nouveaux clients de Defender pour DevOps qui tentent d’intégrer des ressources ADO à Microsoft Defender pour le cloud sont concernés par ce changement.
L’intégration directe (sans Azure Arc) à Defender pour serveurs est désormais en disponibilité générale
5 juin 2023
Auparavant, Azure Arc devait intégrer des serveurs non Azure à Defender pour serveurs. Toutefois, avec la dernière version, vous pouvez également intégrer vos serveurs locaux à Defender pour les serveurs en utilisant uniquement l’agent Microsoft Defender for Endpoint.
Cette nouvelle méthode simplifie le processus d’intégration pour les clients axés sur la protection de point de terminaison de base et vous permet de tirer parti de la facturation basée sur la consommation de Defender pour serveurs pour les ressources cloud et noncloud. L’option d’intégration directe via Defender for Endpoint est désormais disponible, avec la facturation des machines intégrées à compter du 1er juillet.
Si vous souhaitez obtenir plus d’informations, consultez Connecter vos machines non-Azure à Microsoft Defender pour le cloud avec Defender for Endpoint.
Remplacement de la détection basée sur un agent par la détection sans agent pour des fonctionnalités de conteneurs dans la gestion de la posture de sécurité cloud (CSPM) Defender
4 juin 2023
Avec les fonctionnalités de la posture de conteneur sans agent disponibles dans la gestion de la posture de sécurité cloud (CSPM) Defender, les fonctionnalités de détection basées sur un agent sont désormais mises hors service. Si vous utilisez actuellement des fonctionnalités de conteneur dans Defender CSPM, assurez-vous que les extensions appropriées sont activées pour continuer à recevoir la valeur liée au conteneur des nouvelles fonctionnalités sans agent telles que les chemins d’attaque liés au conteneur, les insights et l’inventaire. (L’activation des extensions peut prendre jusqu’à 24 heures).
Si vous souhaitez obtenir plus d’informations, consultez Posture de conteneur sans agent.
Mai 2023
Les mises à jour du mois de mai incluent :
- Nouvelle alerte dans Defender pour Key Vault.
- Prise en charge de l’analyse sans agent des disques chiffrés dans AWS.
- Modifications des conventions d’affectation de noms JIT (juste-à-temps) dans Defender pour le cloud.
- Intégration de régions AWS sélectionnées.
- Modifications apportées aux recommandations d’identité.
- Dépréciation des normes héritées dans le tableau de bord de conformité.
- Mise à jour de deux recommandations Defender pour DevOps pour inclure les résultats de l’analyse Azure DevOps
- Nouveau paramètre par défaut pour la solution d’évaluation des vulnérabilités Defender pour serveurs.
- Possibilité de télécharger un rapport CSV des résultats de votre requête Cloud Security Explorer (préversion).
- Publication de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender.
- Changement de nom des recommandations de conteneur optimisées par Qualys.
- Mise à jour de Defender pour DevOps GitHub Application.
- Passez aux annotations de demande de tirage Defender pour DevOps dans les référentiels Azure DevOps qui incluent désormais l’infrastructure en tant que configurations incorrectes du code.
Nouvelle alerte dans Defender pour Key Vault
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Accès inhabituel au coffre de clés à partir d’une adresse IP suspecte (non Microsoft ou externe) (KV_UnusualAccessSuspiciousIP) |
Un utilisateur ou un principal de service a tenté d’accéder de manière inhabituelle à des coffres de clés à partir d’une adresse IP non Microsoft au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Medium |
Pour toutes les alertes disponibles, consultez Alertes pour Azure Key Vault.
L’analyse sans agent prend désormais en charge les disques chiffrés dans AWS
L’analyse sans agent pour les machines virtuelles prend désormais en charge le traitement des instances avec des disques chiffrés dans AWS, à l’aide de CMK et de PMK.
Cette prise en charge étendue augmente la couverture et la visibilité de votre patrimoine cloud sans impacter vos charges de travail en cours d’exécution. La prise en charge des disques chiffrés conserve la même méthode sans impact sur les instances en cours d’exécution.
- Pour les nouveaux clients qui activent l’analyse sans agent dans AWS, la couverture des disques chiffrés est intégrée et prise en charge par défaut.
- Pour les clients existants qui ont déjà un connecteur AWS dont l’analyse sans agent est activée, vous devez réappliquer la pile CloudFormation à vos comptes AWS intégrés pour mettre à jour et ajouter les nouvelles autorisations requises pour traiter les disques chiffrés. Le modèle CloudFormation mis à jour inclut de nouvelles affectations qui permettent à Defender pour le cloud de traiter des disques chiffrés.
Vous pouvez en savoir plus sur les autorisations utilisées pour analyser les instances AWS.
Pour réappliquer votre pile CloudFormation :
- Accédez aux paramètres d’environnement Defender pour le cloud et ouvrez votre connecteur AWS.
- Accédez à l’onglet Configurer Access .
- Sélectionnez Cliquez pour télécharger le modèle CloudFormation.
- Accédez à votre environnement AWS et appliquez le modèle mis à jour.
En savoir plus sur l’analyse sans agent et l’activation de l’analyse sans agent dans AWS.
Conventions d’affectation de noms des règles JIT (juste-à-temps) révisées dans Defender pour le cloud
Nous avons révisé les règles JIT (juste-à-temps) pour qu’elles s’alignent sur la marque Microsoft Defender pour le cloud. Nous avons modifié les conventions d’affectation de noms pour les règles Pare-feu Azure et NSG (groupe de sécurité réseau).
Les modifications sont répertoriées ci-dessous :
| Description | Ancien nom | Nouveau Nom |
|---|---|---|
| Noms de règles JIT (autoriser et refuser) dans NSG (groupe de sécurité réseau) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descriptions des règles JIT dans NSG | Règle d’accès réseau JIT ASC | Règle d’accès réseau JIT MDC |
| Noms des collections de règles de pare-feu JIT | ASC-JIT | MDC-JIT |
| Noms des règles de pare-feu JIT | ASC-JIT | MDC-JIT |
Découvrez comment sécuriser vos ports de gestion avec un accès juste-à-temps.
Intégrer des régions AWS sélectionnées
Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins en matière de conformité, vous pouvez désormais sélectionner les régions AWS à analyser quand vous ajoutez ou modifiez un connecteur cloud. Vous pouvez à présent analyser des régions AWS sélectionnées ou toutes les régions disponibles (par défaut) quand vous intégrez vos comptes AWS à Defender pour le cloud. Pour en savoir plus, consultez l’article Connecter vos comptes AWS à Microsoft Defender pour le cloud.
Changements multiples apportés aux recommandations sur l’identité
Les recommandations suivantes sont désormais publiées en disponibilité générale et remplacent les recommandations V1 qui sont désormais déconseillées.
Version en disponibilité générale (GA) des recommandations d’identité V2
La version V2 des recommandations relatives aux identités introduit les améliorations suivantes :
- L’étendue de l’analyse a été agrandie pour inclure toutes les ressources Azure, pas seulement les abonnements. Cela permet aux administrateurs de sécurité d’afficher les attributions de rôles par compte.
- Des comptes spécifiques peuvent désormais être exemptés de l’évaluation. Les comptes tels que les comptes de secours ou de service peuvent être exclus par les administrateurs de sécurité.
- La fréquence d’analyse a été augmentée de 24 heures à 12 heures pour garantir une meilleure actualisation et une plus grande précision des recommandations d’identité.
Les recommandations de sécurité suivantes sont proposées en disponibilité générale et remplacent les recommandations V1 :
| Recommendation | Clé d’évaluation |
|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Dépréciation des recommandations d’identité V1
Les recommandations de sécurité suivantes sont désormais déconseillées :
| Recommendation | Clé d’évaluation |
|---|---|
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur les abonnements. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur les abonnements. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur les abonnements. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Les comptes externes disposant d’autorisations d’écriture doivent être supprimés des abonnements. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Les comptes externes disposant d’autorisations de lecture doivent être supprimés des abonnements. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Les comptes déconseillés disposant d’autorisations de propriétaire doivent être supprimés des abonnements. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Les comptes déconseillés doivent être supprimés des abonnements | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Nous vous recommandons de mettre à jour vos scripts personnalisés, workflows et règles de gouvernance afin qu’ils correspondent aux recommandations V2.
Dépréciation des normes héritées dans le tableau de bord de conformité
PCI DSS v3.2.1 et SOC TSP hérités ont été entièrement déconseillés dans le tableau de bord de conformité Defender pour le cloud et remplacés par l’initiative SOC 2 Type 2 et les normes de conformité basées sur une initiative PCI DSS v4. Nous avons entièrement déconseillé la prise en charge de la norme/initiative PCI DSS dans Microsoft Azure gérée par 21Vianet.
Découvrez comment personnaliser l’ensemble de normes dans votre tableau de bord de conformité réglementaire.
Defender pour DevOps inclut des résultats d’analyse Azure DevOps
Defender pour DevOps Code et IaC a étendu sa couverture de recommandations dans Microsoft Defender pour le cloud afin d’inclure les résultats de sécurité Azure DevOps pour les deux recommandations suivantes :
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Auparavant, la couverture de l’analyse de sécurité Azure DevOps ne comprenait que la recommandation relative aux secrets.
Apprenez-en davantage sur Defender pour DevOps.
Nouveau paramètre par défaut pour la solution d’évaluation des vulnérabilités Defender pour serveurs
Les solutions d’évaluation des vulnérabilités sont essentielles pour protéger les ordinateurs contre les cyberattaques et les violations de données.
Gestion des vulnérabilités Microsoft Defender est désormais activé comme solution intégrée par défaut pour tous les abonnements protégés par Defender pour les serveurs qui n’ont pas encore de solution VA sélectionnée.
Si une solution VA est activée sur l’une de ses machines virtuelles, aucune modification n’est apportée et Gestion des vulnérabilités Microsoft Defender ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Télécharger un rapport CSV des résultats de votre requête de l’Explorateur de sécurité cloud (préversion)
Defender pour le cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de votre requête de l’Explorateur de sécurité cloud.
Après avoir exécuté une recherche d’une requête, vous pouvez sélectionner le bouton Télécharger le rapport CSV (préversion) dans la page Explorateur de Sécurité cloud de Defender pour le cloud.
Découvrez comment créer des requêtes avec l’explorateur de sécurité du cloud
La mise en production de l’évaluation des vulnérabilités des conteneurs avec Gestion des vulnérabilités Microsoft Defender
Nous annonçons la publication des images d’évaluation des vulnérabilités pour Linux dans les registres de conteneurs Azure alimentés par Gestion des vulnérabilités Microsoft Defender dans GPSI Defender. Cette version inclut l’analyse quotidienne des images. Les résultats utilisés dans l’Explorateur de sécurité et les chemins d’attaque s’appuient sur l’évaluation des vulnérabilités De Microsoft Defender, au lieu du scanneur Qualys.
La recommandation Container registry images should have vulnerability findings resolved existante est remplacée par une nouvelle recommandation :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (optimisé par l’agent Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | dbd0cb49-b563-45e7-9724-889e79fa648 est remplacé par c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
En savoir plus sur la posture des conteneurs sans agent dans GPSI Defender.
En savoir plus sur les Gestion des vulnérabilités Microsoft Defender.
Renommer les recommandations de conteneur optimisées par Qualys
Les recommandations de conteneur actuelles dans Defender pour les conteneurs seront renommées comme suit :
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs (optimisé par Qualys) | L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. | 41503391-efa5-47ee-9282-4eff6131462c |
Mise à jour de l’application GitHub Defender pour DevOps
Microsoft Defender pour DevOps apporte constamment des modifications et des mises à jour qui demandent aux clients Defender pour DevOps ayant intégré leurs environnements GitHub à Defender pour le cloud de fournir des autorisations dans le cadre de l’application déployée dans leur organisation GitHub. Ces autorisations sont nécessaires pour garantir un comportement optimal de toutes les fonctionnalités de sécurité de Defender pour DevOps.
Nous vous suggérons de mettre à jour les autorisations dès que possible pour garantir un accès continu à toutes les fonctionnalités disponibles de Defender pour DevOps.
Vous pouvez accorder les autorisations de deux manières différentes :
Dans votre organisation, sélectionnez GitHub Apps. Recherchez votre organisation, puis sélectionnez Vérifier la demande.
Vous recevrez un e-mail automatisé du support GitHub. Dans l’e-mail, sélectionnez Examiner la demande d’autorisation pour accepter ou rejeter cette modification.
Une fois que vous avez suivi l’une de ces options, vous accédez à l’écran de révision où vous devez examiner la demande. Sélectionnez Accepter de nouvelles autorisations pour approuver la demande.
Si vous avez besoin d’aide pour mettre à jour des autorisations, vous pouvez créer une demande de support Azure.
Vous pouvez également en savoir plus sur Defender pour DevOps. Si une solution VA est activée sur l’une de ses machines virtuelles, aucune modification n’est apportée et Gestion des vulnérabilités Microsoft Defender ne sera pas activée par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d’activer une solution d’évaluation des vulnérabilités sur les machines virtuelles restantes de vos abonnements.
Découvrez comment rechercher les vulnérabilités et collecter l’inventaire logiciel avec une analyse sans agent (préversion).
Les annotations de demande de tirage (pull request) Defender pour DevOps dans des référentiels Azure DevOps incluent désormais des configurations incorrectes de l’infrastructure en tant que code
Defender pour DevOps a étendu sa couverture d’annotations de demande de tirage (PR) dans Azure DevOps pour inclure les configurations incorrectes de l’infrastructure en tant que code (IaC) détectées dans des modèles Azure Resource Manager et Bicep.
Les développeurs peuvent désormais voir des annotations pour les configurations incorrectes IaC directement dans leurs demandes de tirage. Les développeurs peuvent également corriger des problèmes de sécurité critiques avant que l’infrastructure ne soit approvisionnée dans des charges de travail cloud. Pour simplifier la correction, les développeurs reçoivent un niveau de gravité, une description de configuration incorrecte et des instructions de correction dans chaque annotation.
Auparavant, la couverture des annotations de demande de tirage Defender pour DevOps dans Azure DevOps incluait uniquement des secrets.
Apprenez-en davantage sur Defender pour DevOps et les Annotations de demande de tirage.
Avril 2023
Les mises à jour du mois d’avril incluent :
- Posture de conteneur sans agent dans Defender CSPM (préversion)
- Nouvelle recommandation de préversion pour le chiffrement de disque unifié
- Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
- Dépréciation des stratégies de surveillance de langages App Service
- Nouvelle alerte dans Defender pour Resource Manager
- Trois alertes du plan Defender pour Azure Resource Manager ont été dépréciées
- L’exportation automatique des alertes vers l’espace de travail Log Analytics a été dépréciée
- Dépréciation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
- Nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services
- Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
- Defender pour les API (préversion)
Posture de conteneur sans agent dans Defender CSPM (préversion)
Les nouvelles fonctionnalités de posture de conteneur sans agent (préversion) sont disponibles dans le cadre du plan Defender CSPM (Cloud Security Posture Management).
La posture de conteneur sans agent permet aux équipes de sécurité d’identifier les risques liés à la sécurité dans des conteneurs et des domaines Kubernetes. Une approche sans agent permet aux équipes de sécurité d’avoir une meilleure visibilité de leurs registres Kubernetes et conteneurs au cours de la SDLC et de l’exécution, éliminant les frictions et l’empreinte des charges de travail.
La posture de conteneur sans agent offre des évaluations de la vulnérabilité d’un conteneur qui, combinées à l’analyse du chemin d’attaque, permettent aux équipes de sécurité de hiérarchiser et de zoomer sur des vulnérabilités d’un conteneur spécifique. Vous pouvez également utiliser l’explorateur de sécurité cloud pour déceler les risques et rechercher des insights de la posture de conteneur, telles que la découverte d’applications exécutant des images vulnérables ou exposées à Internet.
Pour plus d’informations, consultez Posture de conteneur sans agent (préversion).
Recommandation de chiffrement de disque unifié (préversion)
Il existe de nouvelles recommandations de chiffrement de disque unifié en préversion.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Ces recommandations remplacent Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, qui a détecté Azure Disk Encryption et la stratégie Virtual machines and virtual machine scale sets should have encryption at host enabled, qui a détecté EncryptionAtHost. ADE et EncryptionAtHost offrent une couverture de chiffrement au repos comparable, et nous vous recommandons d’activer l’une de ces deux options sur chaque machine virtuelle. Les nouvelles recommandations détectent si ADE ou EncryptionAtHost sont activés et avertissent uniquement si ni l’un ni l’autre n’est activé. Nous avertissons également si ADE est activé sur certains disques, mais pas sur tous les disques d’une machine virtuelle (cette condition ne s’applique pas à EncryptionAtHost).
Les nouvelles recommandations nécessitent Azure Automanage Machine Configuration.
Ces recommandations sont basées sur les stratégies suivantes :
- (Préversion) Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost
- (Préversion) Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost
Découvrez ADE et EncryptionAtHost, et comment activer l’un d’entre eux.
Modifications apportées à la recommandation Les machines doivent être configurées en toute sécurité
La recommandation Machines should be configured securelya été annulée. La mise à jour améliore les performances et la stabilité de la suggestion et aligne son expérience sur le comportement générique des recommandations de Defender pour le cloud.
Dans le cadre de cette mise à jour, l’ID de recommandation181ac480-f7c4-544b-9865-11b8ffe87f47 a été remplacé par c476dc48-8110-4139-91af-c8d940896b98.
Aucune action n’est requise côté client et aucun effet n’est attendu sur le degré de sécurisation.
Dépréciation des stratégies de surveillance de langages App Service
Les stratégies d’analyse langage App Service suivantes ont été dépréciées en raison de leur aptitude à générer des faux négatifs et parce qu’elles n’offrent pas nécessairement une meilleure sécurité. Vous devez toujours vous assurer d’utiliser une version de langage sans vulnérabilités connues.
| Nom de stratégie | ID de stratégie |
|---|---|
| Les applications App Service qui utilisent Java doivent utiliser la dernière « version Java » | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Les applications App Service qui utilisent Python doivent utiliser la dernière « version Python » | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Les applications de fonctions qui utilisent Java doivent utiliser la dernière « version Java » | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Les applications de fonctions qui utilisent Python doivent utiliser la dernière « version Python » | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Les applications App Service qui utilisent PHP doivent utiliser la dernière « version PHP » | 7261b898-8a84-4db8-9e04-18527132abb3 |
Les clients peuvent utiliser d’autres stratégies intégrées pour surveiller n’importe quelle version de langage spécifiée pour leurs services App Services.
Ces stratégies ne seront plus disponibles dans les recommandations intégrées de Defender pour le cloud. Vous pouvez les ajouter en tant que recommandations personnalisées pour que Defender pour le cloud les analyse.
Nouvelle alerte dans Defender pour Resource Manager
Defender pour Resource Manager dispose de la nouvelle alerte suivante :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Création suspecte de ressources de calcul détectée (ARM_SuspiciousComputeCreation) |
Microsoft Defender pour Resource Manager a identifié une création suspecte de ressources de calcul dans votre abonnement utilisant Machines Virtuelles/Azure Scale Set. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources si besoin. Bien que cette activité puisse être légitime, il est possible qu’un acteur malveillant exploite ces opérations pour réaliser une exploration cryptographique. L’activité est considérée comme suspecte, car l’échelle des ressources de calcul est plus élevée que celle observée précédemment dans l’abonnement. Cela peut indiquer que le principal est compromis et qu’il est utilisé dans une intention malveillante. |
Impact | Medium |
Vous pouvez voir une liste de toutes les alertes disponibles pour Resource Manager.
Trois alertes du plan Defender pour Azure Resource Manager ont été dépréciées
Les trois alertes du plan Defender pour Azure Resource Manager suivantes ont été dépréciées :
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Dans un scénario où une activité provenant d’une adresse IP suspecte est détectée, l’une des alertes du plan Defender pour Azure Resource Manager Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address suivantes est présente.
L’exportation automatique des alertes vers l’espace de travail Log Analytics a été dépréciée
Les alertes de sécurité de Defender pour le cloud sont automatiquement exportées vers un espace de travail Log Analytics par défaut au niveau de la ressource. Cela entraîne un comportement indéterminé et, par conséquent, cette fonctionnalité a été dépréciée.
Au lieu de cela, vous pouvez exporter vos alertes de sécurité vers un espace de travail Log Analytics dédié avec l’exportation continue.
Si vous avez déjà configuré l’exportation continue de vos alertes vers un espace de travail Log Analytics, aucune autre action n’est nécessaire.
Dépréciation et amélioration des alertes sélectionnées pour les serveurs Windows et Linux
Le processus d’amélioration de la qualité des alertes de sécurité pour Defender pour serveurs inclut la dépréciation de certaines alertes pour les serveurs Windows et Linux. Les alertes dépréciées proviennent désormais des alertes de menace Defender pour point de terminaison et sont couvertes par celles-ci.
Si l’intégration de Defender for Endpoint est déjà activée, aucune action supplémentaire n’est requise. Vous pourriez constater une diminution du volume de vos alertes en avril 2023.
Si l’intégration de Defender for Endpoint n’est pas activée dans Defender pour serveurs, vous devez activer l’intégration de Defender for Endpoint afin de maintenir et d’améliorer votre couverture des alertes.
Tous les clients Defender pour serveurs ont un accès complet à l’intégration de Defender pour point de terminaison dans le cadre du plan Defender pour serveurs.
Vous pouvez en apprendre davantage sur les options d’intégration de Microsoft Defender for Endpoint.
Vous pouvez également consulter la liste complète des alertes qui seront dépréciées.
Lisez le Blog Microsoft Defender pour le cloud.
Nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services
Nous avons ajouté de nouvelles recommandations relatives à l’authentification Azure Active Directory pour Azure Data Services.
| Nom de la recommandation | Description de la recommandation | Policy |
|---|---|---|
| Le mode d’authentification Azure SQL Managed Instance doit être Azure Active Directory uniquement | La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Azure Active Directory seule améliorent la sécurité en garantissant que les instances managées Azure SQL sont accessibles exclusivement par les identités Azure Active Directory. | Azure SQL Managed Instance doit avoir uniquement l’authentification Azure Active Directory activée |
| Le mode d’authentification de l’espace de travail Azure Synapse doit être Azure Active Directory uniquement | Les seules méthodes d’authentification Azure Active Directory améliorent la sécurité en veillant à ce que les espaces de travail Synapse exigent exclusivement des identités Azure AD pour l’authentification. En savoir plus. | Les espaces de travail Synapse doivent utiliser uniquement des identités Azure Active Directory pour l’authentification |
| Un administrateur Azure Active Directory doit être approvisionné pour Azure Database pour MySQL | Approvisionnez un administrateur Azure AD pour votre Azure Database pour MySQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | Un administrateur Azure Active Directory doit être provisionné pour les serveurs MySQL |
| Azure Database pour PostgreSQL doit avoir un administrateur Azure Active Directory approvisionné | Approvisionnez un administrateur Azure AD pour votre Azure Database pour PostgreSQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | Un administrateur Azure Active Directory doit être provisionné pour les serveurs PostgreSQL |
Deux recommandations relatives aux mises à jour manquantes du système d’exploitation ont été publiées en disponibilité générale
Les recommandations System updates should be installed on your machines (powered by Azure Update Manager) et Machines should be configured to periodically check for missing system updates ont été publiées pour la disponibilité générale.
Pour utiliser la nouvelle recommandation, vous devez :
- Connectez vos machines non Azure à Arc.
-
Activez la propriété d’évaluation périodique. Vous pouvez utiliser le bouton Corriger.
dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updatespour corriger la recommandation.
Après avoir effectué ces étapes, vous pouvez supprimer l’ancienne recommandation System updates should be installed on your machines en la désactivant de l’initiative intégrée de Defender pour le cloud dans la stratégie Azure.
Les deux versions des recommandations :
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Les deux seront disponibles jusqu’à ce que l’agent Log Analytics soit déconseillé le 31 août 2024, c’est-à-dire lorsque l’ancienne version (System updates should be installed on your machines) de la recommandation sera également déconseillée. Les deux recommandations retournent les mêmes résultats et sont disponibles sous le même contrôle Apply system updates.
La nouvelle recommandation System updates should be installed on your machines (powered by Azure Update Manager) a un flux de correction disponible via le bouton Corriger, qui peut être utilisé pour corriger tous les résultats via le Gestionnaire des mises à jour (préversion). Ce processus de correction est toujours en préversion.
La nouvelle recommandation System updates should be installed on your machines (powered by Azure Update Manager) ne devrait pas affecter votre degré de sécurisation, car elle a les mêmes résultats que l’ancienne recommandation System updates should be installed on your machines.
La recommandation de prérequis (Activer la propriété d’évaluation périodique) a un effet négatif sur votre degré de sécurisation. Vous pouvez corriger l’effet négatif avec le bouton Correctif disponible.
Defender pour les API (préversion)
Defender pour le cloud de Microsoft annonce que le nouveau Defender pour les API est disponible en préversion.
Defender pour les API offre une couverture complète de protection, détection et réponse du cycle de vie pour des API.
Defender pour les API vous permet d’obtenir une visibilité sur des API vitales pour l’entreprise. Vous pouvez examiner et améliorer votre posture de sécurité des API, hiérarchiser des correctifs de vulnérabilité et détecter rapidement des menaces actives en temps réel.
Si vous souhaitez en savoir plus sur Defender pour les API.
Mars 2023
Les mises à jour du mois de mars incluent :
- Un nouveau plan Defender pour le stockage est disponible, comprenant l’analyse des programmes malveillants en quasi-temps réel et la détection des menaces de données sensibles
- Posture de sécurité sensible aux données (préversion)
- Expérience améliorée pour la gestion des stratégies de sécurité Azure par défaut
- Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
- Option permettant de créer des recommandations personnalisées et des normes de sécurité dans Microsoft Defender pour le cloud
- La version 1.0 du Benchmark de la sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA)
- Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
- Nouvelle recommandation de préversion pour les serveurs Azure SQL Server
- Nouvelle alerte pour Defender pour Key Vault
Un nouveau plan Defender pour le stockage est disponible, comprenant l’analyse des programmes malveillants en quasi-temps réel et la détection des menaces de données sensibles
Le stockage cloud joue un rôle clé dans l’organisation et stocke de grands volumes de données précieuses et sensibles. Nous annonçons aujourd’hui un nouveau plan Defender pour le Stockage. Si vous utilisez le plan précédent (maintenant renommé « Defender pour le stockage (classique) »), vous devez migrer de manière proactive vers le nouveau plan afin d’utiliser les nouvelles fonctionnalités et avantages.
Le nouveau plan inclut des fonctionnalités de sécurité avancées pour vous protéger contre les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Ce plan fournit également une structure tarifaire plus prévisible et plus souple pour un meilleur contrôle de la couverture et des coûts.
Les nouvelles fonctionnalités de ce nouveau plan sont désormais disponibles en préversion publique :
Détection des événements d’exposition et d’exfiltration de données sensibles
Analyse en quasi-temps réel des programmes malveillants d’objets blob lors du chargement sur tous les types de fichiers
Détection d’entités sans identité à l’aide de jetons SAP
Ces fonctionnalités améliorent la capacité existante de surveillance des activités, basée sur l’analyse des journaux de contrôle et de plan de données et sur la modélisation comportementale pour identifier les premiers signes d’une violation.
Toutes ces fonctionnalités sont disponibles dans le cadre d’un nouveau plan tarifaire prévisible et souple qui permet un contrôle granulaire de la protection des données au niveau de l’abonnement et des ressources.
Pour en savoir plus, consultez Vue d’ensemble de Microsoft Defender pour le stockage.
Posture de sécurité sensible aux données (préversion)
Microsoft Defender pour le cloud aide les équipes de sécurité à être plus productives pour réduire les risques et répondre aux violations de données dans le cloud. La solution leur permet de faire la part des choses grâce au contexte des données et de classer par ordre de priorité les risques de sécurité les plus critiques, afin d’éviter une violation de données coûteuse.
- Découvrez automatiquement les ressources de données dans le domaine cloud et évaluez leur accessibilité, leur sensibilité aux données et leurs flux de données configurés. -Découvrez en permanence les risques de violations de ressources de données sensibles, d’exposition ou des chemins d’attaque qui pourraient conduire à une ressource de données à l’aide d’une technique de déplacement latéral.
- Détectez les activités suspectes qui pourraient indiquer une menace en cours pour les ressources de données sensibles.
En savoir plus sur la posture de sécurité prenant en compte les données.
Expérience améliorée pour la gestion des stratégies de sécurité Azure par défaut
Nous introduisons une expérience améliorée de gestion des stratégies de sécurité Azure pour les recommandations intégrées qui simplifie la façon dont les clients Defender pour le cloud affinent leurs exigences en matière de sécurité. Cette nouvelle expérience inclut les nouvelles fonctionnalités suivantes :
- Une interface simple permet une performance et expérience meilleure lors de la gestion des stratégies de sécurité par défaut dans Defender pour le Cloud.
- Un affichage unique de toutes les recommandations de sécurité intégrées proposées par le Benchmark de sécurité Microsoft Cloud (anciennement le point de référence de sécurité Azure). Les recommandations sont organisées en groupes logiques, ce qui facilite la compréhension des types de ressources couvertes, ainsi que la relation entre les paramètres et les recommandations.
- De nouvelles fonctionnalités telles que les filtres et la recherche ont été ajoutées.
Découvrez comment gérer les stratégies de sécurité.
Lisez le Blog Microsoft Defender pour le cloud.
Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud) est désormais en disponibilité générale (GA)
Nous vous annonçons que Defender CSPM est désormais en disponibilité générale (GA). Defender pour CSPM offre tous les services disponibles dans le cadre des fonctionnalités CSPM de base et ajoute les avantages suivants :
- Analyse du chemin d’attaque et API ARG – L’analyse du chemin d’attaque utilise un algorithme basé sur le graphique qui analyse le graphique de sécurité du cloud pour exposer les chemins d’attaque et suggère des recommandations sur la meilleure façon de remédier aux problèmes qui permettent de rompre le chemin d’attaque et d’empêcher une violation effective. Vous pouvez également consommer des chemins d’attaque par programmation en interrogeant l’API Azure Resource Graph (ARG). Découvrez comment utiliser l’analyse du chemin d’attaque
- Explorateur de sécurité du cloud – Utilisez Cloud Security Explorer pour exécuter des requêtes basées sur le graphique de sécurité du cloud, afin d’identifier de manière proactive les risques de sécurité dans vos environnements multiclouds. En savoir plus sur l’explorateur de sécurité du cloud.
En savoir plus sur Defender CSPM.
Option permettant de créer des recommandations personnalisées et des normes de sécurité dans Microsoft Defender pour le cloud
Microsoft Defender pour le cloud offre la possibilité de créer des suggestions et des normes personnalisées pour AWS et GCP à l’aide de requêtes KQL. Vous pouvez utiliser un éditeur de requêtes pour générer et tester des requêtes sur vos données. Cette fonctionnalité fait partie du plan Defender CSPM (Cloud Security Posture Management, gestion de la posture de sécurité cloud). Découvrez comment créer des recommandations et des normes personnalisées.
La version 1.0 du Benchmark de la sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA)
Microsoft Defender pour le cloud annonce que la version 1.0 du Benchmark de sécurité Microsoft Cloud (MCSB) est désormais en disponibilité générale (GA).
La version 1.0 de MCSB remplace la version 3 du benchmark de sécurité Azure (ASB) en tant que stratégie de sécurité par défaut de Defender pour le cloud. La version 1.0 du MCSB apparaît comme la norme de conformité par défaut dans le tableau de bord de conformité et est activée par défaut pour tous les clients Defender pour le cloud.
Vous pouvez également découvrir comment le Benchmark de sécurité Microsoft Cloud (MCSB) vous aide à réussir votre parcours de sécurité cloud.
En savoir plus sur MCSB.
Certaines normes de conformité réglementaire sont désormais disponibles dans les clouds gouvernementaux
Nous mettons à jour ces normes pour les clients dans Azure Government et Microsoft Azure gérés par 21Vianet.
Azure Government :
Microsoft Azure exploité par 21Vianet :
Apprenez comment Personnaliser l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Nouvelle recommandation de préversion pour les serveurs Azure SQL Server
Nous avons ajouté une nouvelle recommandation pour les serveurs Azure SQL Server, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
La recommandation est basée sur la stratégie existante Azure SQL Database should have Azure Active Directory Only Authentication enabled
Cette recommandation désactive les méthodes d’authentification locales et autorise uniquement l’authentification Azure Active Directory qui améliore la sécurité en garantissant que les bases de données Azure SQL Database sont exclusivement accessibles par des identités Azure Active Directory.
Découvrez comment créer des serveur avec l’authentification Azure AD uniquement activée dans Azure SQL.
Nouvelle alerte dans Defender pour Key Vault
Defender pour Key Vault a la nouvelle alerte suivante :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Accès refusé depuis une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccessDenied) |
Un accès réussi au coffre de clés a été essayé par une adresse IP identifiée par Microsoft Threat Intelligence comme adresse IP suspecte. Malgré l’échec de cette tentative, elle indique que votre infrastructure a peut-être été compromise. Nous vous recommandons de faire des investigations supplémentaires. | Accès aux informations d’identification | Low |
Vous pouvez voir la liste de toutes les alertes disponibles pour Key Vault.
Février 2023
Les mises à jour de février sont les suivantes :
- Amélioration de Cloud Security Explorer
- Les analyses de vulnérabilité de Defender pour les conteneurs d’images Linux en cours d’exécution sont désormais en disponibilité générale
- Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
- Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
- La stratégie intégrée [préversion] : Le point de terminaison privé doit être configuré pour que Key Vault soit déprécié
Amélioration de Cloud Security Explorer
Cette version améliorée de Cloud Security Explorer propose une expérience utilisateur actualisée qui supprime considérablement les frictions de requêtes et ajoute la possibilité d’exécuter des requêtes multiclouds et multiressources, ainsi qu’une documentation incorporée pour chaque option de requête.
Cloud Security Explorer vous permet désormais d’exécuter des requêtes issues du cloud sur les ressources. Vous pouvez utiliser les modèles de requête prédéfinis ou la recherche personnalisée pour appliquer des filtres et créer votre requête. Découvrez comment gérer Cloud Security Explorer.
Les analyses de vulnérabilité de Defender pour les conteneurs d’images Linux en cours d’exécution sont désormais en disponibilité générale
Defender pour les conteneurs détecte les vulnérabilités des conteneurs en cours d’exécution. Les conteneurs Windows et Linux sont pris en charge.
En août 2022, cette fonctionnalité a été publiée en préversion pour Windows et Linux. Nous la publions désormais en disponibilité générale pour Linux.
Lorsque des vulnérabilités sont détectées, Defender pour le cloud génère la recommandation de sécurité suivante répertoriant les résultats de l’analyse : Les résultats de l’analyse de vulnérabilité doivent être résolus pour exécuter des images conteneurs.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
Annonce de la prise en charge de la norme de conformité AWS CIS 1.5.0
Defender pour le cloud prend désormais en charge la norme de conformité CIS Amazon Web Services Foundations v1.5.0. La norme peut être ajoutée à votre tableau de bord conformité réglementaire et s’appuie sur les offres existantes de MDC pour les recommandations et normes multicloud.
Cette nouvelle norme inclut des recommandations existantes et nouvelles qui étendent la couverture de Defender pour le cloud aux nouveaux services et ressources AWS.
Découvrez comment gérer les évaluations et les standards AWS.
Microsoft Defender pour DevOps (préversion) est désormais disponible dans d’autres régions
Microsoft Defender pour DevOps a étendu sa préversion et est désormais disponible dans les régions Europe Ouest et Australie Est, quand vous intégrez vos ressources Azure DevOps et GitHub.
Découvrez-en plus sur Microsoft Defender pour DevOps.
La stratégie intégrée [préversion] : Le point de terminaison privé doit être configuré pour que Key Vault soit déprécié
La stratégie intégrée [Preview]: Private endpoint should be configured for Key Vault est déconseillée et remplacée par la stratégie [Preview]: Azure Key Vaults should use private link.
En savoir plus sur l’intégration d’Azure Key Vault à Azure Policy.
Janvier 2023
Les mises à jour de janvier sont les suivantes :
- Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
- Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
- Nettoyage des machines Azure Arc supprimées dans les comptes AWS et GCP connectés
- Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
- Le nom du contrôle de niveau de sécurité Protéger vos applications avec des solutions réseau avancées Azure a changé
- Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
- La recommandation concernant l’activation des journaux de diagnostic pour les groupes de machines virtuelles identiques est déconseillée
Le composant Endpoint Protection (Microsoft Defender for Endpoint) est désormais accessible dans la page Paramètres et surveillance
Pour accéder à Endpoint Protection, accédez aux paramètres d’environnement des>plans> Defenderet à la surveillance. À partir de là, vous pouvez définir Endpoint Protection sur Activé. Vous pouvez également voir les autres composants gérés.
En savoir plus sur l’activation de Microsoft Defender for Endpoint sur vos serveurs avec Defender pour serveurs.
Nouvelle version de la recommandation pour rechercher les mises à jour système manquantes (préversion)
Vous n’avez plus besoin d’un agent sur vos machines virtuelles Azure et vos machines Azure Arc pour vous assurer que les machines disposent de toutes les dernières mises à jour de sécurité ou de système critiques.
La nouvelle recommandation des mises à jour système, System updates should be installed on your machines (powered by Azure Update Manager) dans le contrôle Apply system updates, est basée sur le Gestionnaire des mises à jour (préversion). La recommandation s’appuie sur un agent natif incorporé dans chaque machine virtuelle Azure et machines Azure Arc au lieu d’un agent installé. Le correctif rapide dans la nouvelle recommandation vous conduit à une installation ponctuelle des mises à jour manquantes dans le portail du Gestionnaire des mises à jour.
Pour utiliser la nouvelle recommandation, vous devez :
- Connecter vos machines non Azure à Arc
- Activer la propriété d’évaluation périodique. Vous pouvez utiliser le correctif rapide dans la nouvelle recommandation
Machines should be configured to periodically check for missing system updatespour corriger la recommandation.
La recommandation existante « Les mises à jour système doivent être installées sur vos machines », qui s’appuie sur l’agent Log Analytics, est toujours disponible sous le même contrôle.
Nettoyage des machines Azure Arc supprimées dans les comptes AWS et GCP connectés
Une machine connectée à un compte AWS et GCP couvert par Defender pour serveurs ou Defender pour SQL sur des machines est représentée dans Defender pour le cloud en tant que machine Azure Arc. Jusqu’à présent, cette machine n’était pas supprimée de l’inventaire lorsque la machine a été supprimée du compte AWS ou GCP. Conduisant à des ressources Azure Arc inutiles laissées dans Defender pour le cloud qui représentent des machines supprimées.
Defender pour le cloud supprime désormais automatiquement les machines Azure Arc lorsque ces machines sont supprimées dans un compte AWS ou GCP connecté.
Autoriser l’exportation continue vers Event Hubs derrière un pare-feu
Vous pouvez maintenant activer l’exportation continue d’alertes et de recommandations, en tant que service approuvé vers Event Hubs protégés par un pare-feu Azure.
Vous pouvez activer l’exportation continue à mesure que les alertes ou recommandations sont générées. Vous pouvez également définir un calendrier pour envoyer des instantanés périodiques de toutes les nouvelles données.
Découvrez comment activer l’exportation continue vers un Event Hubs derrière un pare-feu Azure.
Le nom du contrôle de niveau de sécurité Protéger vos applications avec des solutions réseau avancées Azure est changé
Le contrôle Protect your applications with Azure advanced networking solutions de niveau de sécurité est remplacé par Protect applications against DDoS attacks.
Le nom mis à jour est reflété dans Azure Resource Graph (ARG), l’API des contrôles de niveau de sécurité et le Download CSV report.
Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse est déconseillé
Cette stratégie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports est déconseillée.
Le rapport d’e-mail d’évaluation des vulnérabilités de Defender pour SQL est toujours disponible et les configurations de messagerie existantes n’ont pas changé.
La recommandation concernant l’activation des journaux de diagnostic pour les groupes de machines virtuelles identiques est déconseillée
La recommandation Diagnostic logs in Virtual Machine Scale Sets should be enabled est déconseillée.
La définition de stratégie associée a également été déconseillée des normes affichées dans le tableau de bord de conformité réglementaire.
| Recommendation | Description | Severity |
|---|---|---|
| Les journaux de diagnostic dans les groupes identiques de machines virtuelles doivent être activés | Activez les journaux et conservez-les pendant un an maximum, ce qui vous permet de recréer les pistes d’activité à des fins d’investigation quand un incident de sécurité se produit ou que votre réseau est compromis. | Low |
Décembre 2022
Les mises à jour en décembre sont les suivantes :
Annonce de la configuration rapide pour l’évaluation des vulnérabilités dans Defender pour SQL
La configuration rapide pour l’évaluation des vulnérabilités dans Microsoft Defender pour SQL fournit aux équipes de sécurité une expérience de configuration simplifiée sur les bases de données Azure SQL et les pools SQL dédiés en dehors des espaces de travail Synapse.
Avec l’expérience de configuration rapide pour les évaluations des vulnérabilités, les équipes de sécurité peuvent :
- Effectuez la configuration de l’évaluation des vulnérabilités dans la configuration de sécurité de la ressource SQL, sans paramètres ou dépendances en plus sur les comptes de stockage gérés par le client.
- Ajoutez immédiatement les résultats de l’analyse aux lignes de base afin que l’état de la recherche des modifications de l’état non sain à Sain sans réanalyser une base de données.
- Ajoutez plusieurs règles aux lignes de référence à la fois et utilisez les derniers résultats d’analyse.
- Activez l’évaluation des vulnérabilités pour tous les serveurs Azure SQL lorsque vous activez Microsoft Defender pour les bases de données au niveau de l’abonnement.
En savoir plus sur l’Évaluation des vulnérabilités de Defender pour SQL.
Novembre 2022
Les mises à jour en novembre sont les suivantes :
- Protéger les conteneurs dans votre organisation GCP avec Defender pour les conteneurs
- Valider les protections Defender pour les conteneurs avec des exemples d’alertes
- Règles de gouvernance à grande échelle (préversion)
- La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
- La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
Protéger les conteneurs dans votre organisation GCP avec Defender pour les conteneurs
Vous pouvez maintenant activer Defender pour les conteneurs pour votre environnement GCP afin de protéger les clusters GKE standard dans l’ensemble d’une organisation GCP. Créez simplement un connecteur GCP avec Defender pour les conteneurs activé ou activez Defender pour les conteneurs sur un connecteur GCP existant au niveau de l’organisation.
Découvrez-en plus sur la connexion de projets et d’organisations GCP à Defender pour le cloud.
Valider les protections Defender pour les conteneurs avec des exemples d’alertes
Vous pouvez maintenant créer des exemples d’alertes également pour le plan Defender pour les conteneurs. Les nouveaux exemples d’alertes sont présentés comme provenant d’AKS, de clusters connectés à Arc, de ressources EKS et GKE avec différents niveaux de gravité et de tactiques MITRE. Vous pouvez utiliser les exemples d’alertes pour valider les configurations d’alerte de sécurité, telles que les intégrations SIEM, l’automatisation du workflow et les notifications par e-mail.
En savoir plus sur la validation des alertes.
Règles de gouvernance à grande échelle (préversion)
Nous sommes heureux d’annoncer la nouvelle possibilité d’appliquer des règles de gouvernance à grande échelle (préversion) dans Defender pour le cloud.
Avec cette nouvelle expérience, les équipes de sécurité sont en mesure de définir des règles de gouvernance en bloc pour différentes étendues (abonnements et connecteurs). Les équipes de sécurité peuvent accomplir cette tâche en utilisant des étendues de gestion telles que des groupes d’administration Azure, des comptes de niveau supérieur AWS ou des organisations GCP.
En outre, la page Règles de gouvernance (préversion) présente toutes les règles de gouvernance disponibles qui sont efficaces dans les environnements de l’organisation.
Découvrez-en plus sur les nouvelles règles de gouvernance à grande échelle.
Note
À compter du 1er janvier 2023, pour bénéficier des fonctionnalités offertes par la gouvernance, vous devez activer le plan Defender CSPM sur votre abonnement ou connecteur.
La création d’évaluations personnalisées dans AWS et GCP (préversion) est déconseillée
La possibilité de créer des évaluations personnalisées pour les comptes AWS et les projets GCP, qui était une fonctionnalité en préversion, est déconseillée.
La recommandation concernant la configuration de files d’attente de lettres mortes pour les fonctions Lambda est déconseillée
La recommandation Lambda functions should have a dead-letter queue configured est déconseillée.
| Recommendation | Description | Severity |
|---|---|---|
| Une file d’attente de lettres mortes doit être configurée pour les fonctions Lambda | Ce contrôle vérifie si une fonction Lambda est configurée avec une file d’attente de lettres mortes. Le contrôle échoue si la fonction Lambda n’est pas configurée avec une file d’attente de lettres mortes. En guise d’alternative à une destination en cas d’échec, vous pouvez configurer votre fonction avec une file d’attente de lettres mortes pour sauvegarder les événements ignorés en vue d’un traitement ultérieur. Une file d’attente de lettres mortes agit de la même manière qu’une destination en cas d’échec. Elle est utilisée lorsqu’un événement échoue à toutes les tentatives de traitement ou expire sans avoir été traité. Une file d’attente de lettres mortes vous permet de revenir sur les erreurs ou les requêtes adressées à votre fonction Lambda ayant échoué pour déboguer ou identifier un comportement inhabituel. Du point de vue de la sécurité, il est important de comprendre la raison pour laquelle votre fonction a échoué et de vous assurer que votre fonction ne supprime pas de données ni ne compromet la sécurité des données en conséquence. Par exemple, si votre fonction ne peut pas communiquer avec une ressource sous-jacente, cela peut être le symptôme d’une attaque par déni de service (DoS) ailleurs sur le réseau. | Medium |
Octobre 2022
Les mises à jour d’octobre sont les suivantes :
- Annonce du point de référence de sécurité Microsoft Cloud
- Fonctionnalités d’Analyse du chemin d’attaque et de sécurité contextuelle dans Defender pour le cloud (préversion)
- Analyse sans agent des machines Azure et AWS (préversion)
- Defender pour DevOps (préversion)
- Le Tableau de bord de conformité réglementaire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l’état de conformité de Microsoft
- Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
- Gestion de la posture de sécurité cloud (CSPM) Defender (préversion)
- Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
- Defender pour les conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Annonce du point de référence de sécurité Microsoft Cloud
Le point de référence de sécurité Microsoft Cloud (MCSB) est une nouvelle infrastructure qui définit des principes de sécurité cloud fondamentaux basés sur des normes sectorielles courantes et des infrastructures de conformité. Avec des conseils techniques détaillés pour l’implémentation de ces meilleures pratiques sur les plateformes cloud. MCSB remplace Azure Security Benchmark. MCSB fournit des détails prescriptifs pour l’implémentation de ses recommandations de sécurité indépendante du cloud sur plusieurs plateformes de services cloud, couvrant initialement Azure et AWS.
Vous pouvez désormais surveiller votre posture de conformité à la sécurité du cloud, par cloud, dans un tableau de bord intégré. Vous pouvez considérer MCSB comme la norme de conformité par défaut lorsque vous accédez au tableau de bord de conformité réglementaire de Defender pour le cloud.
Le point de référence de sécurité Microsoft Cloud est automatiquement affecté à vos abonnements Azure et comptes AWS lorsque vous intégrez Defender pour le cloud.
Apprenez-en davantage sur le point de référence de sécurité Microsoft Cloud.
Fonctionnalités d’Analyse du chemin d’attaque et de sécurité contextuelle dans Defender pour le cloud (préversion)
Les nouvelles fonctionnalités de Graphique de sécurité du cloud, d’Analyse du chemin d’attaque et de sécurité du cloud contextuelle sont désormais disponibles dans Defender pour le cloud en préversion.
L’un des principaux défis auxquels les équipes de sécurité sont confrontées aujourd’hui est le nombre de problèmes de sécurité rencontrés quotidiennement. Il y a de nombreux problèmes de sécurité à résoudre et jamais assez de ressources pour les traiter tous.
Les nouvelles fonctionnalités de Graphique de sécurité du cloud et d’Analyse du chemin d’attaque de Defender pour le cloud permettent aux équipes de sécurité d’évaluer le risque derrière chaque problème de sécurité. Les équipes de sécurité peuvent également identifier les problèmes présentant les risques les plus élevés qui doivent être résolus le plus rapidement. Defender pour le cloud travaille avec les équipes de sécurité pour réduire le risque d'une violation affectant leur environnement de la manière la plus efficace.
Pour en savoir plus, consultez Graphique de sécurité du cloud, Analyse du chemin d’attaque et Explorateur de sécurité du cloud.
Analyse sans agent des machines Azure et AWS (préversion)
Jusqu’à présent, Defender pour le cloud basait ses évaluations de posture pour les machines virtuelles sur des solutions basées sur un agent. Pour aider les clients à optimiser la couverture et à réduire les frictions d’intégration et de gestion, nous publions l’analyse sans agent pour les machines virtuelles en préversion.
Grâce à l’analyse sans agent pour les machines virtuelles, vous bénéficiez d’une large visibilité sur les logiciels installés et les CVC logiciels. Vous bénéficiez de la visibilité sans les difficultés liées à l'installation et à la maintenance des agents, aux exigences de connectivité du réseau et à l'impact sur les performances de vos charges de travail. L’analyse est alimentée par Gestion des vulnérabilités Microsoft Defender.
L’analyse des vulnérabilités sans agent est disponible dans Gestion de la posture de sécurité cloud (CSPM) Defender et dans Defender pour serveurs P2, avec prise en charge native des machines virtuelles AWS et Azure.
- En savoir plus sur l’analyse sans agent.
- Découvrez comment activer l’évaluation des vulnérabilités sans agent.
Defender pour DevOps (préversion)
Microsoft Defender pour le cloud offre une visibilité complète, la gestion de la posture et la protection contre les menaces dans les environnements multiclouds et hybrides, y compris Azure, AWS, Google et les ressources locales.
Le nouveau plan Defender pour DevOps intègre maintenant des systèmes de gestion de code source, tels que GitHub et Azure DevOps, dans Defender pour le cloud. Grâce à cette nouvelle intégration, les équipes de sécurité pourront mieux protéger leurs ressources du code vers le cloud.
Defender pour DevOps vous offre une meilleure visibilité et gestion de vos environnements de développement connectés et de vos ressources de code. Actuellement, vous pouvez connecter des systèmes Azure DevOps et GitHub à Defender pour cloud et intégrer des référentiels DevOps à Inventory et à la nouvelle page Sécurité DevOps. Il fournit aux équipes de sécurité une vue d’ensemble des problèmes de sécurité découverts, dans une page de Sécurité DevOps unifiée.
Vous pouvez configurer des annotations sur des demandes d’extraction pour aider les développeurs à résoudre les résultats de l’analyse des secrets dans Azure DevOps directement sur leurs demandes de tirage.
Vous pouvez configurer les outils Microsoft Security DevOps sur Azure Pipelines et les workflows GitHub pour activer les analyses de sécurité suivantes :
| Name | Language | License |
|---|---|---|
| Bandit | Python | Licence Apache 2.0 |
| BinSkim | Binary--Windows, ELF | Licence MIT |
| ESlint | JavaScript | Licence MIT |
| CredScan (Azure DevOps uniquement) | Credential Scanner (aussi connu sous le nom CredScan) est un outil développé et géré par Microsoft pour identifier des fuites d’informations d’identification telles que celles contenues dans des types courants de fichiers de code source et de configuration : mots de passe par défaut, chaînes de connexion SQL, Certificats avec clés privées | Non open source |
| Analyse du modèle | Modèle ARM, fichier Bicep | Licence MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licence Apache 2.0 |
| Trivy | Images conteneur, systèmes de fichiers, dépôts Git | Licence Apache 2.0 |
Les nouvelles recommandations suivantes sont désormais disponibles pour DevOps :
| Recommendation | Description | Severity |
|---|---|---|
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse du code résolus | Defender pour DevOps a découvert des vulnérabilités dans les dépôts de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Medium |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse des secrets résolus | Defender pour DevOps a trouvé un secret dans les dépôts de code. Cela doit être corrigé immédiatement pour éviter une violation de la sécurité. Les secrets détectés dans les dépôts peuvent être divulgués ou découverts par des adversaires, ce qui peut compromettre une application ou d’un service. Pour Azure DevOps, l’outil Microsoft Security DevOps CredScan analyse uniquement les builds sur lesquelles il est configuré pour s’exécuter. Par conséquent, les résultats peuvent ne pas refléter l’état complet des secrets dans vos dépôts. (Aucune stratégie associée) | High |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse Dependabot résolus | Defender pour DevOps a découvert des vulnérabilités dans les dépôts de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée) | Medium |
| (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | (Préversion) Les référentiels de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus | Medium |
| (Préversion) L’analyse du code doit être activée dans les référentiels GitHub | GitHub utilise l’analyse du code pour analyser le code afin de rechercher les failles de sécurité et les erreurs dans le code. L’analyse du code peut être utilisée pour rechercher, trier et hiérarchiser les correctifs pour les problèmes existants dans votre code. L’analyse du code peut également empêcher les développeurs d’introduire de nouveaux problèmes. Des analyses peuvent être planifiées pour des jours et heures spécifiques, ou être déclenchées lorsqu’un événement spécifique se produit dans le dépôt, tel qu’un envoi (push). Si l’analyse du code détecte une vulnérabilité ou une erreur potentielle dans le code, GitHub affiche une alerte dans le dépôt. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour endommager la confidentialité, l’intégrité ou la disponibilité du projet. (Aucune stratégie associée) | Medium |
| (Préversion) L’analyse des secrets doit être activée dans les référentiels GitHub | GitHub analyse les dépôts à la recherche de types connus de secrets, afin d’empêcher toute utilisation frauduleuse de secrets qui ont été accidentellement validés dans des dépôts. L’analyse des secrets analyse l’intégralité de l’historique Git sur toutes les branches présentes dans le dépôt GitHub à la recherche de secrets. Les jetons et les clés privées qu’un fournisseur de services peut émettre pour l’authentification sont des exemples de secrets. Si un secret est archivé dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut utiliser le secret pour accéder au service externe avec ces privilèges. Les secrets doivent être stockés dans un emplacement dédié et sécurisé en dehors du dépôt du projet. (Aucune stratégie associée) | High |
| (Préversion) L’analyse Dependabot doit être activée dans les référentiels GitHub | GitHub envoie des alertes Dependabot lorsqu’il détecte des vulnérabilités dans les dépendances de code qui affectent les dépôts. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Quand le code dépend d’un package qui présente une faille de sécurité, cette dépendance vulnérable peut entraîner une série de problèmes. (Aucune stratégie associée) | Medium |
Les recommandations Defender pour DevOps remplacent l’analyseur de vulnérabilité déprécié pour les workflows CI/CD qui était inclus dans Defender pour les conteneurs.
Apprenez-en davantage sur Defender pour DevOps.
Le Tableau de bord de conformité réglementaire prend désormais en charge la gestion manuelle des contrôles et des informations détaillées sur l’état de conformité de Microsoft
Le tableau de bord de conformité dans Defender pour le cloud est un outil clé pour les clients, qui les aide à comprendre et à suivre leur état de conformité. Les clients peuvent surveiller en permanence les environnements conformément aux exigences de nombreuses normes et réglementations.
Désormais, vous pouvez gérer entièrement votre posture de conformité en attestant manuellement des contrôles opérationnels ainsi que d’autres contrôles. Vous pouvez fournir des preuves de conformité pour des contrôles non automatisés. Avec les évaluations automatisées, vous pouvez générer un rapport complet de conformité dans une étendue sélectionnée, en traitant l’ensemble des contrôles d’une norme donnée.
En outre, avec des informations de contrôle plus riches, ainsi que des détails et preuves approfondis concernant l’état de conformité de Microsoft, vous disposez à portée de main toutes les informations requises pour les audits.
Voici certains des nouveaux avantages offerts :
Les actions manuelles des clients fournissent un mécanisme permettant d’attester manuellement la conformité avec des contrôles non automatisés. Y compris la possibilité de lier des preuves, ainsi que de définir une date de conformité et une date d’expiration.
Détails de contrôle plus riches pour les normes prises en charge qui présentent les actions Microsoft et les actions manuelles des clients en plus des actions client automatisées déjà existantes.
Les actions Microsoft fournissent une transparence dans l’état de conformité de Microsoft qui inclut les procédures d’évaluation d’audit, les résultats des tests et les réponses Microsoft aux écarts.
Les offres de conformité fournissent un emplacement central pour vérifier les produits Azure, Dynamics 365 et Power Platform et leurs certifications de conformité réglementaire respectives.
Apprenez-en davantage sur la manière d’améliorer votre conformité réglementaire à l’aide de Defender pour le cloud.
Le provisionnement automatique est renommé paramètres et surveillance et a une expérience mise à jour
Nous avons renommé la page de provisionnement automatique en Paramètres et surveillance.
Le provisionnement automatique a été conçu pour permettre l’activation à grande échelle de prérequis dont ont besoin les fonctionnalités et capacités avancées de Defender pour le cloud. Pour mieux prendre en charge nos capacités étendues, nous allons lancer une nouvelle expérience avec les modifications suivantes :
La page des plans Defender pour le cloud inclut désormais les éléments suivants :
- Quand vous activez un plan Defender qui nécessite des composants de supervision, ces composants sont activés pour le provisionnement automatique avec les paramètres par défaut. Ces paramètres peuvent être modifiés à tout moment.
- Vous pouvez accéder aux paramètres du composant de surveillance pour chaque plan Defender à partir de la page de celui-ci.
- La page des plans Defender indique clairement si tous les composants de surveillance sont en place pour chaque plan Defender ou si votre couverture de surveillance est incomplète.
Page Paramètres et surveillance :
- Chaque composant de supervision indique les plans Defender auxquels il a trait.
Apprenez-en davantage sur la gestion de vos paramètres de surveillance.
Gestion de la posture de sécurité cloud Defender (CSPM)
L’un des piliers de Microsoft Defender pour le cloud en lien avec la sécurité du cloud est la Gestion de la posture de sécurité cloud (CSPM). La CSPM fournit des conseils de renforcement qui vous aident à améliorer efficacement et effectivement votre sécurité. La CSPM vous donne également une visibilité de votre situation de sécurité actuelle.
Nous annonçons un nouveau plan Defender : Defender CSPM. Ce plan améliore les fonctionnalités de sécurité de Defender pour le cloud et inclut les fonctionnalités nouvelles et étendues suivantes :
- Évaluation continue de la configuration de sécurité de vos ressources cloud
- Recommandations de sécurité pour corriger les erreurs de configuration et les faiblesses
- Score de sécurité
- Governance
- Conformité réglementaire
- Graphique de sécurité du cloud
- Analyse du chemin d’attaque
- Analyse sans agent des machines
Découvrez-en plus sur le plan Defender CSPM.
Le mappage d’infrastructure MITRE ATT&CK est désormais disponible également pour les recommandations de sécurité AWS et GCP
Pour les analystes de sécurité, il est essentiel d’identifier les risques potentiels associés aux recommandations de sécurité et de comprendre les vecteurs d’attaque afin qu’ils puissent hiérarchiser efficacement leurs tâches.
Defender pour le cloud facilite la hiérarchisation en mappant les recommandations de sécurité Azure, AWS et GCP à l’infrastructure MITRE ATT&CK. Le framework MITRE ATT&CK est une base de connaissances mondialement accessible des tactiques et techniques adversaires basées sur des observations réelles, ce qui permet aux clients de renforcer la configuration sécurisée de leurs environnements.
Le framework MITRE ATT&CK est intégré de trois façons :
- Les recommandations correspondent aux tactiques et techniques MITRE ATT&CK.
- Interrogez les tactiques et techniques MITRE ATT&CK sur les recommandations à l’aide d’Azure Resource Graph.
Defender pour les conteneurs prend désormais en charge l’évaluation des vulnérabilités pour Elastic Container Registry (préversion)
Microsoft Defender pour les conteneurs fournit désormais une analyse des vulnérabilités sans agent pour ELASTIC Container Registry (ERC) dans Amazon AWS. Extension de la couverture des environnements multicloud, dans le prolongement de la publication, plus tôt cette année, d’une protection contre les menaces avancées et d’un renforcement de l’environnement Kubernetes pour AWS et Google GCP. Le modèle sans agent crée des ressources AWS dans vos comptes pour analyser vos images sans extraire d’images de vos comptes AWS et sans empreinte sur votre charge de travail.
L’analyse d’évaluation des vulnérabilités sans agent pour les images dans les référentiels ERC permet de réduire la surface d’attaque de vos ressources conteneurisées en analysant en continu les images afin d’identifier et gérer les vulnérabilités des conteneurs. Avec cette nouvelle version, Defender pour le cloud analyse les images conteneur envoyées au dépôt et réévalue continuellement les images conteneur DEC dans le Registre. Les résultats sont disponibles dans Microsoft Defender pour le cloud en tant que recommandations, et vous pouvez utiliser des flux de travail automatisés intégrés de Defender pour le cloud afin de prendre des mesures en fonction des résultats, comme l’ouverture d’un ticket pour corriger une vulnérabilité de gravité élevée dans une image.
Apprenez-en davantage sur l’évaluation des vulnérabilités des images Amazon ECR.
Septembre 2022
Les mises à jour en septembre sont les suivantes :
- Supprimer les alertes basées sur des entités Container et Kubernetes
- Prise en charge par Defender pour serveurs du monitoring de l’intégrité des fichiers avec l’agent Azure Monitor
- Dépréciation des API d’évaluations héritées
- Recommandations supplémentaires ajoutées à l’identité
- Alertes de sécurité supprimées pour les machines signalant les alertes à des espaces de travail Log Analytics multilocataires
Supprimer les alertes basées sur des entités Container et Kubernetes
- Espace de noms Kubernetes
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Travail Kubernetes
- Kubernetes CronJob
Découvrez-en plus sur les règles de suppression des alertes.
Prise en charge par Defender pour serveurs du monitoring de l’intégrité des fichiers avec l’agent Azure Monitor
Le monitoring de l’intégrité des fichiers permet d’examiner les fichiers du système d’exploitation et les registres pour déterminer s’ils contiennent des modifications susceptibles d’indiquer une attaque.
FIM est désormais disponible dans une nouvelle version basée sur l’agent Azure Monitor (AMA, Azure Monitor Agent), que vous pouvez déployer par le biais de Defender pour le cloud.
Dépréciation des API d’évaluations héritées
Les API suivantes sont déconseillées :
- Tâches de sécurité
- États de sécurité
- Résumés de sécurité
Ces trois API ont exposé les anciens formats d’évaluations et sont remplacées par les API Évaluations et les API SubAssessments. Toutes les données exposées par ces API héritées sont également disponibles dans les nouvelles API.
Recommandations supplémentaires ajoutées à l’identité
Recommandations de Defender pour le cloud permettant d’améliorer la gestion des utilisateurs et des comptes.
Nouvelles recommandations
La nouvelle version inclut les fonctionnalités suivantes :
Étendue d’évaluation étendue : amélioration de la couverture des comptes d’identité sans authentification multi-facteur et comptes externes sur les ressources Azure (au lieu des abonnements uniquement) permettant aux administrateurs de sécurité d’afficher les attributions de rôles par compte.
Intervalle d’actualisation amélioré : les recommandations sur l’identité ont désormais un intervalle d’actualisation de 12 heures.
Fonctionnalité d’exemption de compte : Defender pour le cloud dispose de nombreuses fonctionnalités qui permettent de personnaliser l’expérience utilisateur et de vérifier que le niveau de sécurité reflète les priorités de sécurité de votre organisation. Par exemple, vous pouvez exempter les ressources et les recommandations de votre score de sécurité.
Cette mise à jour vous permet d’exempter des comptes spécifiques de l’évaluation avec les six recommandations listées dans le tableau suivant.
En règle générale, vous exemptez les comptes de « verre de rupture » d’urgence des recommandations de l’authentification multifacteur, car ces comptes sont souvent délibérément exclus des exigences de l’authentification multifacteur d’une organisation. Vous pouvez également disposer de comptes externes auxquels vous souhaitez autoriser l’accès, pour lesquels l’authentification MFA n’est pas activée.
Tip
Quand vous exemptez un compte, il n’est pas affiché comme étant non sain. Il n’indique pas non plus qu’un abonnement n’est pas sain.
Recommendation Clé d’évaluation Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur 6240402e-f77c-46fa-9060-a7ce53997754 Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur c0cb17b2-0607-48a7-b0e0-903ed22de39b Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés 20606e75-05c4-48c0-9d97-add6daa2109a Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés 050ac097-3dda-4d24-ab6d-82568e7a50cf Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Les recommandations, bien qu’en préversion, s’affichent en regard des recommandations actuellement en disponibilité générale.
Alertes de sécurité supprimées pour les machines signalant les alertes à des espaces de travail Log Analytics multilocataires
Auparavant, Defender pour le cloud vous permettait de choisir l’espace de travail auquel vos agents Log Analytics signalaient leurs alertes. Lorsqu’un ordinateur appartient à un locataire (locataire A), mais que son agent Log Analytics a signalé à un espace de travail dans un autre locataire (« Locataire B »), les alertes de sécurité relatives à l’ordinateur ont été signalées au premier locataire (locataire A).
Avec cette modification, les alertes à propos des machines connectées à un espace de travail Log Analytics dans un autre locataire n’apparaissent plus dans Defender pour le cloud.
Si vous souhaitez continuer à recevoir les alertes dans Defender pour le cloud, connectez l’agent Log Analytics des machines concernées à l’espace de travail dans le même locataire que la machine.
En savoir plus sur les alertes de sécurité.
Août 2022
Les mises à jour en août sont les suivantes :
- Les vulnérabilités pour les images en cours d’exécution sont désormais visibles avec Defender pour les conteneurs sur vos conteneurs Windows
- Intégration d’Azure Monitor Agent maintenant en préversion
- Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Les vulnérabilités pour les images en cours d’exécution sont désormais visibles avec Defender pour les conteneurs sur vos conteneurs Windows
Defender pour les conteneurs affiche désormais les vulnérabilités pour l’exécution de conteneurs Windows.
Lorsque des vulnérabilités sont détectées, Defender pour le cloud génère la recommandation de sécurité suivante répertoriant les problèmes détectés : Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs.
En savoir plus sur l’affichage des vulnérabilités pour l’exécution d’images.
Intégration d’Azure Monitor Agent maintenant en préversion
Defender pour le cloud inclut désormais la prise en charge de la préversion d’Azure Monitor Agent Azure Monitor (AMA). AMA est destiné à remplacer l’agent Log Analytics hérité (également appelé Microsoft Monitoring Agent (MMA)), qui est en voie de dépréciation. AMA offre ne nombreux avantages par rapport aux agents hérités.
Dans Defender pour le cloud, lorsque vous activez l’approvisionnement automatique pour AMA, l’agent est déployé sur des machines virtuelles existantes et nouvelles et sur les machines avec Azure Arc détectées dans vos abonnements. Si des plans Defender pour le cloud sont activés, AMA collecte des informations de configuration et des journaux des événements à partir des machines virtuelles Azure et Azure Arc. L’intégration d’AMA est en préversion. Nous vous recommandons donc de l’utiliser dans les environnements de test plutôt que dans les environnements de production.
Alertes de machine virtuelle dépréciées concernant les activités suspectes liées à un cluster Kubernetes
Le tableau suivant liste les alertes qui ont été dépréciées :
| Nom de l’alerte | Description | Tactics | Severity |
|---|---|---|---|
|
Détection d’une opération de création Docker sur un nœud Kubernetes (VM_ImageBuildOnNode) |
Les journaux de la machine indiquent une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés. | Évasion de défense | Low |
|
Demande suspecte à l’API Kubernetes (VM_KubernetesAPI) |
Les journaux de la machine indiquent qu’une demande suspecte a été adressée à l’API Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis. | LateralMovement | Medium |
|
Le serveur SSH s’exécute à l’intérieur d’un conteneur (VM_ContainerSSH) |
Les journaux de la machine indiquent qu’un serveur SSH est en cours d’exécution dans un conteneur Docker. Bien que ce comportement puisse être intentionnel, il indique fréquemment qu’un conteneur est mal configuré ou a subi une violation. | Execution | Medium |
Ces alertes sont utilisées pour avertir un utilisateur de l’activité suspecte liée à un cluster Kubernetes. Les alertes seront remplacées par des alertes correspondantes qui font partie des alertes de conteneur Microsoft Defender pour le cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI et K8S.NODE_ ContainerSSH) qui garantiront une meilleure fidélité et un contexte complet pour examiner et agir sur les alertes. En savoir plus sur les alertes pour les clusters Kubernetes.
Les vulnérabilités de conteneur incluent désormais des informations détaillées sur les packages
L’évaluation des vulnérabilités de Defender pour les conteneurs inclut maintenant des informations détaillées sur les packages pour chaque résultat, notamment le nom du package, le type de package, le chemin, la version installée et la version corrigée. Ces informations sur les packages vous permettent d’identifier les packages vulnérables pour que vous puissiez ensuite corriger la vulnérabilité ou supprimer le package.
Ces informations détaillées sur les packages sont disponibles pour les nouvelles analyses d’images.
Juillet 2022
Les mises à jour du mois de juillet incluent :
- Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
- L’évaluation des vulnérabilités de Defender pour les conteneurs ajoute la prise en charge de la détection des packages spécifiques à la langue (préversion)
- Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
- Intégration à Entra Permissions Management
- Les recommandations Key Vault ont changé en « audit »
- Déconseiller l’utilisation des stratégies d’application API pour App Service
Disponibilité générale de l’agent de sécurité natif cloud pour la protection du runtime Kubernetes
Nous sommes heureux d’annoncer que l’agent de sécurité natif cloud pour la protection du runtime Kubernetes est désormais disponible en disponibilité générale !
Les déploiements de production de clusters Kubernetes continuent de croître à mesure que les clients continuent à conteneuriser leurs applications. Pour faciliter cette croissance, l’équipe Defender pour les conteneurs a développé un agent de sécurité natif cloud orienté Kubernetes.
Le nouvel agent de sécurité est un DaemonSet Kubernetes, basé sur la technologie eBPF et entièrement intégré aux clusters AKS dans le cadre du profil de sécurité AKS.
L’activation de l’agent de sécurité est disponible via l’approvisionnement automatique, le flux de recommandations, AKS RP ou à grande échelle à l’aide de Azure Policy.
Vous pouvez déployer l'agent Defender dès aujourd'hui sur vos clusters AKS.
Avec cette annonce, la protection du runtime/la détection des menaces (charge de travail) est désormais également en disponibilité générale.
En savoir plus sur la disponibilité des fonctionnalités de Defender pour conteneur.
Vous pouvez également passer en revue toutes les alertes disponibles.
Notez que si vous utilisez la version préliminaire, l’indicateur de fonctionnalité AKS-AzureDefender n’est plus nécessaire.
L’évaluation des vulnérabilités de Defender pour les conteneurs ajoute la prise en charge de la détection des packages spécifiques à la langue (préversion)
L’évaluation des vulnérabilités de Defender pour les conteneurs est en mesure de détecter les vulnérabilités dans les packages de système d’exploitation déployés via le gestionnaire de package du système d’exploitation. Nous avons maintenant étendu ces capacités d’évaluation des vulnérabilités pour détecter les vulnérabilités incluses dans des packages spécifiques à la langue.
Cette fonctionnalité est disponible en préversion et uniquement pour les images Linux.
Pour afficher tous les packages spécifiques à la langue inclus qui ont été ajoutés, consultez la liste complète des fonctionnalités de Defender pour les conteneurs et de leur disponibilité.
Protection contre la vulnérabilité CVE-2022-29149 de l’infrastructure Operations Management
L’infrastructure Operations Management (OMI) est un regroupement de services informatiques destinés à gérer vos environnements locaux et de cloud depuis une interface unique. Plutôt que de déployer et de gérer des ressources locales, les composants OMI sont entièrement hébergés dans Azure.
Log Analytics intégré à Azure HDInsight exécutant OMI version 13 nécessite un correctif pour corriger CVE-2022-29149. Passez en revue le rapport sur cette vulnérabilité dans le guide des correctifs de sécurité Microsoft pour plus d’informations sur l’identification des ressources affectées par cette vulnérabilité et les étapes de correction.
Si Defender pour serveurs est activé avec l’évaluation des vulnérabilités, vous pouvez utiliser ce classeur pour identifier les ressources affectées.
Intégration à Entra Permissions Management
Defender pour le cloud intègre Microsoft Entra Permissions Management, une solution CIEM (Cloud Infrastructure Entitlement Management) qui offre une visibilité et un contrôle complets des autorisations pour toutes les identités et toutes les ressources dans Azure, AWS et GCP.
Chaque abonnement Azure, compte AWS et projet GCP que vous intégrez affiche désormais une vue de votre index PCI (Permission Creep Index).
En savoir plus sur Entra Permission Management (anciennement Cloudknox)
Les recommandations Key Vault ont changé en « audit »
L’effet des recommandations Key Vault répertoriées ici a été remplacé par « audit » :
| Nom de la recommandation | ID de recommandation |
|---|---|
| La période de validité des certificats stockés dans Azure Key Vault ne doit pas dépasser 12 mois | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Les secrets Key Vault doivent avoir une date d’expiration | 14257785-9437-97fa-11ae-898cfb24302b |
| Les clés Key Vault doivent avoir une date d’expiration | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Déconseiller l’utilisation des stratégies d’application API pour App Service
Nous déconseillons l’utilisation des stratégies suivantes avec les stratégies correspondantes qui existent déjà pour inclure des applications API :
| Fonctionnalité destinée à être déconseillée | Modification à |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juin 2022
Les mises à jour du mois de juin incluent :
- Disponibilité générale pour Microsoft Defender pour Azure Cosmos DB
- Disponibilité générale de Defender pour SQL sur les machines pour les environnements AWS et GCP
- Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
- Filtrer les alertes de sécurité par adresse IP
- Alertes par groupe de ressources
- Approvisionnement automatique de solution unifiée Microsoft Defender pour point de terminaison
- Déprécier la stratégie « L'application API doit uniquement être accessible via HTTPS »
- Nouvelles alertes de Key Vault
Disponibilité générale pour Microsoft Defender pour Azure Cosmos DB
Microsoft Defender pour Azure Cosmos DB est désormais en disponibilité générale (GA) et prend en charge les types de comptes d’API SQL (Core).
Cette nouvelle version en disponibilité générale fait partie de la suite de protection des bases de données Microsoft Defender pour le cloud, qui inclut différents types de bases de données SQL et MariaDB. Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB.
En activant ce plan, vous serez alerté des injections SQL potentielles, des mauvais acteurs connus, des schémas d’accès suspects et des explorations potentielles de votre base de données par des identités compromises ou des insiders malveillants.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes fournissent les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
Microsoft Defender pour Azure Cosmos DB analyse en continu le flux de télémétrie généré par les services Azure Cosmos DB et les croise avec Microsoft Threat Intelligence et les modèles comportementaux pour détecter toute activité suspecte. Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB et n’a aucun impact sur les performances de votre base de données.
En savoir sur Microsoft Defender pour Azure Cosmos DB.
Grâce à l’ajout de la prise en charge d’Azure Cosmos DB, Defender pour le cloud fournit désormais l’une des offres de protection des charges de travail les plus complètes pour les bases de données cloud. Les équipes de sécurité et les propriétaires de base de données peuvent désormais avoir une expérience centralisée pour gérer leur sécurité de base de données de leurs environnements.
Découvrez comment activer des protections pour vos bases de données.
Disponibilité générale de Defender pour SQL sur les machines pour les environnements AWS et GCP
Les fonctionnalités de protection de base de données fournies par Microsoft Defender pour le cloud ont ajouté la prise en charge de vos serveurs SQL hébergés dans des environnements AWS ou GCP.
À l’aide de Defender pour SQL, les entreprises peuvent désormais protéger l’ensemble de leurs bases de données, qu’elles soient hébergées sur Azure, AWS, GCP ou sur des machines locales.
Microsoft Defender pour SQL offre une expérience multicloud unifiée permettant d’afficher les recommandations de sécurité, les alertes de sécurité et les résultats de l’évaluation des vulnérabilités pour le serveur SQL et le système d’exploitation Windows sous-jacent.
À l’aide de l’expérience d’intégration multicloud, vous pouvez activer et appliquer la protection des bases de données pour les serveurs SQL s’exécutant sur AWS EC2, RDS Custom pour SQL Server et le moteur de calcul GCP. Une fois que vous avez activé l’un de ces plans, toutes les ressources prises en charge qui existent au sein de l’abonnement sont protégées. Les ressources futures créées sur le même abonnement seront également protégées.
Découvrez comment protéger et connecter votre environnement AWS et votre organisation GCP à Microsoft Defender for Cloud.
Favoriser l’implémentation des recommandations de sécurité pour améliorer votre posture de sécurité
Aujourd’hui, les menaces croissantes pour les organisations étendent les limites du personnel de sécurité pour protéger leurs charges de travail en expansion. Les équipes de sécurité sont mises en œuvre pour implémenter les protections définies dans leurs stratégies de sécurité.
À présent, avec l’expérience de gouvernance en préversion, les équipes de sécurité peuvent affecter la correction des recommandations de sécurité aux propriétaires de ressources et exiger une planification de correction. Elles peuvent avoir une transparence totale sur la progression de la correction et être averties lorsque les tâches sont en retard.
En savoir plus sur l’expérience de gouvernance dans Aider votre organisation à corriger les problèmes de sécurité liés à la gouvernance des recommandations.
Filtrer les alertes de sécurité par adresse IP
Dans de nombreux cas d’attaques, vous souhaitez suivre les alertes en fonction de l’adresse IP de l’entité impliquée dans l’attaque. Jusqu’à présent, l’adresse IP apparaissait uniquement dans la section « Entités associées » dans le panneau d’alerte unique. À présent, vous pouvez filtrer les alertes dans la page des alertes de sécurité pour afficher les alertes liées à l’adresse IP, et vous pouvez rechercher une adresse IP spécifique.
Alertes par groupe de ressources
La possibilité de filtrer, trier et regrouper par groupe de ressources est ajoutée à la page Alertes de sécurité.
Une colonne de groupe de ressources est ajoutée à la grille des alertes.
Un nouveau filtre est ajouté, ce qui vous permet d’afficher toutes les alertes pour des groupes de ressources spécifiques.
Vous pouvez désormais également regrouper vos alertes par groupe de ressources pour afficher toutes vos alertes pour chacun de vos groupes de ressources.
Approvisionnement automatique de solution unifiée Microsoft Defender pour point de terminaison
Jusqu’à présent, l’intégration à Microsoft Defender pour point de terminaison (MDE) inclut l’installation automatique de la nouvelle solution unifiée MDE pour les machines (abonnements Azure et connecteurs multiclouds) avec Defender pour serveurs Plan 1 activé et pour les connecteurs multiclouds avec Defender pour serveurs Plan 2 activé. Le plan 2 pour les abonnements Azure a activé la solution unifiée pour les machines Linux et les serveurs Windows 2019 et 2022 uniquement. Les serveurs Windows 2012R2 et 2016 utilisaient l’ancienne solution MDE dépendant de l’agent Log Analytics.
Maintenant, la nouvelle solution unifiée est disponible pour toutes les machines dans les deux plans, pour les abonnements Azure et les connecteurs multiclouds. Pour les abonnements Azure avec serveurs Plan 2 qui ont activé l’intégration MDE après le 20 juin 2022, la solution unifiée est activée par défaut pour tous les abonnements Azure avec defender pour serveurs Plan 2 activé avec l’intégration MDE avant le 20 juin 2022 peut désormais activer l’installation de la solution unifiée pour les serveurs Windows 2012R2 et 2016 via le bouton dédié dans la page Intégrations :
En savoir plus sur l’intégration de MDE dans Defender pour les serveurs.
Déconseiller la stratégie « L'application API doit uniquement être accessible via HTTPS »
Cette stratégie API App should only be accessible over HTTPS est déconseillée. Cette stratégie est remplacée par la stratégie Web Application should only be accessible over HTTPS, qui est renommée en App Service apps should only be accessible over HTTPS.
Pour en savoir plus sur les définitions de stratégie pour Azure App Service, consultez Définitions intégrées d’Azure Policy pour Azure App Service .
Nouvelles alertes de Key Vault
Pour développer les protections contre les menaces fournies par Microsoft Defender pour Key Vault, nous avons ajouté deux nouvelles alertes.
Ces alertes vous informent d’un accès inhabituel refusé détecté pour l’un de vos coffres de clés.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé (KV_DeniedAccountVolumeAnomaly) |
Un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. | Discovery | Low |
|
Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés (KV_UserAccessDeniedAnomaly) |
Un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. | Accès initial, découverte | Low |
Mai 2022
Les mises à jour du mois de mai incluent :
- Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
- L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
- Ajouter et supprimer le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
Les paramètres multiclouds du plan Serveurs sont désormais disponibles au niveau du connecteur
Il existe à présent des paramètres au niveau du connecteur dédiés à Defender pour serveurs dans le multicloud.
Ces nouveaux paramètres au niveau du connecteur fournissent une granularité pour la tarification et la configuration de l’approvisionnement automatique par connecteur, indépendamment de l’abonnement.
Tous les composants d’approvisionnement automatique disponibles au niveau du connecteur (Azure Arc, MDE et évaluations des vulnérabilités) sont activés par défaut, et la nouvelle configuration prend en charge les niveaux tarifaires Plan 1 et Plan 2.
Les mises à jour de l’interface utilisateur incluent une réflexion sur le niveau tarifaire sélectionné et les composants requis configurés.
Modifications apportées à l’évaluation des vulnérabilités
Defender pour les conteneurs affiche désormais les vulnérabilités qui ont des gravités de niveau moyen et bas non corrigibles.
Dans le cadre de cette mise à jour, les vulnérabilités avec des gravités moyennes et faibles sont désormais affichées, que les correctifs soient disponibles ou non. Cette mise à jour offre une visibilité maximale, tout en vous permettant de filtrer les vulnérabilités non souhaitées à l’aide de la règle de désactivation fournie.
En savoir plus sur la gestion des vulnérabilités
L’accès JIT (juste-à-temps) pour les machines virtuelles est désormais disponible pour les instances AWS EC2 (préversion)
Lorsque vous connectez des comptes AWS, JIT évalue automatiquement la configuration réseau des groupes de sécurité de votre instance et recommande les instances qui ont besoin de protection, car leurs ports de gestion sont exposés. Cela est similaire à la façon dont JIT fonctionne avec Azure. Lorsque vous intégrez des instances EC2 non protégées, JIT bloque l’accès public aux ports de gestion et les ouvre uniquement dans le cadre de requêtes autorisées pour un délai limité.
Découvrez comment JIT protège vos instances AWS EC2
Ajouter et supprimer le capteur Defender pour les clusters AKS à l’aide de l’interface CLI
L’agent Defender est requis pour que Defender pour conteneurs fournisse les protections d’exécution et collecte les signaux à partir de nœuds. Vous pouvez maintenant utiliser Azure CLI pour ajouter et supprimer l’agent Defender pour un cluster AKS.
Note
Cette option est incluse dans Azure CLI 3.7 et versions ultérieures.
Avril 2022
Les mises à jour du mois d’avril incluent :
- Nouveaux plans Defender pour les serveurs
- Nouvel emplacement des recommandations personnalisées
- Script PowerShell pour diffuser des alertes vers Splunk et QRadar
- Déprécié la recommandation Azure Cache pour Redis
- Nouvelle variante d’alerte pour Microsoft Defender pour Stockage (préversion) pour détecter l’exposition des données sensibles
- Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
- Consultez les journaux d’activité liés à une alerte de sécurité
Nouveaux plans Defender pour les serveurs
Microsoft Defender pour les serveurs est désormais proposé en deux plans incrémentiels :
- Defender pour les serveurs Plan 2, anciennement Defender pour les serveurs
- Defender pour les serveurs Plan 1, comprenant le support pour Microsoft Defender pour les points de terminaison uniquement
Alors que Defender pour les serveurs Plan 2 continue de fournir une protection complète contre les menaces et les vulnérabilités à vos charges de travail cloud et locales, Microsoft Defender pour les serveurs Plan 1 fournit uniquement une protection des points de terminaison, intégrée nativement à Defender pour point de terminaison. En savoir plus sur les plans Defender pour les serveurs.
Si vous avez utilisé Defender pour les serveurs jusqu’à présent, aucune action n’est nécessaire.
En outre, Defender pour le cloud démarre également la prise en charge progressive de l’agent unifié Defender pour les points de terminaison pour Windows Server 2012 R2 et 2016. Defender pour les serveurs Plan 1 déploie le nouvel agent unifié sur les charges de travail Windows Server 2012 R2 et 2016.
Nouvel emplacement des recommandations personnalisées
Les recommandations personnalisées sont celles créées par un utilisateur ; elles n’ont aucun effet sur le niveau de sécurité. Les recommandations personnalisées sont désormais disponibles sous l’onglet Toutes les recommandations.
Utilisez le nouveau filtre « type de recommandation » pour localiser les recommandations personnalisées.
Apprenez-en davantage dans Créer des stratégies et des initiatives de sécurité personnalisées.
Script PowerShell pour diffuser des alertes vers Splunk et QRadar
Nous vous recommandons d’utiliser Event Hubs et un connecteur intégré pour exporter des alertes de sécurité vers Splunk et IBM QRadar. Vous pouvez maintenant utiliser un script PowerShell pour configurer les ressources Azure nécessaires pour exporter des alertes de sécurité pour votre abonnement ou locataire.
Téléchargez et exécutez le script PowerShell. Après avoir fourni quelques détails sur votre environnement, le script configure les ressources pour vous. Le script produit ensuite la sortie que vous utilisez dans la plateforme SIEM pour terminer l’intégration.
Pour plus d’informations, consultez Les alertes Stream à Splunk et QRadar.
Déprécié la recommandation Azure Cache pour Redis
La recommandation Azure Cache for Redis should reside within a virtual network (Préversion) est déconseillée. Nous avons modifié nos conseils pour la sécurisation des instances de Azure Cache pour Redis. Nous vous recommandons d’utiliser un point de terminaison privé pour restreindre l’accès à votre instance de Azure Cache pour Redis, au lieu d’un réseau virtuel.
Nouvelle variante d’alerte pour Microsoft Defender pour Stockage (préversion) pour détecter l’exposition des données sensibles
Les alertes de Microsoft Defender pour Stockage vous avertissent lorsque les acteurs de la menace tentent d’analyser et d’exposer, correctement ou pas, mal configurés, des conteneurs de stockage ouverts publiquement pour essayer d’exfiltrer les informations sensibles.
Pour accélérer le triage et le temps de réponse, lorsque l’exfiltration de données potentiellement sensibles a pu se produire, nous avons publié une nouvelle variante de l’alerte existante Publicly accessible storage containers have been exposed .
La nouvelle alerte, Publicly accessible storage containers with potentially sensitive data have been exposed, est déclenchée avec un niveau de gravité High, une fois une découverte réussie d’un ou plusieurs conteneurs de stockage ouverts publiquement avec des noms qui ont été détectés statistiquement à être exposés publiquement, ce qui suggère qu’ils peuvent contenir des informations sensibles.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Les conteneurs de stockage accessibles publiquement avec des données potentiellement sensibles ont été exposés (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Quelqu’un a analysé votre compte stockage Azure et exposé des conteneurs qui autorisent l’accès public. Un ou plusieurs conteneurs exposés ont des noms qui indiquent qu’ils peuvent contenir des données sensibles. Cela indique généralement la reconnaissance par un acteur de menace qui analyse les conteneurs de stockage accessibles publiquement mal configurés qui peuvent contenir des données sensibles. Une fois qu’un acteur de menace découvre correctement un conteneur, il peut continuer en exfiltrant les données. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Titre de l’alerte d’analyse de conteneur augmentée avec la réputation de l’adresse IP
La réputation d’une adresse IP peut indiquer si l’activité d’analyse provient d’un acteur de menace connu ou d’un acteur qui utilise le réseau Tor pour masquer son identité. Ces deux indicateurs suggèrent qu’il existe une intention malveillante. La réputation de l’adresse IP est fournie par Microsoft Threat Intelligence.
L’ajout de la réputation de l’adresse IP au titre de l’alerte permet d’évaluer rapidement l’intention de l’acteur, et ainsi la gravité de la menace.
Les alertes suivantes incluent ces informations :
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Par exemple, les informations ajoutées au titre de l’alerte Publicly accessible storage containers have been exposed ressemblent à ceci :
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Toutes les alertes pour Microsoft Defender pour Stockage continueront d’inclure des informations sur les menaces dans l’entité IP dans la section Entités associées de l’alerte.
Consulter les journaux d’activité liés à une alerte de sécurité
Dans le cadre des actions que vous pouvez effectuer pour évaluer une alerte de sécurité, vous pouvez trouver les journaux de plateforme associés dans Inspecter le contexte de la ressource pour obtenir un contexte sur la ressource affectée. Microsoft Defender pour le cloud identifie les journaux de plateforme qui se trouvent à moins d’un jour de l’alerte.
Les journaux de plateforme peuvent vous aider à évaluer la menace de sécurité et à identifier les étapes que vous pouvez effectuer pour atténuer le risque identifié.
mars 2022
Les mises à jour du mois de mars incluent :
- Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
- Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
- Defender pour les conteneurs peut désormais rechercher les vulnérabilités dans les images Windows (préversion)
- Nouvelle alerte pour Microsoft Defender pour le stockage (préversion)
- Configurer les paramètres de notifications par e-mail à partir d’une alerte
- Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
- Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
- Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
- L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
- Dépréciation des recommandations relatives aux appareils Microsoft Defender pour IoT
- Dépréciation des alertes relatives aux appareils Microsoft Defender pour IoT
- Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
- Analyse du registre pour les images Windows dans ACR prend maintenant en charge les clouds nationaux
Disponibilité mondiale du degré de sécurisation pour les environnements AWS et GCP
Les fonctionnalités de gestion de l’état de la sécurité du cloud fournies par Microsoft Defender pour le cloud offrent maintenant la prise en charge de vos environnements AWS et GCP dans votre degré de sécurisation.
Les entreprises peuvent désormais voir leur état de sécurité global, dans différents environnements, comme Azure, AWS et GCP.
La page Degré de sécurisation est remplacée par le tableau de bord Posture de sécurité. Le tableau de bord Posture de sécurité vous permet d’afficher un score global pour tous vos environnements, ou une répartition de votre situation de sécurité en fonction de l’ensemble des environnements que vous choisissez.
La page Recommandations a également été repensée pour fournir de nouvelles fonctionnalités, comme la sélection d’un environnement cloud, des filtres avancés basés sur le contenu (groupe de ressources, compte AWS, projet GCP, etc.), une interface utilisateur améliorée pour les faibles résolutions, la prise en charge des requêtes ouvertes dans le graphe des ressources, et bien plus encore. Vous pouvez en savoir plus sur votre posture globale de sécurité et vos recommandations de sécurité.
Dépréciation des suggestions d’installer l’agent de collecte de données du trafic réseau
Les modifications apportées à notre feuille de route et à nos priorités ont supprimé le besoin de l’agent de collecte des données du trafic réseau. Les deux recommandations suivantes et leurs stratégies associées ont été dépréciées.
| Recommendation | Description | Severity |
|---|---|---|
| L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Defender pour le cloud utilise l’agent Microsoft Dependency pour collecter les données du trafic sur vos machines virtuelles Azure afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de renforcement de la sécurité du réseau et menaces réseau spécifiques. | Medium |
| L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Defender pour le cloud utilise l’agent Microsoft Dependency pour collecter les données du trafic sur vos machines virtuelles Azure afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de renforcement de la sécurité et menaces réseau spécifiques. | Medium |
Defender pour les conteneurs peut désormais rechercher les vulnérabilités dans les images Windows (préversion)
L’analyse d’image Defender pour les conteneurs prend désormais en charge les images Windows hébergées dans Azure Container Registry. Cette fonctionnalité est gratuite en préversion, et elle entraînera un coût lorsqu’elle sera en disponibilité générale.
Apprenez-en davantage dans Analyse des vulnérabilités dans les images avec Microsoft Defender pour les conteneurs.
Nouvelle alerte pour Microsoft Defender pour le stockage (préversion)
Afin de développer les protections contre les menaces fournies par Microsoft Defender pour le stockage, nous avons ajouté une nouvelle alerte en préversion.
Les acteurs des menaces utilisent des applications et des outils pour découvrir et accéder aux comptes de stockage. Microsoft Defender pour le stockage détecte ces applications et outils pour vous permettre de les bloquer et de corriger votre posture.
Cette alerte en préversion se nomme Access from a suspicious application. L’alerte s’applique uniquement à Stockage Blob Azure et à ADLS Gen2.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
PRÉVERSION - Accès à partir d’une application suspecte (Storage.Blob_SuspiciousApp) |
Indique qu’une application suspecte a réussi à accéder à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2 |
Accès initial | Medium |
Configurer les paramètres de notifications par e-mail à partir d’une alerte
Une nouvelle section a été ajoutée à l’interface utilisateur des alertes ; elle vous permet d’afficher et de changer les destinataires des notifications par e-mail pour les alertes déclenchées sur l’abonnement actuel.
Découvrez comment Configurer des notifications par e-mail pour les alertes de sécurité.
Alerte en préversion dépréciée : ARM.MCAS_ActivityFromAnonymousIPAddresses
L’alerte en préversion suivante est déconseillée :
| Nom de l’alerte | Description |
|---|---|
|
PRÉVERSION – Activité à partir d’une adresse IP à risque (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Une activité utilisateur depuis une adresse IP qui a été identifiée comme adresse IP de proxy anonyme a été détectée. Ces proxys sont utilisés par des individus souhaitant masquer l’adresse IP de leur appareil et peuvent être utilisés dans un but malveillant. Cette détection utilise un algorithme Machine Learning qui réduit les faux positifs, tels que les adresses IP mal étiquetées qui sont largement utilisées par d’autres utilisateurs de l’organisation. Requiert une licence active Microsoft Defender for Cloud Apps. |
Une nouvelle alerte a été créée pour fournir ces informations et s’y ajouter. De plus, les alertes plus récentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) ne demandent pas de licence pour Microsoft Defender pour les applications cloud (anciennement Microsoft Cloud App Security).
Consultez d’autres alertes pour Resource Manager.
Déplacement de la recommandation « Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées » de Niveau de sécurité vers Bonnes pratiques
La recommandation Vulnerabilities in container security configurations should be remediated a été déplacée de la section Niveau de sécurité vers la section Bonnes pratiques.
L’expérience utilisateur actuelle fournit uniquement le score lorsque les contrôles de conformité ont réussi. La plupart des clients ont des difficultés à satisfaire tous les contrôles requis. Nous travaillons sur l’amélioration de l’expérience pour cette recommandation et, une fois publiée, celle-ci sera redéplacée vers le niveau de sécurité.
Dépréciation de la recommandation d’utiliser des principaux de service pour protéger vos abonnements
Comme les organisations utilisent de moins en moins les certificats de gestion pour gérer leurs abonnements, et que nous avons récemment annoncé le retrait du modèle de déploiement Services cloud (Classic), nous avons déprécié la recommandation Defender pour le cloud suivante et sa stratégie associée :
| Recommendation | Description | Severity |
|---|---|---|
| Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion | Les certificats de gestion permettent à toute personne qui les utilise pour s’authentifier de gérer les abonnements auxquels ils sont associés. Pour gérer les abonnements de manière plus sécurisée, il est recommandé d’utiliser des principaux de service avec Resource Manager afin de limiter le rayon d’impact en cas de compromission de certificat. Cela automatise également la gestion des ressources. (Stratégie associée : Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion) |
Medium |
Pour en savoir plus:
- Le modèle de déploiement de Cloud Services (Classic) est mis hors service le 31 août 2024
- Présentation d’Azure Cloud Services (Classic)
- Workflow de l’architecture de machine virtuelle Microsoft Azure (Classic), y compris les concepts de base du workflow RDFE
L’implémentation héritée de la norme ISO 27001 est remplacée par le nouveau projet de norme ISO 27001:2013
L’implémentation héritée de la norme ISO 27001 sera supprimée du tableau de bord de conformité réglementaire de Defender pour le cloud. Si vous effectuez le suivi de votre conformité ISO 27001 avec Defender pour le cloud, intégrez la nouvelle norme ISO 27001:2013 pour tous les groupes d’administration ou abonnements appropriés.
Dépréciation des recommandations relatives aux appareils Microsoft Defender pour IoT
Les recommandations relatives aux appareils Microsoft Defender pour IoT ne sont plus visibles dans Microsoft Defender pour le cloud. Ces recommandations restent néanmoins disponibles dans la page Recommandations de Microsoft Defender pour IoT.
Les recommandations suivantes sont dépréciées :
| Clé d’évaluation | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b : appareils IoT | Ports ouverts sur l’appareil |
| ba975338-f956-41e7-a9f2-7614832d382d : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne d’entrée |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c : appareils IoT | Stratégie de pare-feu permissive trouvée dans l’une des chaînes |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a : appareils IoT | Règle de pare-feu permissive détectée dans la chaîne de sortie |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876 : appareils IoT | Échec de validation de la base du système d’exploitation |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879 : appareils IoT | Agent envoyant des messages sous-exploités |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5 : appareils IoT | Mise à niveau de la suite de chiffrement TLS requise |
| d74d2738-2485-4103-9919-69c7e63776ec : appareils IoT |
Auditd processus arrêté d’envoi d’événements |
Dépréciation des alertes relatives aux appareils Microsoft Defender pour IoT
Les alertes relatives aux appareils Microsoft Defender pour IoT ne sont plus visibles dans Microsoft Defender pour le cloud. Ces alertes sont néanmoins disponibles dans la page Alerte de Microsoft Defender pour IoT ainsi que dans Microsoft Sentinel.
Gestion de la posture et protection contre les menaces pour AWS et GCP mises à la disposition générale (GA)
Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS et GCP. Ce plan sans agent évalue vos ressources multi-cloud conformément aux recommandations de sécurité propres au cloud. Celles-ci sont incluses dans votre niveau de sécurité. La conformité des ressources est évaluée à l’aide de normes intégrées. La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS avec vos ressources Azure.
Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos instances de calcul dans AWS et GCP. Le plan Defender pour les serveurs comprend la licence intégrée pour Microsoft Defender pour point de terminaison, l’analyse de l’évaluation des vulnérabilités, et bien plus encore. Découvrez toutes les fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter votre environnement AWS et votre organisation GCP à Microsoft Defender pour Cloud.
Analyse du registre pour les images Windows dans ACR prend maintenant en charge les clouds nationaux
L’analyse du registre pour les images Windows est désormais prise en charge dans Azure Government et Microsoft Azure géré par 21Vianet. Cet ajout est actuellement en préversion.
En savoir plus sur la disponibilité de notre fonctionnalité.
Février 2022
Les mises à jour de février sont les suivantes :
- Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
- CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
- Microsoft Defender pour Azure Cosmos DB (préversion)
- Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Protection des charges de travail Kubernetes pour les clusters Kubernetes avec Arc
Defender pour les conteneurs ne protégeait auparavant que les charges de travail Kubernetes s’exécutant dans Azure Kubernetes Service. Nous avons maintenant étendu la couverture protectrice de façon à inclure les clusters Kubernetes avec Azure Arc.
Découvrez comment configurer la protection de vos charges de travail Kubernetes pour AKS et les clusters Kubernetes avec Azure Arc.
CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP
La nouvelle intégration automatisée des environnements GCP vous permet de protéger les charges de travail GCP avec Microsoft Defender pour le cloud. Defender pour le cloud protège vos ressources avec les plans suivants :
Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources GCP. Ce plan sans agent évalue vos ressources GCP conformément aux recommandations de sécurité propres à GCP, qui sont fournies avec Defender pour le cloud. Les recommandations GCP sont incluses dans votre degré de sécurisation, et les ressources sont évaluées pour la conformité à la norme CIS GCP intégrée. La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources dans Azure, AWS et GCP.
Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos instances de calcul GCP. Ce plan comprend la licence intégrée pour Microsoft Defender pour point de terminaison, l’analyse de l’évaluation des vulnérabilités, et bien plus encore.
Pour obtenir la liste complète des fonctionnalités disponibles, consultez Fonctionnalités prises en charge pour les machines virtuelles et les serveurs. Les fonctionnalités d’intégration automatique vous permettent de connecter facilement toutes les instances de calcul existantes et les nouvelles instances découvertes dans votre environnement.
Découvrez comment protéger et connecter vos projets GCP avec Microsoft Defender pour le cloud.
Microsoft Defender pour Azure Cosmos DB (préversion)
Nous avons étendu la couverture de la base de données de Microsoft Defender pour le cloud. Vous pouvez maintenant activer la protection de vos bases de données Azure Cosmos DB.
Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte toutes les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Microsoft Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les acteurs malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’insiders malveillants.
Il analyse en permanence le flux de données client généré par les services Azure Cosmos DB.
Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes sont affichées dans Microsoft Defender pour le cloud avec les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
L’activation du service n’a aucun impact sur les performances de la base de données, car Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB.
Pour plus d’informations, consultez Vue d’ensemble de Microsoft Defender pour Azure Cosmos DB.
Nous présentons également une nouvelle expérience d’activation pour la sécurité des bases de données. Vous pouvez maintenant activer la protection Microsoft Defender pour le cloud dans votre abonnement afin de protéger tous les types de bases de données comme Azure Cosmos DB, Azure SQL Database, les serveurs Azure SQL sur ordinateur et les bases de données relationnelles open source Microsoft Defender via un processus d’activation. Certains types de ressources peuvent être inclus ou exclus lors de la configuration de votre plan.
Découvrez comment activer la sécurité de votre base de données au niveau de l’abonnement.
Protection contre les menaces pour les clusters Google Kubernetes Engine (GKE)
Suite à notre annonce récente CSPM natif pour GCP et protection contre les menaces pour les instances de calcul GCP, Microsoft Defender pour les conteneurs a étendu sa protection contre les menaces Kubernetes, son analyse comportementale et ses stratégies de contrôle d’admission intégrées aux clusters standard Google Kubernetes Engine (GKE). Vous pouvez facilement intégrer tous les clusters standard GKE existants ou nouveaux à votre environnement via nos fonctionnalités d’intégration automatique. Pour obtenir la liste complète des fonctionnalités disponibles, consultez Sécurité des conteneurs avec Microsoft Defender pour le cloud.
Janvier 2022
Les mises à jour de janvier sont les suivantes :
- Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT&CK® Matrix
- Recommandations pour activer les plans dans Microsoft Defender sur les espaces de travail (en préversion)
- Approvisionnement automatique de l’agent Log Analytics sur des machines Azure avec Azure Arc (préversion)
- Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
- Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
- Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
- Renommage de deux recommandations
- Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
- Ajout du workbook « Alertes actives »
- Ajout de la recommandation « Mise à jour système » au cloud du secteur public
Microsoft Defender pour Resource Manager mis à jour avec de nouvelles alertes et une plus grande importance sur les opérations à haut risque mappées à MITRE ATT&CK® Matrix
La couche de gestion cloud est un service essentiel, connecté à toutes vos ressources cloud. De ce fait, il est également une cible potentielle pour les attaquants. Nous recommandons aux équipes des opérations de sécurité de surveiller attentivement la couche de gestion des ressources.
Microsoft Defender pour Resource Manager supervise automatiquement les opérations de gestion des ressources dans votre organisation, qu’elles soient effectuées via le portail Azure, les API REST Azure, Azure CLI ou d’autres clients programmatiques Azure. Defender pour le cloud exécute une analyse de sécurité avancée pour détecter les menaces et vous avertit en cas d’activité suspecte.
Les protections du plan améliorent nettement la résilience de l’organisation face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Defender pour le cloud.
En décembre 2020, nous avons introduit la préversion de Defender pour Resource Manager. En mai 2021, le plan a été mis en disponibilité générale.
Avec cette mise à jour, nous avons intégralement revu l’objectif du plan Microsoft Defender pour Resource Manager. Le plan mis à jour comprend une multitude de nouvelles alertes axées sur l’identification d’un appel suspect d’opérations à haut risque. Ces nouvelles alertes fournissent une surveillance approfondie des attaques dans la matrice MITRE ATT&CK® complète pour les techniques basées sur le cloud.
Cette matrice couvre la plage suivante d’intentions potentielles des acteurs de menace susceptibles de cibler les ressources de votre organisation : accès initial, exécution, persistance, escalade de privilèges, évasion de défense, accès aux informations d’identification, découverte, mouvement latéral, collection, exfiltration et impact.
Les nouvelles alertes de ce plan Defender couvrent ces intentions, comme l’indique le tableau suivant.
Tip
Ces alertes figurent également sur la page de référence des alertes.
| Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | Severity |
|---|---|---|---|
|
Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’accès à des ressources soumises restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès initial | Medium |
|
Appel suspect d’une opération d’exécution à haut risque détecté (préversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur une machine de votre abonnement, susceptible d’indiquer une tentative d’exécution de code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Execution | Medium |
|
Appel suspect d’une opération de persistance à haut risque détecté (préversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’établissement d’une persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Persistence | Medium |
|
Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’élévation des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Escalade de privilèges | Medium |
|
Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de contournement des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Évasion de défense | Medium |
|
Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative d’accès à des informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Accès aux informations d’identification | Medium |
|
Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre des ressources supplémentaires dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Mouvement latéral | Medium |
|
Appel suspect d’une opération de collecte de données à haut risque détecté (préversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Collection | Medium |
|
Appel suspect d’une opération d’impact à haut risque détecté (préversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, susceptible d’indiquer une tentative de modification de la configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. | Impact | Medium |
En outre, les deux alertes suivant de ce plan ont été retirées de la préversion :
| Alerte (type d’alerte) | Description | Tactiques MITRE (intentions) | Severity |
|---|---|---|---|
|
Opération Azure Resource Manager depuis une adresse IP suspecte (ARM_OperationFromSuspiciousIP) |
Microsoft Defender pour Resource Manager a détecté une opération à partir d’une adresse IP qui a été marquée comme suspecte dans les flux de renseignement sur les menaces. | Execution | Medium |
|
Opération Azure Resource Manager depuis une adresse IP proxy suspecte (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée à des services proxy comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Medium |
Recommandations pour activer les plans Microsoft Defender sur les espaces de travail (préversion)
Pour tirer parti de toutes les fonctionnalités de sécurité disponibles dans Microsoft Defender pour les serveurs et Microsoft Defender pour SQL sur les machines, les plans doivent être activés à la fois au niveau de l’abonnement et au niveau de l’espace de travail.
Lorsqu’une machine fait partie d’un abonnement dans lequel l’un de ces plans est activé, les protections complètes vous sont facturées. Toutefois, si cet ordinateur signale à un espace de travail sans le plan activé, vous ne recevrez pas réellement ces avantages.
Nous avons ajouté deux recommandations qui mettent en évidence les espaces de travail sans que ces plans soient activés, qui ont néanmoins des ordinateurs qui les signalent à partir d’abonnements dont le plan est activé.
Les recommandations, qui offrent toutes les deux une correction automatisée (l’action « Corriger »), sont les suivantes :
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender pour les serveurs doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. En savoir plus dans Vue d’ensemble de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Medium |
| Microsoft Defender pour SQL sur les ordinateurs doit être activé sur les espaces de travail | Microsoft Defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. En savoir plus dans Vue d’ensemble de Microsoft Defender pour les serveurs. (Aucune stratégie associée) |
Medium |
Approvisionnement automatique de l’agent Log Analytics sur des machines avec Azure Arc d’activés (préversion)
Defender pour le cloud utilise l’agent Log Analytics pour collecter des données relatives à la sécurité sur les machines. L’agent lit les configurations et les journaux des événements de sécurité, puis copie les données dans votre espace de travail pour analyse.
Les paramètres d’approvisionnement automatique de Defender pour le cloud comportent un bouton bascule pour chaque type d’extension pris en charge, et notamment l’agent Log Analytics.
Dans une extension supplémentaire de nos fonctionnalités de cloud hybride, nous avons ajouté une option permettant d’approvisionner automatiquement l’agent Log Analytics sur des machines connectées à Azure Arc.
Tout comme les options d’approvisionnement automatique, elle est configurée au niveau de l’abonnement.
Lorsque vous activez cette option, il vous est demandé d’indiquer l’espace de travail.
Note
Pour cette préversion, vous ne pouvez pas sélectionner l’espace de travail par défaut créé par Defender pour le cloud. Afin de recevoir l’ensemble complet des fonctionnalités de sécurité disponibles pour les serveurs avec Azure Arc, vérifiez que la solution de sécurité appropriée est installée sur l’espace de travail sélectionné.
Retrait de la recommandation de classer les données sensibles dans les bases de données SQL, maintenant déconseillée
Nous avons supprimé la recommandation Les données sensibles de vos bases de données SQL doivent être classées dans le cadre d’une révision de la façon dont Defender pour le cloud identifie et protège les données sensibles présentes dans vos ressources cloud.
Une notification préalable concernant cette modification est affichée depuis six mois sur la page Modifications importantes à venir de Microsoft Defender pour le cloud.
Extension de la communication avec une alerte de domaine suspect pour inclure les domaines liés à Log4Shell connus
L’alerte suivante n’était auparavant disponible que pour les organisations qui avaient activé le plan Microsoft Defender pour DNS.
Avec cette mise à jour, l’alerte s’affiche également dans les abonnements pour lesquels le plan Microsoft Defender pour les serveurs ou le plan Defender pour App Service est activé.
En outre, Microsoft Threat Intelligence a étendu la liste des domaines malveillants connus aux domaines associés à l’exploitation des vulnérabilités bien connues de Log4j.
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Communication avec un domaine suspect identifié par le renseignement sur les menaces (AzureDNS_ThreatIntelSuspectDomain) |
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. | Accès initial, persistance, exécution, commande et contrôle, et exploitation | Medium |
Ajout du bouton « Copier l’alerte JSON » au volet d’informations de l’alerte de sécurité
Pour aider nos utilisateurs à partager rapidement le détail d’une alerte avec d’autres personnes (par exemple les analystes SOC, les propriétaires des ressources et les développeurs), nous avons ajouté la capacité d’extraire facilement toutes les informations relatives à une alerte spécifique en cliquant sur un bouton du volet d’informations de l’alerte de sécurité.
Le nouveau bouton Copier l’alerte JSON place les détails de l’alerte, au format JSON , dans le Presse-papiers de l’utilisateur.
Renommage de deux recommandations
À des fins de cohérence avec d’autres noms de recommandations, nous avons renommé les deux recommandations suivantes :
Recommandation de résoudre les vulnérabilités découvertes dans les images conteneurs en cours d’exécution
- Ancien nom : Les vulnérabilités des images conteneurs en cours d’exécution doivent être corrigées (optimisé par Qualys)
- Nouveau nom : Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs en cours d’exécution
Recommandation d’activer les journaux de diagnostic pour Azure App Service
- Ancien nom : Les journaux de diagnostic doivent être activés dans App Service
- Nouveau nom : Les journaux de diagnostic d’App Service doivent être activés
Dépréciation de la stratégie Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés
Nous avons déprécié la recommandation Les conteneurs de clusters Kubernetes doivent uniquement écouter sur les ports autorisés.
| Nom de stratégie | Description | Effect(s) | Version |
|---|---|---|---|
| Les conteneurs de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des conteneurs aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour le moteur AKS et Kubernetes avec Azure Arc. Pour plus d’informations, consultez Comprendre Azure Policy pour les clusters Kubernetes. | audit, refus, désactivé | 6.1.2 |
La recommandation Les services doivent écouter sur les ports autorisés uniquement doit être utilisée pour limiter les ports qu’une application expose sur Internet.
Ajout du workbook « Alertes actives »
Pour aider nos utilisateurs à comprendre les menaces actives dans leurs environnements et à hiérarchiser les alertes actives pendant le processus de correction, nous avons ajouté le workbook Alertes actives.
Le classeur d’alertes actives permet aux utilisateurs d’afficher un tableau de bord unifié de leurs alertes agrégées par gravité, type, balise, tactiques MITRE ATT&CK et emplacement. Pour plus d’informations, consultez Utiliser le workbook « Alertes actives ».
Ajout de la recommandation « Mise à jour système » au cloud du secteur public
La recommandation « Les mises à jour système doivent être installées sur vos machines » est maintenant disponible sur tous les clouds du secteur public.
Il est probable que cette modification aura un impact sur le score de sécurité de votre abonnement au cloud du secteur public. Nous pensons que la modification entraîne un score inférieur, mais il est possible que l’inclusion de la recommandation entraîne une augmentation du score dans certains cas.
Décembre 2021
Les mises à jour en décembre sont les suivantes :
- Disponibilité générale du plan Microsoft Defender pour les conteneurs
- Disponibilité générale des nouvelles alertes pour Microsoft Defender pour le stockage
- Améliorations apportées aux alertes pour Microsoft Defender pour le stockage
- Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
Disponibilité générale du plan Microsoft Defender pour les conteneurs
Il y a plus de deux ans, nous avons introduit Defender pour Kubernetes et Defender pour les registres de conteneur dans le cadre de l’offre Azure Defender incluse dans Microsoft Defender pour le cloud.
Avec la publication de Microsoft Defender pour les conteneurs, nous avons fusionné ces deux plans Defender existants.
Le nouveau plan :
- combine les fonctionnalités des deux plans existants, notamment la détection des menaces pour les clusters Kubernetes et l’évaluation des vulnérabilités pour les images stockées dans des registres de conteneurs
- offre de nouvelles fonctionnalités et des améliorations, notamment la prise en charge du multicloud, la détection des menaces au niveau de l’hôte avec plus de 60 nouvelles analyses prenant en charge Kubernetes et l’évaluation des vulnérabilités pour les images exécutées
- présente l’intégration native Kubernetes à grande échelle. Par défaut, lorsque vous activez le plan, tous les composants pertinents sont configurés pour être déployés automatiquement
Avec cette version, la disponibilité et la présentation de Defender pour Kubernetes et Defender pour les registres de conteneurs ont changé comme suit :
- Nouveaux abonnements. Les deux plans de conteneurs précédents ne sont plus disponibles
- Abonnements existants : où qu’ils apparaissent dans le portail Azure, les plans sont indiqués comme déconseillés avec des instructions pour la mise à niveau vers le plan plus récent
Le nouveau plan est gratuit pour le mois de décembre 2021. Pour plus d’informations sur les modifications potentielles relatives à la facturation apportées à Defender pour les conteneurs par rapport aux anciens plans, ainsi que sur les avantages introduits dans ce plan, consultez Présentation de Microsoft Defender pour les conteneurs.
Pour plus d'informations, consultez les pages suivantes :
- Vue d’ensemble de Microsoft Defender pour les conteneurs
- Activer Microsoft Defender pour les conteneurs
- Présentation de Microsoft Defender pour les conteneurs - Microsoft Tech Community
- Microsoft Defender pour les conteneurs | Defender pour le cloud sur le terrain 3 - YouTube
Disponibilité générale des nouvelles alertes pour Microsoft Defender pour le stockage
Les acteurs de menaces utilisent des outils et des scripts pour analyser les conteneurs ouverts publiquement dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés incluant des données sensibles.
Microsoft Defender pour le stockage détecte ces scanneurs pour vous permettre de les bloquer et de corriger votre posture.
L’alerte d’aperçu détectée a été appelée « Analyse anonyme des conteneurs de stockage public ». Pour fournir une plus grande clarté sur les événements suspects découverts, nous avons divisé cela en deux nouvelles alertes. Ces alertes ne concernent que le Stockage Blob Azure.
Nous avons amélioré la logique de détection, mis à jour les métadonnées d’alerte et modifié le nom et le type des alertes.
Les nouvelles alertes sont les suivantes :
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
Des conteneurs de stockage accessibles publiquement ont été découverts (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Une découverte de conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Échec de l’analyse des conteneurs de stockage accessibles publiquement (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Une série de tentatives d’analyse des conteneurs de stockage ouverts publiquement ayant échoué ont été effectuées au cours de la dernière heure. Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles. L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement. ✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Vue d’ensemble de Microsoft Defender pour le stockage
- Liste des alertes fournies par Microsoft Defender pour le stockage
Améliorations apportées aux alertes pour Microsoft Defender pour le stockage
Les alertes d’accès initiales sont désormais plus précises et comportent davantage de données pour soutenir les enquêtes.
Les acteurs de menaces utilisent diverses techniques dans l’accès initial pour s’introduire dans un réseau. Deux des alertes Microsoft Defender pour le stockage qui détectent des anomalies comportementales à ce stade disposent désormais d’une logique de détection améliorée et de données supplémentaires pour soutenir les enquêtes.
Si vous avez configuré des automatisations ou défini des règles de suppression d’alerte pour ces alertes par le passé, mettez-les à jour conformément à ces modifications.
Détection de l’accès à partir d’un nœud de sortie Tor
L’accès à partir d’un nœud de sortie Tor peut indiquer qu’un acteur de menace tente de masquer son identité.
L’alerte est désormais configurée pour être générée uniquement pour l’accès authentifié, afin d’accroitre la précision et renforcer la confiance quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Un modèle périphérique aura un niveau de gravité élevé, tandis que les modèles moins inhabituels présenteront une gravité moyenne.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès à un compte de stockage à partir d’un nœud de sortie Tor
- Nom de l’alerte (nouveau) : Accès authentifié à partir d’un nœud de sortie Tor
- Types d’alerte : Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Description : un ou plusieurs conteneurs de stockage/partages de fichiers dans votre compte de stockage ont été sollicités avec succès à partir d’une adresse IP connue en tant que nœud de sortie actif de Tor (un proxy d’anonymisation). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
- Tactique MITRE : accès initial
- Gravité : haut/moyen
Accès non authentifié inhabituel
Une modification des modèles d’accès peut indiquer qu’un acteur de menace a pu exploiter l’accès en lecture public aux conteneurs de stockage, soit en exploitant une erreur dans les configurations d’accès, soit en modifiant les autorisations d’accès.
Cette alerte de gravité moyenne est désormais ajustée avec une logique comportementale améliorée, une plus grande précision et une confiance renforcée quant à la nature malveillante de l’activité. Cette amélioration réduit le taux de positifs bénins.
Le nom et la description de l’alerte ont été mis à jour. Le type d’alerte reste inchangé.
- Nom de l’alerte (ancien) : Accès anonyme à un compte de stockage
- Nom de l’alerte (nouveau) : Accès non authentifié inhabituel à un conteneur de stockage
- Types d’alerte : Storage.Blob_AnonymousAccessAnomaly
- Description : ce compte de stockage a fait l’objet d’un accès sans authentification, ce qui constitue un changement par rapport au modèle d’accès courant. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure
- Tactique MITRE : collection
- Gravité : moyen
Pour plus d'informations, consultez les pages suivantes :
- Matrice de menaces pour les services de stockage
- Présentation de Microsoft Defender pour le stockage
- Liste des alertes fournies par Microsoft Defender pour le stockage
Suppression de l’alerte « PortSweeping » des alertes de la couche réseau
L’alerte suivante a été supprimée de nos alertes de la couche réseau en raison d’un manque d’efficacité :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Détection possible d’une activité analyse des ports sortants (PortSweeping) |
L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis}. Ce trafic peut être le résultat d’une activité d’analyse de port. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Si ce comportement est intentionnel, veuillez noter que l’analyse des ports est contraire aux conditions d’utilisation du service Azure. Si ce comportement est involontaire, cela peut signifier que votre ressource a été compromise. | Discovery | Medium |
Novembre 2021
Notre version d’Ignite comprend les éléments suivants :
- Azure Security Center et Azure Defender deviennent Microsoft Defender pour le cloud
- Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
- Classer par ordre de priorité les actions de sécurité en fonction du niveau de sensibilité des données (avec la technologie Microsoft Purview) (en préversion)
- Évaluations étendues des contrôles de sécurité avec le benchmark de sécurité Azure v3
- Synchronisation bidirectionnelle (facultative) des alertes du connecteur Microsoft Sentinel en disponibilité générale (GA)
- Nouvelle recommandation pour envoyer (push) les journaux Azure Kubernetes Service (AKS) à Microsoft Sentinel
- Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Autres changements apportés en novembre :
- Ajout de la solution Gestion des menaces et des vulnérabilités Microsoft en tant que solution d’évaluation des vulnérabilités - En disponibilité générale (GA)
- Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Microsoft Defender pour les serveurs - En disponibilité générale (GA)
- Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
- Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
- Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
- Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut – préversion
- L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Azure Security Center et Azure Defender deviennent Microsoft Defender pour le cloud
D’après le rapport sur l’état du cloud en 2021, 92 % des organisations ont désormais une stratégie multicloud. Chez Microsoft, notre objectif est de centraliser la sécurité des environnements et d’aider les équipes de sécurité à travailler plus efficacement.
Microsoft Defender pour Cloud est une solution CSPM (Cloud Security Posture Management) et CWPP (Cloud Workload Protection Platform) qui détecte les faiblesses de votre configuration cloud, contribue à renforcer la posture de sécurité globale de votre environnement et protège les charges de travail dans les environnements multiclouds et hybrides.
Dans Ignite 2019, nous avons partagé notre vision consistant à créer l’approche la plus complète possible pour la sécurisation de votre patrimoine numérique et l’intégration des technologies XDR sous la marque Microsoft Defender. L’unification d’Azure Security Center et d’Azure Defender sous le nouveau nom Microsoft Defender pour le cloud reflète les fonctionnalités intégrées de notre offre de sécurité ainsi que notre capacité à prendre en charge n’importe quelle plateforme cloud.
Outils CSPM natifs pour AWS et protection contre les menaces pour Amazon EKS et AWS EC2
Une nouvelle page des paramètres d’environnement offre une meilleure visibilité et un meilleur contrôle sur vos groupes d’administration, abonnements et comptes AWS. La page est conçue pour intégrer des comptes AWS à grande échelle : connectez votre compte de gestion AWS et vous intégrerez automatiquement des comptes existants et futurs.
Une fois que vous avez ajouté vos comptes AWS, Defender pour le cloud protège vos ressources AWS avec tout ou partie des plans suivants :
- Les fonctionnalités CSPM de Defender pour le cloud s’étendent à vos ressources AWS. Ce plan sans agent évalue vos ressources AWS conformément aux recommandations de sécurité spécifiques à AWS. Celles-ci sont incluses dans votre niveau de sécurité. Les ressources sont également évaluées par rapport à leur conformité aux standards intégrés spécifiques à AWS (AWS CIS, AWS PCI DSS et AWS Foundational Security Best Practices). La page d’inventaire des ressources de Defender pour le cloud est une fonctionnalité multicloud qui vous permet de gérer vos ressources AWS avec vos ressources Azure.
- Microsoft Defender pour Kubernetes étend sa détection des menaces contre les conteneurs et ses défenses avancées à vos clusters Amazon EKS Linux.
- Microsoft Defender pour les serveurs ajoute la détection des menaces et les défenses avancées à vos instances EC2 Linux et Windows. Ce plan comprend la licence intégrée de Microsoft Defender pour point de terminaison, des bases de référence de sécurité et des évaluations au niveau de l’OS, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), le monitoring de l’intégrité des fichiers (FIM), etc.
Découvrez plus en détail la connexion de vos comptes AWS à Microsoft Defender pour le cloud.
Classer par ordre de priorité les actions de sécurité en fonction du niveau de sensibilité des données (avec la technologie Microsoft Purview) (en préversion)
Les ressources de données restent une cible populaire pour les auteurs de menaces. Il est donc crucial pour les équipes de sécurité d’identifier, de classer par ordre de priorité et de sécuriser les ressources de données sensibles dans leurs environnements cloud.
Pour relever ce défi, Microsoft Defender pour Cloud intègre désormais les informations de confidentialité de Microsoft Purview. Microsoft Purview est un service de gouvernance unifiée des données qui fournit des insights riches sur la sensibilité de vos données dans les charges de travail multiclouds et locales.
L’intégration à Microsoft Purview étend votre visibilité de la sécurité dans Defender pour le cloud, du niveau de l’infrastructure aux données, offrant ainsi une toute nouvelle façon de classer par ordre de priorité les ressources et les activités de sécurité pour vos équipes de sécurité.
Découvrez davantage d’informations dans Classer par ordre de priorité les actions de sécurité en fonction du degré de sensibilité des données.
Évaluations étendues des contrôles de sécurité avec le benchmark de sécurité Azure v3
Les recommandations de sécurité dans Defender pour le cloud sont prises en charge par Azure Security Benchmark.
Le benchmark de sécurité Azure constitue l’ensemble des recommandations spécifiques à Azure et créées par Microsoft concernant les bonnes pratiques de sécurité et de conformité basées sur les frameworks de conformité courants. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
À partir d’Ignite 2021, Azure Security Benchmark v3 est disponible dans le tableau de bord de conformité réglementaire de Defender pour cloud et activé comme nouvelle initiative par défaut pour tous les abonnements Azure protégés par Microsoft Defender pour cloud.
Les améliorations de la version v3 incluent les éléments suivants :
Mappages supplémentaires aux frameworks du secteur PCI-DSS v3.2.1 et ciS Controls v8.
Conseils plus précis et actionnables pour les contrôles grâce à l’introduction des éléments suivants :
- Principes de sécurité : fournir un aperçu des objectifs de sécurité globaux qui constituent la base de nos recommandations.
- Aide Azure - Guide technique pour répondre à ces objectifs.
Les nouveaux contrôles incluent la sécurité DevOps pour les problèmes tels que la modélisation des menaces et la sécurité de la chaîne d’approvisionnement des logiciels ainsi que la gestion des clés et des certificats pour les bonnes pratiques dans Azure.
Apprenez-en davantage dans Présentation du Benchmark de sécurité Azure.
Synchronisation bidirectionnelle (facultative) des alertes du connecteur Microsoft Sentinel en disponibilité générale (GA)
En juillet, nous avons annoncé une fonctionnalité en préversion, une synchronisation d’alertes bidirectionnelles, pour le connecteur intégré dans Microsoft Sentinel (solution SIEM native cloud et SOAR de Microsoft). Cette fonctionnalité est désormais en disponibilité générale (GA).
Quand vous connectez Microsoft Defender pour le cloud à Microsoft Sentinel, l’état des alertes de sécurité est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Defender pour le cloud, cette alerte s’affiche également comme étant fermée dans Microsoft Sentinel. La modification de l’état d’une alerte dans Defender pour Cloud n’affecte pas l’état des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel synchronisée, uniquement celle de l’alerte synchronisée elle-même.
Quand vous activez la synchronisation bidirectionnelle des alertes, vous synchronisez automatiquement l’état des alertes Defender pour le cloud d’origine avec les incidents Microsoft Sentinel qui contiennent les copies de toutes ces alertes. Ainsi, par exemple, quand un incident Microsoft Sentinel contenant une alerte Defender pour le cloud est fermé, Defender pour le cloud ferme automatiquement l’alerte d’origine correspondante.
Pour en savoir plus, connectez des alertes Azure Defender à partir d’Azure Security Center et stream à Microsoft Sentinel.
Nouvelle recommandation pour envoyer (push) les journaux Azure Kubernetes Service (AKS) à Microsoft Sentinel
Afin d’améliorer davantage la valeur combinée de Defender pour le cloud et de Microsoft Sentinel, nous allons désormais mettre en évidence les instances d’Azure Kubernetes Service qui n’envoient pas de données de journal à Microsoft Sentinel.
Les équipes SecOps peuvent choisir l’espace de travail Microsoft Sentinel approprié directement à partir de la page des détails des recommandations et activer immédiatement le streaming des journaux bruts. Cette connexion transparente entre les deux produits permet aux équipes de sécurité de garantir une couverture complète de la journalisation des charges de travail pour rester maîtres de l’ensemble de leur environnement.
La nouvelle recommandation « Les journaux de diagnostic du service Kubernetes doivent être activés » comprend l’option « Corriger » pour une correction plus rapide.
Nous avons également amélioré la recommandation « L’audit sur SQL Server doit être activé » avec les mêmes fonctionnalités de streaming Microsoft Sentinel.
Recommandations mappées au framework MITRE ATT&CK® - publiées en disponibilité générale
Nous avons amélioré les recommandations de sécurité de Defender pour le cloud afin d’illustrer leur position sur le framework MITRE ATT&CK®. Cette base de connaissances mondialement accessible recense les tactiques et techniques des acteurs de menaces basées sur des observations réelles. Elle fournit davantage de contexte pour vous aider à comprendre les risques associés aux recommandations pour votre environnement.
Vous trouverez ces tactiques là où vous accédez aux informations de recommandation :
Les résultats de requête Azure Resource Graph pour les recommandations pertinentes incluent les tactiques et techniques MITRE ATT&CK®.
Les pages de détails des recommandations affichent le mappage de toutes les recommandations pertinentes :
La page de recommandations dans Defender pour le cloud dispose d’un nouveau filtre
pour sélectionner des recommandations en fonction de leur tactique associée :
Apprenez-en davantage dans Consulter vos recommandations de sécurité.
Ajout de la solution Gestion des menaces et des vulnérabilités Microsoft en tant que solution d’évaluation des vulnérabilités - En disponibilité générale (GA)
En octobre, nous avons annoncé une extension à l’intégration entre Microsoft Defender pour serveurs et Microsoft Defender pour point de terminaison, afin de prendre en charge un nouveau fournisseur d’évaluation des vulnérabilités pour vos machines : Gestion des menaces et des vulnérabilités Microsoft. Cette fonctionnalité est désormais en disponibilité générale (GA).
Utilisez la gestion des menaces et des vulnérabilités pour découvrir les vulnérabilités et les erreurs de configuration en quasi-temps réel grâce à l’intégration à Microsoft Defender pour point de terminaison, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus dans Investiguer les faiblesses avec la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.
Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Microsoft Defender pour les serveurs - En disponibilité générale (GA)
En août, nous avons annoncé la prise en charge de la préversion pour le déploiement du capteur Defender pour point de terminaison pour Linux sur des machines Linux prises en charge. Cette fonctionnalité est désormais en disponibilité générale (GA).
Microsoft Defender pour les serveurs comprend une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Exportation de captures instantanées pour les recommandations et les résultats de sécurité (en préversion)
Defender pour le cloud génère des alertes et des recommandations de sécurité détaillées. Vous pouvez les afficher dans le portail ou au moyen d’outils de programmation. Si nécessaire, vous pouvez également exporter en partie ou en totalité ces informations à des fins de suivi avec d’autres outils de supervision dans votre environnement.
La fonctionnalité d’exportation continue de Defender pour cloud vous permet de personnaliser entièrement ce qui sera exporté et d’où il sera activé. Découvrez davantage d’informations dans Exporter en continu les données Microsoft Defender pour le cloud.
Même si la fonctionnalité est appelée continue, il existe également une option pour exporter des instantanés hebdomadaires. Jusqu’à présent, ces captures instantanées hebdomadaires se limitaient aux données liées au niveau de sécurité et à la conformité réglementaire. Nous avons ajouté la possibilité d’exporter les recommandations et résultats de sécurité.
Provisionnement automatique des solutions d’évaluation des vulnérabilités : En disponibilité générale (GA)
En octobre, nous avons annoncé l’ajout de solutions d’évaluation des vulnérabilités à la page de provisionnement automatique de Defender pour cloud. Cela concerne les machines virtuelles Azure et les machines Azure Arc des abonnements protégés par Azure Defender pour les serveurs. Cette fonctionnalité est désormais en disponibilité générale (GA).
Si l’intégration à Microsoft Defender pour point de terminaison est activée, Defender pour le cloud offre un choix de solutions d’évaluation des vulnérabilités :
- (NOUVEAU) Module de gestion des menaces et des vulnérabilités Microsoft Defender pour point de terminaison (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Filtres d’inventaire logiciel dans l’inventaire des ressources - En disponibilité générale (GA)
En octobre, nous avons annoncé de nouveaux filtres pour la page d’inventaire des ressources pour sélectionner les machines exécutant des logiciels spécifiques, et même spécifier les versions d’intérêt. Cette fonctionnalité est désormais en disponibilité générale (GA).
Vous pouvez interroger les données d’inventaire logiciel dans l’Afficheur Azure Resource Graph.
Pour utiliser ces fonctionnalités, vous devez activer l’intégration à Microsoft Defender pour point de terminaison.
Pour plus de détails, y compris des exemples de requêtes Kusto pour Azure Resource Graph, consultez Accéder à un inventaire logiciel.
Nouvelle stratégie de sécurité AKS ajoutée à l’initiative par défaut
Afin de garantir la sécurité par défaut des charges de travail Kubernetes, Defender pour le cloud inclut des stratégies et des recommandations de durcissement au niveau de Kubernetes, notamment des options de mise en œuvre avec contrôle d’admission Kubernetes.
Dans le cadre de ce projet, nous avons ajouté une stratégie et une recommandation (désactivées par défaut) pour limiter le déploiement sur les clusters Kubernetes. La stratégie se trouve dans l’initiative par défaut, mais elle s’applique uniquement aux organisations qui s’inscrivent à la préversion associée.
Vous pouvez ignorer sans problème les stratégies ainsi que la recommandation (« Les clusters Kubernetes doivent limiter le déploiement d’images vulnérables »). Cela n’a aucun impact sur votre environnement.
Si vous souhaitez participer à la préversion, vous devez être membre de l’anneau d’aperçu. Si vous n’êtes pas déjà membre, envoyez une demande ici. Les membres sont notifiés au lancement de la préversion.
L’affichage de l’inventaire des machines locales applique un autre modèle pour le nom de ressource
Pour améliorer la présentation des ressources dans l’inventaire des ressources, nous avons supprimé l’élément « source-computer-IP » du modèle pour nommer des machines locales.
-
Format précédent :
machine-name_source-computer-id_VMUUID -
À partir de cette mise à jour :
machine-name_VMUUID
Octobre 2021
Les mises à jour d’octobre sont les suivantes :
- Ajout de Gestion des menaces et des vulnérabilités de Microsoft comme solution d’évaluation des vulnérabilités (en préversion)
- Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
- Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
- Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
- Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
- Les pages de détails sur les recommandations affichent maintenant les recommandations associées
- Nouvelles alertes relatives à Azure Defender pour Kubernetes (préversion)
Ajout de Gestion des menaces et des vulnérabilités de Microsoft comme solution d’évaluation des vulnérabilités (en préversion)
Nous avons étendu l’intégration entre Azure Defender pour les serveurs et Microsoft Defender pour point de terminaison afin de permettre la prise en charge d’un nouveau fournisseur d’évaluation des vulnérabilités pour vos machines : Gestion des menaces et des vulnérabilités Microsoft.
Utilisez la gestion des menaces et des vulnérabilités pour découvrir les vulnérabilités et les erreurs de configuration en quasi-temps réel grâce à l’intégration à Microsoft Defender pour point de terminaison, et sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces et des détections dans votre organisation.
Utilisez la recommandation de sécurité « Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles » pour faire apparaître les vulnérabilités détectées par Gestion des menaces et des vulnérabilités pour vos machines prises en charge.
Pour faire apparaître automatiquement les vulnérabilités sur les machines existantes et nouvelles sans avoir besoin de corriger manuellement la recommandation, consultez Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion).
En savoir plus dans Investiguer les faiblesses avec la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.
Les solutions d’évaluation des vulnérabilités peuvent désormais être activées automatiquement (en préversion)
La page d’approvisionnement automatique de Security Center comprend désormais l’option permettant d’activer automatiquement une solution d’évaluation des vulnérabilités sur les machines virtuelles Azure et les machines Azure Arc sur des abonnements protégés par Azure Defender pour les serveurs.
Si l’intégration à Microsoft Defender pour point de terminaison est activée, Defender pour le cloud offre un choix de solutions d’évaluation des vulnérabilités :
- (NOUVEAU) Module de gestion des menaces et des vulnérabilités Microsoft Defender pour point de terminaison (voir la note de publication)
- L’agent Qualys intégré
La solution que vous avez choisie sera automatiquement activée sur les machines prises en charge.
En savoir plus dans Configurer automatiquement l’évaluation des vulnérabilités pour vos machines.
Ajout de filtres d’inventaire logiciel à l’inventaire des ressources (en préversion)
La page inventaire des ressources inclut désormais un filtre pour sélectionner des machines exécutant des logiciels spécifiques, et même spécifier les versions d’intérêt.
En outre, vous pouvez interroger les données d’inventaire logiciel dans Azure Resource Graph Explorer.
Pour utiliser ces nouvelles fonctionnalités, vous devez activer l’intégration à Microsoft Defender pour point de terminaison.
Pour plus de détails, y compris des exemples de requêtes Kusto pour Azure Resource Graph, consultez Accéder à un inventaire logiciel.
Modification du préfixe de certains types d’alerte de « ARM_ » à « VM_ »
En juillet 2021, nous avons annoncé une réorganisation logique d’Azure Defender pour les alertes Resource Manager
Pendant la réorganisation des plans Defender, nous avons déplacé les alertes d’Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Avec cette mise à jour, nous avons modifié les préfixes de ces alertes pour qu’elles correspondent à cette réaffectation et remplacé « ARM_ » par « VM_ », comme indiqué dans le tableau suivant :
| Nom d’origine | À partir de cette modification |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
En savoir plus sur les plans Azure Defender pour Resource Manager et Azure Defender pour les serveurs.
Modifications apportées à la logique d’une recommandation de sécurité pour les clusters Kubernetes
La recommandation « Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut » empêche l’utilisation de l’espace de noms par défaut pour une plage de types de ressource. Deux des types de ressource inclus dans cette recommandation ont été supprimés : ConfigMap et Secret.
Pour en savoir plus sur cette recommandation et sur le renforcement de vos clusters Kubernetes, consultez Comprendre Azure Policy pour les clusters Kubernetes.
Les pages de détails sur les recommandations affichent maintenant les recommandations associées
Pour clarifier les relations entre différentes recommandations, nous avons ajouté une zone de recommandations connexes aux pages de détails de nombreuses recommandations.
Les trois types de relations qui sont affichés sur ces pages sont les suivants :
- Prérequis : recommandation qui doit être effectuée avant la recommandation sélectionnée
- Alternative - Une autre recommandation qui offre une autre façon d’atteindre les objectifs de la recommandation sélectionnée
- Dépendant : recommandation pour laquelle la recommandation sélectionnée est une condition préalable
Pour chaque recommandation associée, le nombre de ressources non saines est indiqué dans la colonne « Ressources affectées ».
Tip
Si une recommandation associée est grisée, sa dépendance n’est pas encore terminée et n’est donc pas disponible.
Voici un exemple de recommandations associées :
Security Center vérifie la présence de solutions d’évaluation des vulnérabilités prises en charge sur vos ordinateurs :
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuellesSi une vulnérabilité est détectée, vous serez informé des vulnérabilités découvertes :
Les vulnérabilités de vos machines virtuelles doivent être corrigées
Bien entendu, Security Center ne peut pas vous notifier les vulnérabilités découvertes, sauf s’il trouve une solution d’évaluation des vulnérabilités prise en charge.
Therefore:
- Recommandation #1 est une condition préalable à la recommandation #2
- La recommandation #2 dépend de la recommandation #1
Nouvelles alertes relatives à Azure Defender pour Kubernetes (préversion)
Pour étendre les protections contre les menaces fournies par Azure Defender pour Kubernetes, nous avons ajouté deux alertes en préversion.
Ces alertes sont générées à partir d’un nouveau modèle Machine Learning et des fonctionnalités analytiques avancées de Kubernetes, qui mesurent plusieurs attributs de déploiement et d’attribution de rôles par rapport aux activités antérieures dans le cluster ainsi que dans tous les clusters faisant l’objet d’un monitoring par Azure Defender.
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
|
Déploiement anormal d’un pod (préversion) (K8S_AnomalousPodDeployment) |
L’analyse des journaux d’audit Kubernetes a détecté un déploiement anormal de pods en fonction de l’activité de déploiement précédente. Cette activité est considérée comme anormale lors de l’examen de la façon dont les différentes fonctionnalités de l’opération de déploiement se rapportent les unes aux autres. Les fonctionnalités surveillées incluent le registre d’images conteneur utilisé, le compte de déploiement, le jour de la semaine, la fréquence de déploiement de ce compte, l’agent utilisateur utilisé, les modèles de déploiement d’espace de noms et d’autres caractéristiques. Les propriétés étendues de l’alerte détaillent les principales raisons de l’identification de cette activité anormale. | Execution | Medium |
|
Autorisations de rôle excessives affectées dans le cluster Kubernetes (préversion) (K8S_ServiceAcountPermissionAnomaly) |
L’analyse des journaux d’audit Kubernetes a détecté une attribution de rôle d’autorisations excessive à votre cluster. D’après l’examen des attributions de rôles, les autorisations répertoriées sont rares pour le compte de service spécifique. Cette détection prend en compte les attributions de rôles antérieures au même compte de service sur les clusters contrôlés par Azure, le volume par autorisation et l’impact de l’autorisation spécifique. Le modèle de détection d’anomalies utilisé pour cette alerte prend en compte la façon dont cette autorisation est utilisée sur tous les clusters analysés par Azure Defender. | Escalade de privilèges | Low |
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Septembre 2021
En septembre, la mise à jour suivante a été publiée :
Deux nouvelles recommandations pour auditer les configurations de système d’exploitation pour la conformité de la ligne de base de sécurité Azure (en préversion)
Les deux recommandations suivantes ont été publiées pour évaluer la conformité de vos machines à la Base de référence de sécurité Windows et à la Base de référence de sécurité Linux :
- Pour les machines Windows, les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)
- Pour les machines Linux, les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)
Ces recommandations utilisent la fonctionnalité de configuration d’invité d’Azure Policy pour comparer la configuration du système d’exploitation d’une machine à la ligne de base définie dans le Benchmark de sécurité Azure.
Pour en savoir plus sur l’utilisation de ces recommandations, consultez Renforcer la configuration du système d’exploitation d’une machine à l’aide de la configuration d’invité.
Août 2021
Les mises à jour en août sont les suivantes :
- Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Azure Defender pour les serveurs (en préversion)
- Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
- Dépannage et conseils intégrés pour la résolution des problèmes courants
- Rapports d’audit Azure du tableau de bord de conformité réglementaire publiés pour la mise à la disposition générale
- Dépréciation de la recommandation « Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines »
- Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés avec Azure Private Link
- Security Center peut désormais approvisionner automatiquement l’extension de configuration d’invité d’Azure Policy (en préversion)
- Les recommandations prennent désormais en charge « Appliquer ».
- Exportations CSV de données de recommandation désormais limitées à 20 Mo
- La page des recommandations compte désormais plusieurs vues
Microsoft Defender pour point de terminaison pour Linux est désormais pris en charge par Azure Defender pour les serveurs (en préversion)
Azure Defender pour les serveurs comprend une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Security Center. À partir de Security Center, vous pouvez également accéder à la console Microsoft Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
Pendant la période de préversion, vous allez déployer le capteur Defender pour point de terminaison pour Linux sur vos machines Linux de deux manières, selon que vous les avez déjà déployées sur vos machines Windows :
- Utilisateurs existants pour lesquels les fonctionnalités de sécurité renforcée de Defender pour le cloud sont activées et disposant de Microsoft Defender pour point de terminaison pour Windows
- Nouveaux utilisateurs qui n’ont jamais activé l’intégration avec Microsoft Defender pour point de terminaison pour Windows
En savoir plus dans Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender for Endpoint.
Deux nouvelles recommandations pour la gestion des solutions de protection de point de terminaison (en préversion)
Nous avons ajouté deux recommandations en préversion pour déployer et gérer les solutions de protection des points de terminaison sur vos machines. Ces deux recommandations incluent la prise en charge des machines virtuelles Azure et des machines connectées aux serveurs Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge.
En savoir plus sur la façon dont est évalué Endpoint Protection pour les machines (Stratégie associée : Superviser la solution Endpoint Protection manquante dans Azure Security Center) |
High |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison prises en charge par Azure Security Center sont documentées ici. L’évaluation endpoint protection est documentée ici. (Stratégie associée : Superviser la solution Endpoint Protection manquante dans Azure Security Center) |
Medium |
Note
Les recommandations indiquent un intervalle d’actualisation de 8 heures, mais dans certains scénarios, cela peut prendre beaucoup plus de temps. Par exemple, lorsqu’une machine locale est supprimée, Security Center met 24 heures à identifier la suppression. Ensuite, l’évaluation prend jusqu’à 8 heures pour renvoyer les informations. Dans cette situation spécifique, la suppression de l’ordinateur peut prendre 32 heures dans la liste des ressources affectées.
Dépannage et conseils intégrés pour la résolution des problèmes courants
Une nouvelle zone dédiée des pages Security Center dans le portail Azure fournit un ensemble classé et qui ne cesse de s’allonger de documents d’aide autonome pour relever les défis courants liés à Security Center et Azure Defender.
Lorsque vous êtes confronté à un problème ou que vous recherchez des conseils auprès de notre équipe de support technique, la page Diagnostiquer et résoudre les problèmes peut vous aider à trouver la solution :
Rapports d’audit Azure du tableau de bord de conformité réglementaire publiés pour la mise à la disposition générale
La barre d’outils du tableau de bord de conformité réglementaire offre des rapports de certification Azure et Dynamics pour les normes appliquées à vos abonnements.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
Pour plus d’informations, consultez Générer des rapports d’état de conformité et des certificats.
Dépréciation de la recommandation « Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines »
Nous avons constaté que la recommandation Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines influe sur les scores de sécurité de manière incohérente avec le focus CSPM (Cloud Security Posture Management) de Security Center. En règle générale, CSPM est associé à l’identification des erreurs de configuration de sécurité. Les problèmes d’intégrité de l’agent n’entrent pas dans cette catégorie de problèmes.
En outre, la recommandation est une anomalie par rapport aux autres agents liés à Security Center : il s’agit du seul agent présentant une recommandation relative aux problèmes d’intégrité.
La recommandation a été déconseillée.
Suite à cette dépréciation, nous avons apporté des modifications mineures aux recommandations relatives à l’installation de l’agent de Log Analytics (L’agent Log Analytics doit être installé sur... ).
Il est probable que cette modification influe sur vos scores de sécurité. Pour la plupart des abonnements, nous pensons que cette modification se traduira par un score plus élevé, mais il est possible que les mises à jour apportées à la recommandation d’installation se traduisent par un score moins élevé dans certains cas.
Tip
La page d’inventaire des ressources a également été affectée par cette modification, car elle affiche l’état surveillé pour les machines (surveillé, non surveillé ou partiellement surveillé , état qui fait référence à un agent présentant des problèmes d’intégrité).
Azure Defender pour les registres de conteneurs analyse désormais les vulnérabilités dans les registres protégés avec Azure Private Link
Azure Defender pour les registres de conteneurs comprend un analyseur de vulnérabilités pour examiner les images de vos registres Azure Container Registry. Découvrez comment analyser vos registres et corriger les résultats dans Analyse des vulnérabilités dans les images avec Azure Defender pour les registres de conteneurs.
Pour limiter l’accès à un registre hébergé dans Azure Container Registry, attribuez des adresses IP privées de réseau virtuel aux points de terminaison du registre et utilisez Azure Private Link, comme expliqué dans Établir une connexion privée à un registre de conteneurs Azure à l’aide d’Azure Private Link.
Dans le cadre de nos efforts continus visant à prendre en charge des environnements et des cas d’utilisation supplémentaires, Azure Defender analyse également les registres de conteneur protégés avec Azure Private Link.
Security Center peut désormais approvisionner automatiquement l’extension de configuration d’invité d’Azure Policy (en préversion)
Azure Policy peut vérifier les paramètres à l’intérieur d’une machine, tant pour les machines s’exécutant dans Azure que pour les machines connectées à Arc. La validation est effectuée par le client et l’extension de configuration d’invité. Pour en savoir plus, consultez Présentation de la fonctionnalité de configuration des invités d'Azure Policy.
Avec cette mise à jour, vous pouvez désormais configurer Security Center pour provisionner automatiquement l’extension sur toutes les machines prises en charge.
Apprenez-en davantage sur le fonctionnement de l’approvisionnement automatique dans Configurer l’approvisionnement automatique d’agents et d’extensions.
Les recommandations prennent désormais en charge « Appliquer »
Security Center inclut deux fonctionnalités qui permettent de s’assurer que les ressources nouvellement créées sont approvisionnées de manière sécurisée : appliquer et refuser. Lorsqu’une recommandation offre ces options, vous pouvez vous assurer que vos exigences en matière de sécurité sont satisfaites chaque fois qu’un utilisateur tente de créer une ressource :
- Refuser empêche la création de ressources non saines
- Appliquer automatiquement la correction des ressources non conformes lorsqu’elles sont créées
Avec cette mise à jour, l’option Appliquer est désormais disponible dans les recommandations pour activer les plans Azure Defender (comme Azure Defender pour App Service doit être activé, Azure Defender pour Key Vault doit être activé, Azure Defender pour Stockage doit être activé).
Pour plus d’informations sur ces options, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Exportations CSV de données de recommandation désormais limitées à 20 Mo
Nous créons une limite de 20 Mo lors de l’exportation des données de recommandations Security Center .
S’il vous faut exporter de plus grands volumes de données, utilisez les filtres disponibles avant sélection ou sélectionnez des sous-ensembles de vos abonnements et téléchargez les données par lots.
Apprenez-en davantage sur l’exécution d’une exportation CSV de vos recommandations de sécurité.
La page des recommandations compte désormais plusieurs vues
La page des recommandations compte désormais deux onglets vous permettant d’afficher les recommandations relatives à vos ressources :
- Recommandations relatives aux scores de sécurité : utilisez cet onglet pour afficher la liste des recommandations regroupées par contrôle de sécurité. Pour plus d’informations sur ces contrôles, consultez Contrôles de sécurité et recommandations.
- Toutes les recommandations : utilisez cet onglet pour afficher la liste des recommandations en tant que liste plate. Cet onglet permet également de comprendre l’initiative (y compris les normes de conformité réglementaire) qui a généré la recommandation. Pour plus d’informations sur les initiatives et leurs relations avec les recommandations, consultez Présentation des stratégies de sécurité, des initiatives et des recommandations.
Juillet 2021
Les mises à jour du mois de juillet incluent :
- Le connecteur Microsoft Sentinel inclut désormais la synchronisation facultative des alertes bidirectionnelles (en préversion)
- Réorganisation logique d’Azure Defender pour les alertes Gestionnaire des ressources
- Améliorations apportées à la recommandation pour activer Azure Disk Encryption (ADE)
- Exportation continue du score de sécurité et des données de conformité réglementaire publiées pour la disponibilité générale (GA)
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
- Le champ API Évaluations « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
- Modèle de classeur « conformité au fil du temps » ajouté à la Galerie de classeurs Azure Monitor
Le connecteur Microsoft Sentinel inclut désormais la synchronisation facultative des alertes bidirectionnelles (en préversion)
Security Center s’intègre en mode natif à Microsoft Sentinel, à la solution SIEM et SOAR native cloud d’Azure.
Microsoft Sentinel inclut des connecteurs intégrés pour Azure Security Center au niveau de l’abonnement et du locataire. En savoir plus sur les alertes Stream à Microsoft Sentinel.
Lorsque vous connectez Azure Defender à Microsoft Sentinel, l’état des alertes Azure Defender qui sont ingérées dans Microsoft Sentinel est synchronisée entre les deux services. Par exemple, lorsqu’une alerte est fermée dans Azure Defender, cette alerte s’affiche également dans Microsoft Sentinel. La modification de l’état d’une alerte dans Azure Defender « n’affecte pas » l’état des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel synchronisée, uniquement celle de l’alerte synchronisée elle-même.
Lorsque vous activez la synchronisation des alertes bidirectionnelles de fonctionnalité en préversion, elle synchronise automatiquement l’état des alertes Azure Defender d’origine avec les incidents Microsoft Sentinel qui contiennent des copies de ces alertes Azure Defender. Par exemple, lorsqu’un incident Microsoft Sentinel contenant une alerte Azure Defender est fermé, Azure Defender ferme automatiquement l’alerte d’origine correspondante.
Apprenez-en davantage dans Connecter les alertes Azure Defender à partir d’Azure Security Center.
Réorganisation logique d’Azure Defender pour les alertes Gestionnaire des ressources
Les alertes énumérées ci-dessous ont été fournies dans le cadre du plan Azure Defender pour Resource Manager.
Dans le cadre d’une réorganisation logique de certains des plans Azure Defender, nous avons déplacé certaines alertes d’Azure Defender pour Resource Manager vers Azure Defender pour les serveurs.
Les alertes sont organisées en fonction de deux principes essentiels :
- Les alertes qui fournissent une protection de plan de contrôle, sur de nombreux types de ressources Azure, font partie d’Azure Defender pour Resource Manager
- Les alertes qui protègent des charges de travail spécifiques font partie du plan Azure Defender associé à la charge de travail correspondante.
Voici les alertes qui faisaient partie d’Azure Defender pour Resource Manager, et qui, suite à cette modification, font désormais partie d’Azure Defender pour les serveurs :
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
En savoir plus sur les plans Azure Defender pour Resource Manager et Azure Defender pour les serveurs.
Améliorations apportées à la recommandation pour activer Azure Disk Encryption (ADE)
Suite aux commentaires des utilisateurs, nous avons renommé la recommandation Le chiffrement de disque doit être appliqué sur les machines virtuelles.
La nouvelle recommandation utilise le même ID d’évaluation et est appelée Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage.
La description a également été mise à jour pour mieux expliquer l’objectif de cette recommandation de sécurisation renforcée :
| Recommendation | Description | Severity |
|---|---|---|
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Pour plus d’informations, consultez la comparaison des différentes technologies de chiffrement de disque utilisées dans Azure. Utilisez Azure Disk Encryption pour chiffrer toutes ces données. Ignorez cette recommandation si : (1) vous utilisez la fonctionnalité de chiffrement au niveau de l’hôte ou (2) le chiffrement côté serveur sur Disques managés répond à vos exigences de sécurité. Découvrez-en plus sur le chiffrement côté serveur du Stockage sur disque Azure. |
High |
Exportation continue du score de sécurité et des données de conformité aux réglementations publiées pour la disponibilité générale (GA)
L’exportation continue fournit le mécanisme permettant d’exporter vos alertes de sécurité et recommandations pour le suivi avec d’autres outils de surveillance dans votre environnement.
Lorsque vous configurez l’exportation continue, vous configurez les éléments exportés ainsi que leur emplacement. Apprenez-en davantage dans la présentation de l’exportation continue.
Nous avons amélioré et développé cette fonctionnalité au fil du temps :
En novembre 2020, nous avons ajouté l’option d’aperçu pour diffuser en continu les modifications apportées à votre score sécurisé.
En décembre 2020, nous avons ajouté l’option d’aperçu pour diffuser en continu les modifications apportées à vos données d’évaluation de conformité réglementaire.
Avec cette mise à jour, ces deux options sont en disponibilité générale (GA).
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (disponibilité générale)
En février 2021, nous avons ajouté un troisième type de données en préversion aux options de déclencheur pour vos automatisations de flux de travail : modifications apportées aux évaluations de conformité réglementaire. Pour plus d’informations, consultez Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire.
Avec cette mise à jour, cette option de déclencheur est disponible en disponibilité générale.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Le champ d’API d’évaluation « FirstEvaluationDate » et « StatusChangeDate » est désormais disponible dans les schémas d’espace de travail et les applications logiques
En mai 2021, nous avons mis à jour l’API Assessment avec deux nouveaux champs, FirstEvaluationDate et StatusChangeDate. Pour plus d’informations, consultez Développement de l’API Évaluations avec deux nouveaux champs.
Ces champs étaient accessibles via l’API REST, Azure Resource Graph, l’exportation continue et les exportations CSV.
Avec cette modification, nous mettons à disposition les informations dans le schéma d’espace de travail Log Analytics et à partir d’applications logiques.
Modèle de classeur « conformité dans le temps » ajouté à la Galerie de classeurs Azure Monitor
En mars, nous avons annoncé l’expérience des classeurs Azure Monitor intégrés dans Security Center (voir Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis).
La version initiale comprenait trois modèles pour générer des rapports dynamiques et visuels relatifs à la posture de sécurité de votre organisation.
Nous avons maintenant ajouté un classeur dédié au suivi de la conformité d’un abonnement avec les normes réglementaires ou sectorielles qui s’y appliquent.
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Juin 2021
Les mises à jour du mois de juin incluent :
- Nouvelle alerte pour Azure Defender pour Key Vault
- Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
- Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Nouvelle alerte pour Azure Defender pour Key Vault
Pour développer les protections contre les menaces fournies par Azure Defender pour Key Vault, nous avons ajouté l’alerte suivante :
| Alerte (type d’alerte) | Description | Tactique MITRE | Severity |
|---|---|---|---|
| Accès à partir d’une adresse IP suspecte à un coffre de clés (KV_SuspiciousIPAccess) |
Un coffre de clés a fait l’objet d’un accès réussi par une IP qui a été identifiée par Microsoft Threat Intelligence comme adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. | Accès aux informations d’identification | Medium |
Pour plus d'informations, consultez les pages suivantes :
- Présentation d’Azure Defender pour Key Vault
- Répondre aux alertes Azure Defender pour Key Vault
- Liste des alertes fournies par Azure Defender pour Key Vault
Recommandations pour chiffrer avec les clés gérées par le client (clés CMK) désactivées par défaut
Security Center comprend plusieurs recommandations pour chiffrer les données au repos avec des clés gérées par le client, telles que :
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK)
Dans Azure, les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme. Par conséquent, l’utilisation de clés gérées par le client doit être appliquée uniquement lorsque cela est nécessaire pour la conformité à une stratégie spécifique que votre organisation choisit de mettre en vigueur.
Avec cette modification, les recommandations d’utilisation de clés CMK sont désormais désactivées par défaut. En cas de pertinence pour votre organisation, vous pouvez les activer en modifiant le paramètre Effect de la stratégie de sécurité correspondante en AuditIfNotExists ou En appliquant. En savoir plus dans Activer une recommandation de sécurité.
Cette modification est reflétée dans le nom de la recommandation avec un nouveau préfixe, [Activer si nécessaire] , comme indiqué dans les exemples suivants :
- [Activer si nécessaire] Les comptes de stockage doivent utiliser une clé gérée par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
Préfixe des alertes Kubernetes « AKS_ » remplacé par « K8S_ »
Azure Defender pour Kubernetes s’est récemment développé pour protéger les clusters Kubernetes hébergés localement et dans plusieurs environnements multiclouds. Découvrez-en plus dans Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion).
Pour signifier que les alertes de sécurité fournies par Azure Defender pour Kubernetes ne sont plus limitées aux clusters sur Azure Kubernetes Service, nous avons remplacé le préfixe des types d’alertes « AKS_ » par « K8S_ ». Le cas échéant, les noms et les descriptions ont également été mis à jour. Par exemple, cette alerte :
| Alerte (type d’alerte) | Description |
|---|---|
| Détection d’un outil de test d’intrusion Kubernetes (AKS_PenTestToolsKubeHunter) |
L’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS . Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Modification de cette alerte :
| Alerte (type d’alerte) | Description |
|---|---|
| Détection d’un outil de test d’intrusion Kubernetes (K8S_PenTestToolsKubeHunter) |
L’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster Kubernetes . Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. |
Toutes les règles de suppression qui font référence à des alertes commençant par « AKS_ » ont été automatiquement converties. Si vous avez configuré des exportations SIEM ou des scripts d’automatisation personnalisés qui font référence à des alertes Kubernetes par type d’alerte, vous avez besoin de les mettre à jour avec les nouveaux types d’alerte.
Pour obtenir la liste complète des alertes Kubernetes, consultez Alertes pour les clusters Kubernetes.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » dépréciées
Les deux recommandations suivantes ont été dépréciées :
- La version du système d'exploitation (SE) doit être mise à jour pour vos rôles service cloud. Par défaut, Azure met régulièrement à jour votre SE invité vers la dernière image prise en charge d’un produit de la famille de SE que vous avez spécifiée dans votre configuration de service (.cscfg), tel que Windows Server 2016.
- Les services Kubernetes doivent être mis à niveau vers une version Kubernetes non vulnérable. Les évaluations de cette recommandation ne sont pas aussi étendues que nous le voulions. Nous prévoyons de remplacer la recommandation par une version améliorée qui est mieux adaptée à vos besoins en matière de sécurité.
Mai 2021
Les mises à jour du mois de mai incluent :
- Azure Defender pour DNS et Azure Defender pour Resource Manager en disponibilité générale
- Azure Defender pour les bases de données relationnelles open source en disponibilité générale
- Nouvelles alertes pour Azure Defender pour Resource Manager
- Analyse des vulnérabilités CI/CD des images conteneur avec les workflows GitHub et Azure Defender (préversion)
- Plus de requêtes Resource Graph disponibles pour certaines recommandations
- Changement de la gravité de la recommandation de classification des données SQL
- Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
- Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
- Développement de l’API Évaluations avec deux nouveaux champs
- L’inventaire des ressources obtient un filtre d’environnement cloud
Azure Defender pour DNS et Azure Defender pour Resource Manager en disponibilité générale
Ces deux plans de protection contre les menaces au niveau cloud natif sont désormais en disponibilité générale.
Ces nouvelles protections améliorent nettement votre résilience face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Ressource Manager – Supervise automatiquement toutes les opérations de gestion de ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS – Supervise en continu toutes les requêtes DNS émanant de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Pour simplifier le processus d’activation de ces plans, utilisez les recommandations suivantes :
- Azure Defender pour Resource Manager doit être activé
- Azure Defender pour DNS doit être activé
Note
L’activation des plans Azure Defender engendre des frais. Découvrez les détails de tarification par région dans la page de tarification de Security Center.
Azure Defender pour les bases de données relationnelles open source en disponibilité générale
Azure Security Center étend son offre de protection SQL avec un nouveau bundle pour couvrir vos bases de données relationnelles open source :
- Azure Defender pour serveurs de base de données Azure SQL : défend vos serveurs Azure SQL natifs
- Azure Defender pour serveurs SQL sur des machines : étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux.
- Azure Defender pour les bases de données relationnelles open source : protège vos serveurs uniques Azure Database pour MySQL, pour PostgreSQL et for MariaDB
Azure Defender pour les bases de données relationnelles open source supervise en permanence vos serveurs à la recherche de menaces de sécurité et détecte les activités anormales de base de données indiquant des menaces potentielles envers Azure Database pour MySQL, pour PostgreSQL et for MariaDB. Quelques exemples :
- Détection précise des attaques par force brute : Azure Defender pour les bases de données relationnelles open source fournit des informations détaillées sur les attaques par force brute tentées et réussies. Cela vous permet d’investiguer et de répondre avec une meilleure compréhension de la nature et de l’état de l’attaque sur votre environnement.
- Détection des alertes comportementales : Azure Defender pour les bases de données relationnelles open source vous avertit des comportements suspects et inattendus sur vos serveurs, tels que les modifications apportées au modèle d’accès à votre base de données.
- Détection basée sur les informations sur les menaces - Azure Defender applique le renseignement sur les menaces de Microsoft et de vastes base de connaissances pour faire surface aux alertes de menace afin de pouvoir agir contre eux.
Pour en savoir plus, consultez Présentation d’Azure Defender pour les bases de données relationnelles open source.
Nouvelles alertes pour Azure Defender pour Resource Manager
Pour développer les protections contre les menaces fournies par Azure Defender pour Resource Manager, nous avons ajouté les alertes suivantes :
| Alerte (type d’alerte) | Description | Tactiques MITRE | Severity |
|---|---|---|---|
|
Autorisations accordées à un rôle RBAC de manière inhabituelle pour votre environnement Azure (préversion) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender pour Resource Manager a détecté une attribution de rôle RBAC qui est inhabituelle par rapport à d’autres attributions effectuées par le même attributeur / pour le même attributaire / dans votre locataire en raison des anomalies suivantes : heure d’attribution, adresse de l’attributeur, attributeur, méthode d’authentification, entités attribuées, logiciel client utilisé, extension d’attribution. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente d’accorder des autorisations à un autre compte d’utilisateur dont il est propriétaire. | Mouvement latéral, évasion de la défense | Medium |
|
Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégié dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection. | Mouvement latéral, évasion de la défense | Low |
|
Opération Azure Resource Manager depuis une adresse IP suspecte (préversion) (ARM_OperationFromSuspiciousIP) |
Azure Defender pour Resource Manager a détecté une opération depuis une adresse IP qui a été marquée comme suspecte dans les flux de renseignement sur les menaces. | Execution | Medium |
|
Opération Azure Resource Manager depuis une adresse IP proxy suspecte (préversion) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender pour Resource Manager a détecté une opération de gestion des ressources depuis une adresse IP associée à des services proxy comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. | Évasion de défense | Medium |
Pour plus d'informations, consultez les pages suivantes :
- Présentation d’Azure Defender pour Resource Manager
- Répondre aux alertes Azure Defender pour Resource Manager
- Liste des alertes fournies par Azure Defender pour Resource Manager
Analyse des vulnérabilités CI/CD des images conteneur avec les workflows GitHub et Azure Defender (préversion)
Azure Defender pour les registres de conteneurs offre désormais aux équipes DevSecOps une observabilité des workflows GitHub Actions.
La nouvelle fonctionnalité d’analyse des vulnérabilités pour les images conteneur, utilisant Trivy, vous permet d’analyser les vulnérabilités courantes dans leurs images conteneur avant d’envoyer des images à des registres de conteneurs.
Les rapports d’analyse de conteneur sont résumés dans Azure Security Center, ce qui offre aux équipes de sécurité un meilleur insight et une meilleure compréhension de la source des images conteneur vulnérables ainsi que des workflows et dépôts desquels elles proviennent.
Apprenez-en davantage dans Identifier les images conteneur vulnérables dans vos workflows CI/CD.
Plus de requêtes Resource Graph disponibles pour certaines recommandations
Toutes les recommandations de Security Center ont la possibilité d’afficher les informations sur l’état des ressources affectées à l’aide d’Azure Resource Graph à partir de la requête Open. Pour plus d’informations sur cette fonctionnalité puissante, consultez Passer en revue les données de recommandation dans l’Explorateur Azure Resource Graph.
Security Center comporte des analyseurs de vulnérabilités intégrés pour analyser vos machines virtuelles, vos serveurs SQL et leurs hôtes ainsi que les registres de conteneurs pour les vulnérabilités de sécurité. Les résultats sont retournés sous forme de recommandations avec toutes les découvertes individuelles pour chaque type de ressource rassemblées dans une vue unique. Les recommandations sont les suivantes :
- Les vulnérabilités dans les images Azure Container Registry doivent être corrigées (avec Qualys)
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
- Les résultats des vulnérabilités des bases de données SQL doivent être résolus
- Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
Avec cette modification, vous pouvez utiliser le bouton Ouvrir la requête pour ouvrir également la requête montrant les résultats de sécurité.
Le bouton Ouvrir la requête offre des options supplémentaires pour d’autres recommandations, le cas échéant.
Découvrez plus d’informations sur les analyseurs de vulnérabilités de Security Center :
- Analyseur de vulnérabilités intégré Qualys d’Azure Defender pour les machines Azure et hybrides
- Analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les serveurs SQL
- Analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les registres de conteneurs
Changement de la gravité de la recommandation de classification des données SQL
La gravité de la recommandation Les données sensibles de vos bases de données SQL doivent être classifiées est passée d’élevé à un niveau faible.
Cela fait partie d’une modification en cours de cette recommandation annoncée dans notre prochaine page de modifications.
Nouvelles recommandations pour activer les fonctionnalités de lancement fiable (en préversion)
Azure offre un lancement approuvé comme moyen transparent d’améliorer la sécurité des machines virtuelles de génération 2 . Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Apprenez-en davantage dans Lancement fiable pour les machines virtuelles Azure.
Important
Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
Le lancement fiable est actuellement disponible en préversion publique. La préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge.
La recommandation de Security Center, vTPM doit être activé sur les machines virtuelles prises en charge, garantit que vos machines virtuelles Azure utilisent un vTPM. Cette version virtualisée d’un module de plateforme sécurisée matériel permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Lorsque le vTPM est activé, l’extension Attestation d’invité peut valider à distance le démarrage sécurisé. Les recommandations suivantes garantissent le déploiement de cette extension :
- Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge
- L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge
- L’extension Guest Attestation doit être installée sur les groupes Virtual Machine Scale Sets Windows pris en charge
- L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge
- L’extension Guest Attestation doit être installée sur les groupes Virtual Machine Scale Sets Linux pris en charge
Apprenez-en davantage dans Lancement fiable pour les machines virtuelles Azure.
Nouvelles recommandations pour renforcer les clusters Kubernetes (en préversion)
Les recommandations suivantes vous permettent de renforcer davantage vos clusters Kubernetes
- Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut : pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount, empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes.
- Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API : pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes API sur des clusters Kubernetes, désactivez le montage automatique des informations d’identification de l’API.
- Les clusters Kubernetes ne doivent pas octroyer de fonctionnalités de sécurité CAPSYSADMIN
Découvrez comment Security Center peut protéger vos environnements conteneurisés dans Sécurité des conteneurs dans Security Center.
Développement de l’API Évaluations avec deux nouveaux champs
Nous avons ajouté les deux champs suivants à l’API REST Évaluations :
- FirstEvaluationDate : heure à laquelle la recommandation a été créée et évaluée pour la première fois. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
- StatusChangeDate : heure à laquelle l’état de la recommandation a changé pour la dernière fois. Retournée sous forme de temps universel coordonné (UTC) au format ISO 8601.
La valeur initiale par défaut de ces champs (pour toutes les recommandations) est 2021-03-14T00:00:00+0000000Z.
Pour accéder à ces informations, vous pouvez utiliser l’une des méthodes indiquées dans le tableau ci-dessous.
| Tool | Details |
|---|---|
| Appel d’API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph (Graphique des Ressources Azure) | securityresourceswhere type == "microsoft.security/assessments" |
| Exportation continue | Les deux champs dédiés seront disponibles dans les données de l’espace de travail Log Analytics |
| Exportation CSV | Les deux champs sont inclus dans les fichiers CSV. |
Découvrez-en plus sur l’API REST Évaluations.
L’inventaire des ressources obtient un filtre d’environnement cloud
La page d’inventaire des ressources de Security Center propose de nombreux filtres pour affiner rapidement la liste des ressources affichées. Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Un nouveau filtre offre la possibilité d’affiner la liste en fonction des comptes cloud que vous avez connectés à la fonctionnalité multicloud de Security Center.
Découvrez plus d’informations sur les fonctionnalités multiclouds :
Avril 2021
Les mises à jour du mois d’avril incluent :
- Actualisation de la page d’intégrité des ressources (en préversion)
- Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
- Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
- L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (WVD) publié en disponibilité générale
- Recommandations concernant l’activation d’Azure Defender pour DNS et de Resource Manager (en préversion)
- Ajout de trois normes de conformité réglementaire : Azure CIS 1.3.0, CMMC niveau 3 et New Zealand ISM Restricted
- Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
- Recommandations CMK déplacées dans le contrôle de sécurité des bonnes pratiques
- Onze alertes Azure Defender déconseillées
- Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
- Vignette « Azure Defender pour SQL sur des machines » supprimée du tableau de bord Azure Defender
- 21 recommandations ont été déplacé entre les contrôles de sécurité
Actualisation de la page d’intégrité des ressources (en préversion)
L’intégrité des ressources a été développée, améliorée et perfectionnée pour fournir une vue instantanée de l’état d’intégrité global d’une ressource unique.
Vous pouvez consulter des informations détaillées sur la ressource et toutes les recommandations qui s’y appliquent. De plus, si vous utilisez les plans de protection avancée de Microsoft Defender, les alertes de sécurité en suspens pour cette ressource spécifique s’affichent également.
Pour ouvrir la page d’intégrité des ressources pour une ressource, sélectionnez n’importe quelle ressource dans la page d’inventaire des ressources.
Cette page d’aperçu dans les pages du portail de Security Center affiche les éléments suivants :
- Informations sur les ressources : groupe de ressources et abonnement auquel il est attaché, emplacement géographique, etc.
- Fonctionnalité de sécurité appliquée : indique si Azure Defender est activé pour la ressource.
- Nombre de recommandations en suspens et d’alertes : nombre de recommandations de sécurité en suspens et d’alertes Azure Defender.
- Recommandations et alertes actionnables : deux onglets listent les recommandations et les alertes qui s’appliquent à la ressource.
Découvrez-en plus dans le Tutoriel : Examiner l’intégrité de vos ressources.
Les images de registre de conteneurs qui ont été récemment extraites sont à présent réanalysées chaque semaine (en disponibilité générale)
Azure Defender pour les registres de conteneurs comprend un analyseur de vulnérabilité intégré. Cet analyseur analyse immédiatement toute image que vous envoyez à votre registre et toute image extraite au cours des 30 derniers jours.
De nouvelles vulnérabilités sont découvertes tous les jours. Avec cette mise à jour, les images conteneur extraites de vos registres au cours des 30 derniers jours seront réanalysées chaque semaine. Procéder ainsi permet de s’assurer que les vulnérabilités nouvellement découvertes sont identifiées dans vos images.
L’analyse est facturée par image, aucuns frais supplémentaires ne sont donc facturés pour ces analyses.
Apprenez-en davantage sur cet analyseur en consultant Analyse des vulnérabilités dans les images avec Azure Defender pour les registres de conteneurs.
Utiliser Azure Defender pour Kubernetes afin de protéger les déploiements Kubernetes hybrides et multiclouds (en préversion)
Azure Defender pour Kubernetes étend ses fonctionnalités de protection contre les menaces afin de protéger vos clusters où qu'ils soient déployés. L’intégration de Kubernetes avec Azure Arc et de ses nouvelles capacités d’extensions a rendu cela possible.
Lorsque vous avez activé Azure Arc sur vos clusters Kubernetes non Azure, une nouvelle recommandation d'Azure Security Center propose d'y déployer l'agent Azure Defender en quelques clics seulement.
Utilisez la recommandation (L’extension d’Azure Defender doit être installée sur les clusters Kubernetes avec Azure Arc) et l’extension pour protéger les clusters Kubernetes déployés via d’autres fournisseurs de cloud, mais pas sur leurs services Kubernetes managés.
Cette intégration entre Azure Security Center, Azure Defender et Kubernetes avec Azure Arc offre les avantages suivants :
- Approvisionnement aisé de l'agent Azure Defender sur les clusters Kubernetes avec Azure Arc non protégés (manuellement et à grande échelle)
- Surveillance de l'agent Azure Defender et de son état d'approvisionnement à partir du portail Azure Arc
- Les recommandations de sécurité de Security Center sont signalées sur la nouvelle page Sécurité du portail Azure Arc
- Les menaces de sécurité identifiées par Azure Defender sont signalées sur la nouvelle page Sécurité du portail Azure Arc
- Les clusters Kubernetes avec Azure Arc sont intégrés à la plateforme et à l’expérience Azure Security Center
Pour en savoir plus, consultez Utiliser Azure Defender pour Kubernetes avec vos clusters Kubernetes locaux et multicloud.
L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (WVD) publié en disponibilité générale
Microsoft Defender for Endpoint est une solution holistique de sécurité des points de terminaison dans le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l’utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender pour point de terminaison.
Quand vous activez Azure Defender pour les serveurs sur Windows Server, le plan inclut une licence pour Defender pour point de terminaison. Si vous avez déjà activé Azure Defender pour les serveurs et que vous disposez de serveurs Windows Server 2019 dans votre abonnement, ceux-ci recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
La prise en charge a été étendue de façon à inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Note
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez que la solution répond aux prérequis décrits dans Activer l’intégration de Microsoft Defender pour point de terminaison.
Recommandations concernant l’activation d’Azure Defender pour DNS et de Resource Manager (en préversion)
Deux nouvelles recommandations ont été ajoutées afin de simplifier le processus d’activation d’Azure Defender pour Resource Manager et d’Azure Defender pour DNS:
- Azure Defender pour Resource Manager doit être activé - Defender pour Resource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes.
- Azure Defender pour DNS doit être activé - Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en supervisant en continu toutes les requêtes DNS émises par vos ressources Azure. Azure Defender vous avertit des activités suspectes au niveau de la couche DNS.
L’activation des plans Azure Defender engendre des frais. Découvrez les détails de tarification par région dans la page de tarification de Security Center.
Tip
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
Ajout de trois normes de conformité réglementaire : Azure CIS 1.3.0, CMMC niveau 3 et New Zealand ISM Restricted
Nous avons ajouté trois normes à utiliser avec Azure Security Center. À l’aide du tableau de bord de conformité réglementaire, vous pouvez désormais suivre votre conformité avec :
Vous pouvez les attribuer à vos abonnements comme décrit dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour en savoir plus :
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
- Tutoriel : Améliorer votre conformité aux normes
- Questions fréquentes (FAQ) - Tableau de bord de conformité réglementaire
Quatre nouvelles recommandations relatives à la configuration des invités (en préversion)
L'extension Configuration des invités d'Azure effectue des signalements auprès de Security Center pour renforcer les paramètres relatifs aux invités de vos machines virtuelles. L'extension n'est pas nécessaire pour les serveurs avec Arc car elle est incluse dans l’Agent de la machine connectée Arc. L'extension nécessite une identité gérée par le système sur la machine.
Nous avons ajouté quatre nouvelles recommandations à Security Center pour tirer le meilleur parti de cette extension.
Deux recommandations vous invitent à installer l'extension et l'identité gérée par le système correspondante :
- L’extension Guest Configuration doit être installée sur vos machines
- L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
Une fois l'extension installée et exécutée, elle commence l'audit de vos machines et vous êtes invité à renforcer les paramètres tels que la configuration du système d'exploitation et les paramètres d'environnement. Les deux recommandations suivantes vous inviteront à renforcer vos machines Windows et Linux comme décrit :
- Windows Defender Exploit Guard doit être activé sur vos machines
- L’authentification auprès des machines Linux doit exiger des clés SSH
Pour en savoir plus, consultez Présentation de la fonctionnalité de configuration des invités d'Azure Policy.
Les recommandations CMK ont été déplacées dans le contrôle de sécurité des bonnes pratiques
Le programme de sécurité de chaque organisation comprend des exigences en matière de chiffrement de données. Par défaut, les données des clients Azure sont chiffrées au repos avec des clés gérées par le service. Toutefois, les clés gérées par le client (CMK) sont généralement nécessaires pour répondre aux normes de conformité réglementaire. Les CMK vous permettent de chiffrer vos données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Ainsi, le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion, vous sont donnés.
Les contrôles de sécurité d’Azure Security Center sont des groupes logiques de recommandations de sécurité associées, qui reflètent vos surfaces d’attaque vulnérables. Chaque contrôle comprend un nombre maximal de points que vous pouvez ajouter à votre degré de sécurisation si vous appliquez toutes les recommandations indiquées dans le contrôle, pour toutes vos ressources. Le contrôle de sécurité Implémenter les bonnes pratiques de sécurité vaut zéro point. Les recommandations de ce contrôle n’ont donc pas d’incidence sur votre degré de sécurisation.
Les recommandations listées ci-dessous sont en cours de déplacement vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité pour mieux refléter leur nature facultative. Ce déplacement garantit que ces recommandations se trouvent dans le contrôle le plus approprié pour atteindre leur objectif.
- Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK)
- Les comptes Azure AI services doivent activer le chiffrement des données avec une clé gérée par le client (CMK)
- Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)
- Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
Onze alertes Azure Defender déconseillées
Les onze alertes Azure Defender répertoriées ci-dessous sont désormais déconseillées.
Ces deux alertes seront remplacées par de nouvelles alertes offrant une meilleure couverture :
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PRÉVERSION - Détection de l’exécution de la fonction « Get-AzureDomainInfo » du kit de ressources MicroBurst ARM_MicroBurstRunbook PRÉVERSION - Détection de l’exécution de la fonction « Get-AzurePasswords » du kit de ressources MicroBurst Les neuf alertes suivantes concernent un connecteur IPC (Azure Active Directory Identity Protection) déjà déconseillé :
AlertType AlertDisplayName UnfamiliarLocation Propriétés de connexion inhabituelles AnonymousLogin Adresse IP anonyme InfectedDeviceLogin Adresse IP liée à un programme malveillant ImpossibleTravel Atypical travel MaliciousIP Adresse IP malveillante LeakedCredentials Leaked credentials PasswordSpray Pulvérisation de mot de passe LeakedCredentials Azure AD Threat Intelligence AADAI Azure AD AI Tip
Ces neuf alertes IPC n'ont jamais été des alertes Security Center. Ils font partie du connecteur Azure Active Directory Identity Protection (IPC) qui les envoyait à Security Center. Au cours des deux dernières années, les seuls clients qui ont vu ces alertes sont des organisations qui ont configuré l’exportation (depuis le connecteur vers ASC) en 2019 ou une version antérieure. Azure Active Directory IPC a continué à les montrer dans ses propres systèmes d’alertes et ils ont continué d’être disponibles dans Microsoft Sentinel. La seule modification est qu’elles n’apparaissent plus dans Security Center.
Deux recommandations du contrôle de sécurité « Appliquer les mises à jour système » sont désormais déconseillées
Les deux recommandations suivantes sont désormais déconseillées et les changements peuvent avoir un léger impact sur votre niveau de sécurité :
- Vos machines doivent être redémarrées pour appliquer les mises à jour système
- L’agent de surveillance doit être installé sur vos machines. Cette recommandation se réfère uniquement aux machines locales, et une partie de sa logique sera transférée vers une autre recommandation : Les problèmes d'intégrité de l'agent Log Analytics doivent être résolus sur vos machines.
Nous vous recommandons de vérifier vos configurations d’exportation continue et d’automatisation du workflow pour voir si ces recommandations y sont incluses. En outre, tous les tableaux de bord et autres outils de supervision susceptibles de les utiliser doivent être mis à jour en conséquence.
Vignette « Azure Defender pour SQL sur des machines » supprimée du tableau de bord Azure Defender
La zone de couverture du tableau de bord Azure Defender comprend des vignettes correspondant aux plans Azure Defender concernés de votre environnement. En raison d’un problème lié au signalement du nombre de ressources protégées et non protégées, nous avons décidé de supprimer temporairement l’état de couverture des ressources pour Azure Defender pour SQL sur des machines jusqu’à ce que le problème soit résolu.
Recommandations déplacées entre les contrôles de sécurité
Les recommandations suivantes ont été déplacées vers d’autres contrôles de sécurité. Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées, qui reflète les surfaces d’attaque vulnérables. Ce déplacement garantit que toutes ces recommandations sont dans le contrôle le plus approprié pour atteindre son objectif.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
| Recommendation | Modification et impact |
|---|---|
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL L’évaluation des vulnérabilités doit être activée sur vos instances managées SQL Les vulnérabilités de vos bases de données SQL doivent être corrigées Les vulnérabilités sur vos bases de données SQL dans les machines virtuelles doivent être corrigées |
Déplacement de Corriger les vulnérabilités (d’une valeur de 6 points) vers Corriger les configurations de sécurité (d’une valeur de 4 points). Ces recommandations ont un impact réduit sur votre score, en fonction de votre environnement. |
| Plusieurs propriétaires doivent être affectés à votre abonnement Les variables de compte Automation doivent être chiffrées Appareils IoT – Le processus audité a arrêté d’envoyer des événements Appareils IoT – Échec de la validation de la base du système d’exploitation Appareils IoT – Mise à niveau de la suite de chiffrement TLS requise Appareils IoT – Ports ouverts sur l’appareil Appareils IoT – Stratégie de pare-feu permissive trouvée dans l’une des chaînes Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne d’entrée Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne de sortie Les journaux de diagnostic dans IoT Hub doivent être activés Appareils IoT – Agent envoyant des messages sous-exploités Appareils IoT : la stratégie de filtre IP par défaut devrait être refusée Appareils IoT : plage d’adresses IP large pour la règle de filtre IP Appareils IoT : les intervalles et la taille des messages des agents doivent être ajustés Appareils IoT : informations d’identification et d’authentification identiques Appareils IoT : le processus audité a arrêté d’envoyer des événements Appareils IoT : la configuration de ligne de base du système d’exploitation doit être corrigée |
Déplacement vers Implémenter les meilleures pratiques de sécurité. Lorsqu’une recommandation se déplace vers le contrôle de sécurité Implémenter les bonnes pratiques de sécurité, ce qui n’est pas du tout judicieux, la recommandation n’affecte plus votre score sécurisé. |
mars 2021
Les mises à jour du mois de mars incluent :
- Gestion du Pare-feu Azure intégrée à Security Center
- L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
- Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis
- Le tableau de bord de conformité réglementaire comprend désormais les rapports d’audit Azure (préversion)
- Les données de recommandation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
- Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
- Deux recommandations héritées n’écrivent plus de données directement dans le journal d’activité Azure
- Améliorations de la page Suggestions
Gestion du Pare-feu Azure intégrée à Security Center
Lorsque vous ouvrez Azure Security Center, la première page qui s’affiche est la page de présentation.
Ce tableau de bord interactif fournit une vue unifiée de la posture de sécurité de vos charges de travail cloud hybrides. En outre, elle affiche des alertes de sécurité, des informations de couverture, etc.
Pour vous aider à visualiser l’état de votre sécurité avec une expérience centralisée, nous avons intégré Azure Firewall Manager à ce tableau de bord. Vous pouvez désormais vérifier l’état de couverture du Pare-feu sur tous les réseaux et gérer de façon centralisée les stratégies de pare-feu Azure à partir de Security Center.
En savoir plus sur ce tableau de bord dans la page Vue d’ensemble d’Azure Security Center.
L’évaluation des vulnérabilités SQL comprend désormais l’expérience « Désactiver la règle » (préversion)
Security Center comprend un analyseur de vulnérabilités intégré pour vous aider à découvrir, suivre et corriger les vulnérabilités potentielles des bases de données. Les résultats de vos analyses d’évaluation fournissent une vue d’ensemble de l’état de sécurité de vos machines SQL ainsi que des détails sur les éventuels problèmes de sécurité découverts.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Pour plus d’informations, consultez Désactiver des découvertes spécifiques.
Classeurs Azure Monitor intégrés dans Security Center et trois modèles fournis
Dans le cadre d’Ignite Spring 2021, nous avons annoncé une expérience intégrée des classeurs Azure Monitor dans Security Center.
Vous pouvez utiliser la nouvelle intégration pour commencer à utiliser les modèles prêtes à l’emploi à partir de la galerie de Security Center. À l’aide de modèles de classeur, vous pouvez accéder à des rapports dynamiques et visuels et créer des rapports visuels pour suivre la posture de sécurité de votre organisation. Vous pouvez aussi créer des classeurs basés sur des données Security Center ou tout autre type de données pris en charge, et déployer rapidement des classeurs de communauté de la communauté GitHub de Security Center.
Trois modèles de rapport sont fournis :
- Évolution du degré de sécurisation : suivez les scores de vos abonnements et les modifications apportées aux recommandations pour vos ressources
- Mises à jour système : afficher les mises à jour système manquantes par ressources, système d’exploitation, gravité, etc.
- Résultats de l’évaluation des vulnérabilités : visualisez les découvertes des analyses de vulnérabilités de vos ressources Azure
Apprenez-en davantage sur l’utilisation de ces rapports ou la création de vos propres rapports dans Créer des rapports interactifs et riches de données Security Center.
Le tableau de bord de conformité réglementaire comprend désormais les rapports d’audit Azure (préversion)
À partir de la barre d’outils du tableau de bord de conformité réglementaire, vous pouvez désormais télécharger les rapports de certification Azure et Dynamics.
Vous pouvez sélectionner l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin.
En savoir plus sur la Gestion des normes dans votre tableau de bord de conformité réglementaire.
Les données de recommandation peuvent être consultées dans Azure Resource Graph avec « Explorer dans ARG »
Les pages de détails de recommandation incluent désormais le bouton de barre d’outils « Explorer dans ARG ». Utilisez ce bouton pour ouvrir une requête Azure Resource Graph et explorer, exporter et partager les données de la recommandation.
Azure Resource Graph (ARG) fournit un accès instantané aux informations relatives aux ressources de vos environnements cloud avec des fonctionnalités robustes de filtrage, de regroupement et de tri. Il s’agit d’un moyen rapide et efficace de demander des informations dans les abonnements Azure par programmation ou depuis le Portail Azure.
Apprenez-en davantage sur Azure Resource Graph.
Mises à jour des stratégies pour le déploiement de l’automatisation des workflows
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Nous fournissons trois stratégies Azure Policy « DeployIfNotExist » qui créent et configurent des procédures d’automatisation des workflows pour vous permettre de déployer vos automatisations dans votre organisation :
| Goal | Policy | ID de stratégie |
|---|---|---|
| Automatisation du flux de travail pour les alertes de sécurité | Déployer l’automatisation de workflow pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatisation du flux de travail pour les recommandations de sécurité | Déployer l’automatisation de workflow pour les recommandations Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automatisation des workflows pour les modifications de conformité réglementaire | Déployer l’automatisation des workflows pour la conformité réglementaire Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Il existe deux mises à jour des fonctionnalités de ces stratégies :
- Quand elles sont affectées, leur activation reste appliquée.
- Vous pouvez maintenant personnaliser ces stratégies et mettre à jour les paramètres, même s’ils ont déjà été déployés. Par exemple, vous pouvez ajouter ou modifier une clé d’évaluation.
Prise en main des modèles d’automatisation de flux de travail.
En savoir plus sur la façon d’Automatiser les réponses aux déclencheurs Security Center.
Deux recommandations héritées n’écrivent plus de données directement dans le journal d’activité Azure
Security Center transmet les données de la quasi totalité des recommandations de sécurité à Azure Advisor qui, à son tour, les écrit dans le journal d’activité Azure.
Pour deux recommandations, les données sont écrites simultanément et directement dans le journal d’activité Azure. Avec cette modification, Security Center cesse d’écrire des données pour ces recommandations de sécurité héritées directement dans le journal d’activité. Au lieu de cela, nous exportons les données vers Azure Advisor, comme c’est le cas pour toutes les autres recommandations.
Les deux recommandations héritées sont les suivantes :
- Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines
- Les vulnérabilités de la configuration de sécurité sur vos machines doivent être corrigées
Si vous accédiez à des informations pour ces deux recommandations dans la catégorie « Recommandation de type TaskDiscovery » du journal d’activité, ces informations ne sont plus disponibles.
Améliorations de la page Suggestions
Nous avons publié une version améliorée de la liste des suggestions pour présenter plus d’informations en un clin d’œil.
Sur cette page, vous verrez désormais :
- Score maximal et score actuel pour chaque contrôle de sécurité.
- Icônes remplaçant des balises telles que Correctif et Aperçu.
- Nouvelle colonne montrant l’initiative de stratégie liée à chaque recommandation : visible lorsque « Grouper par contrôles » est désactivé.
Apprenez-en davantage dans Recommandations de sécurité dans Azure Security Center.
Février 2021
Les mises à jour de février sont les suivantes :
- Nouvelle page d’alertes de sécurité dans le portail Azure en disponibilité générale
- Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
- L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
- Lien direct vers la stratégie dans la page des détails de la recommandation
- La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
- Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
- Améliorations de la page d’inventaire des ressources
Nouvelle page d’alertes de sécurité dans le portail Azure en disponibilité générale
La page des alertes de sécurité d’Azure Security Center a été repensée pour fournir les éléments suivants :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Bouton pour créer des exemples d’alerte - pour évaluer les fonctionnalités d’Azure Defender et tester la configuration de vos alertes (pour l’intégration SIEM, les notifications par e-mail et les automatisations de workflow), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender.
- Alignement avec l’expérience d’incident d’Azure Sentinel – pour les clients qui utilisent les deux produits, il est maintenant plus simple de passer de l’un à l’autre et il est facile d’apprendre l’un de l’autre.
- Meilleures performances pour les listes d’alertes volumineuses.
- Navigation au clavier via la liste des alertes.
- Alertes à partir d’Azure Resource Graph – vous pouvez effectuer des requêtes sur des alertes dans Azure Resource Graph, l’API de type Kusto pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Apprenez-en davantage sur Azure Resource Graph.
- Créer une fonctionnalité d’exemples d’alerte - Pour créer des exemples d’alertes à partir de la nouvelle expérience Alertes, consultez Générer des exemples d’alertes Azure Defender.
Les recommandations en matière de protection des charges de travail Kubernetes sont en disponibilité générale
Nous sommes heureux d’annoncer la disponibilité générale de l’ensemble des recommandations prévues pour la protection des charges de travail Kubernetes.
Afin de garantir la sécurisation par défaut des charges de travail Kubernetes, Security Center a ajouté des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Lorsque Azure Policy pour Kubernetes est installé sur votre cluster AKS (Azure Kubernetes Service), toutes les requêtes adressées au serveur d’API Kubernetes sont analysées par rapport à l’ensemble prédéfini de bonnes pratiques (affiché sous la forme de 13 recommandations de sécurité) avant d’être conservées sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Note
Lorsque les recommandations étaient en préversion, elles ne portaient pas atteinte à l’intégrité des ressources de cluster AKS, et n’étaient pas incluses dans les calculs de votre niveau de sécurité. Avec cette annonce en disponibilité générale, celles-ci seront incluses dans le calcul du score. Si vous ne les avez pas encore corrigé, cela peut avoir un léger impact sur votre niveau de sécurité. Mettez-les en place dans la mesure du possible, comme indiqué dans Appliquer les recommandations d’Azure Security Center.
L’intégration de Microsoft Defender pour point de terminaison à Azure Defender prend désormais en charge Windows Server 2019 et Windows 10 sur Windows Virtual Desktop (en préversion)
Microsoft Defender for Endpoint est une solution holistique de sécurité des points de terminaison dans le cloud. Il fournit une gestion et une évaluation des vulnérabilités basées sur les risques ainsi que la détection et la réponse des points de terminaison (EDR). Pour obtenir la liste complète des avantages de l’utilisation de Defender pour point de terminaison avec Azure Security Center, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Security Center : Microsoft Defender pour point de terminaison.
Quand vous activez Azure Defender pour les serveurs sur Windows Server, le plan inclut une licence pour Defender pour point de terminaison. Si vous avez déjà activé Azure Defender pour les serveurs et que vous disposez de serveurs Windows Server 2019 dans votre abonnement, ceux-ci recevront automatiquement Defender pour point de terminaison avec cette mise à jour. Aucune action manuelle n’est nécessaire.
La prise en charge a été étendue de façon à inclure Windows Server 2019 et Windows 10 sur Windows Virtual Desktop.
Note
Si vous activez Defender pour point de terminaison sur un serveur Windows Server 2019, vérifiez que la solution répond aux prérequis décrits dans Activer l’intégration de Microsoft Defender pour point de terminaison.
Lien direct vers la stratégie dans la page des détails de la recommandation
Lorsque vous examinez les détails d’une recommandation, il est souvent utile de pouvoir consulter la stratégie sous-jacente. Pour chaque recommandation prise en charge par une stratégie, il existe un nouveau lien dans la page des détails de la recommandation :
Utilisez ce lien pour afficher la définition de stratégie et passer en revue la logique d’évaluation.
La recommandation de classification des données SQL n’a plus d’incidence sur votre niveau de sécurité
La recommandation Les données sensibles de vos bases de données SQL doivent être classifiées n’a plus d’incidence sur votre niveau de sécurité. Le contrôle de sécurité Appliquer la classification des données qui le contient a maintenant une valeur de score sécurisé de 0.
Pour obtenir la liste complète de tous les contrôles de sécurité, ainsi que leurs scores et une liste des recommandations dans chacun d’eux, consultez les contrôles de sécurité et leurs recommandations.
Les automatisations de workflow peuvent être déclenchées par des modifications apportées aux évaluations de conformité réglementaire (en préversion)
Nous avons ajouté un troisième type de données aux options de déclencheur de vos automatisations de workflow : les modifications apportées aux évaluations de conformité réglementaire.
Découvrez comment utiliser les outils d’automatisation des workflows dans Automatiser les réponses aux déclencheurs Security Center.
Améliorations de la page d’inventaire des ressources
La page d’inventaire des ressources de Security Center a été améliorée :
Les résumés en haut de la page incluent désormais des abonnements non inscrits, affichant le nombre d’abonnements sans Security Center activé.
Des filtres ont été développés et améliorés pour inclure les éléments suivants :
Nombres : chaque filtre présente le nombre de ressources qui répondent aux critères de chaque catégorie
Contient des filtres d’exemptions (facultatif) - limitez les résultats aux ressources qui ont ou non des exemptions. Ce filtre n’est pas affiché par défaut, mais est accessible à partir du bouton Ajouter un filtre .
En savoir plus sur la façon d’Explorer et gérer vos ressources avec l’inventaire des ressources.
Janvier 2021
Les mises à jour de janvier sont les suivantes :
- Le benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center
- L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
- Le degré de sécurisation pour les groupes d’administration est désormais disponible en préversion
- L’API Degré de sécurisation est en disponibilité générale
- Protections DNS non résolues ajoutées à Azure Defender pour App Service
- Les connecteurs multiclouds sont en disponibilité générale (GA)
- Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
- Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
- Ajout de 35 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
- Exportation CSV de la liste filtrée de recommandations
- Ressources « non applicables » désormais signalées comme « Conformes » dans les évaluations Azure Policy
- Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Le benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center
Le Benchmark de sécurité Azure est l’ensemble des directives propres à Azure et créées par Microsoft contenant les bonnes pratiques de sécurité et de conformité basées sur les infrastructures de conformité courantes. Ce benchmark, largement respecté et centré sur le cloud, est basé sur les contrôles du CIS (Center for Internet Security) et du NIST (National Institute of Standards and Technology).
Au cours des derniers mois, la liste des recommandations de sécurité intégrée Security Center a été considérablement allongée en vue d’étendre la couverture de ce benchmark.
À partir de cette version, le benchmark est la base des recommandations de Security Center et entièrement intégré en tant qu’initiative de stratégie par défaut.
La documentation de chacun des services Azure comprend une page consacrée à la base de référence de sécurité. Ces bases de référence s’appuient sur le benchmark de sécurité Azure.
Si vous utilisez le tableau de bord de conformité réglementaire de Security Center, vous verrez deux instances du benchmark pendant une période de transition :
Les recommandations existantes ne sont pas affectées, et les modifications sont automatiquement reflétées dans Security Center à mesure que le benchmark se développe.
Pour en savoir plus, consultez les pages suivantes :
- En savoir plus sur le Benchmark de sécurité Azure
- Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire
L’évaluation des vulnérabilités pour les machines locales et multiclouds est en disponibilité générale (GA)
En octobre, nous avions annoncé la préversion de l’analyse des serveurs Azure Arc à l’aide de l’analyseur d’évaluation des vulnérabilités intégré à Azure Defender pour les serveurs (avec Qualys).
Celle-ci est maintenant en disponibilité générale.
Une fois que vous avez activé Azure Arc sur vos machines non-Azure, Security Center propose de déployer l’analyseur de vulnérabilité intégré dessus, manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance d’Azure Defender pour les serveurs afin de consolider votre programme de gestion des vulnérabilités dans l’ensemble de vos ressources Azure et non-Azure.
Fonctionnalités principales :
- Supervision de l’état de provisionnement de l’analyseur d’évaluation des vulnérabilités sur les machines Azure Arc
- Provisionnement de l’agent d’évaluation des vulnérabilités intégré sur des machines Windows Azure Arc Windows et Linux non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et Azure Arc
Découvrez-en plus sur les serveurs Azure Arc.
Le degré de sécurisation pour les groupes d’administration est maintenant disponible en préversion
La page Degré de sécurisation affiche désormais les degrés de sécurisation agrégés de vos groupes d’administration, en plus du niveau d’abonnement. Vous pouvez maintenant voir la liste des groupes d’administration de votre organisation, ainsi que le degré de sécurisation de chaque groupe d’administration.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
L’API Degré de sécurisation est en disponibilité générale
Vous pouvez désormais accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation. Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple:
- utiliser l’API Scores sécurisés pour obtenir le score d’un abonnement spécifique
- Utiliser l’API Contrôles du niveau de sécurité pour lister les contrôles de sécurité et le niveau actuel de vos abonnements.
Découvrez des outils externes accessibles avec l’API Niveau de sécurité dans la zone consacrée au niveau de sécurité de notre communauté GitHub.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
Protections DNS non résolues ajoutées à Azure Defender pour App Service
La prise de contrôle des sous-domaines constitue une menace grave et courante pour les organisations. Une prise de contrôle de sous-domaine peut se produire quand un enregistrement DNS pointe vers un site web déprovisionné. Ces enregistrements DNS sont également appelés entrées « DNS non résolues ». Les enregistrements CNAME sont particulièrement vulnérables à cette menace.
Les prises de contrôle des sous-domaines permettent aux acteurs de menace de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante.
Azure Defender pour App Service détecte désormais les entrées DNS non résolues lorsqu’un site web App Service est désactivé. C’est à ce moment-là que l’entrée DNS pointe vers une ressource qui n’existe pas et que votre site web devient vulnérable à la prise de contrôle de sous-domaine. Ces protections sont disponibles pour les domaines gérés par Azure DNS et pour ceux gérés par un bureau d’enregistrement de domaines externes. En outre, elles s’appliquent aussi bien à App Service sur Windows qu’à App Service sur Linux.
Pour en savoir plus:
- Table de référence des alertes App Service : comprend deux nouvelles alertes Azure Defender qui se déclenchent lorsqu’une entrée DNS non résolue est détectée
- Empêcher les entrées DNS non résolues et la prise de contrôle des sous-domaines : découvrez la menace que constitue la prise de sous-domaine et les entrées DNS non résolues
- Présentation d’Azure Defender pour App Service
Les connecteurs multiclouds sont en disponibilité générale (GA)
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Lorsque vous connectez vos projets AWS ou GCP, leurs outils de sécurité natifs comme AWS Security Hub ou GCP Security Command Center sont intégrés à Azure Security Center.
Cette fonctionnalité Security Center fournit une visibilité et une protection pour l’ensemble des environnements cloud principaux. Voici quelques-uns des avantages de cette intégration :
- Provisionnement automatique des agents - Security Center utilise Azure Arc pour déployer l’agent Log Analytics sur vos instances AWS
- Gestion des stratégies
- Gestion des vulnérabilités
- Détection de point de terminaison et réponse incorporée (EDR)
- Détection des erreurs de configuration de sécurité
- Vue montrant les recommandations de sécurité de tous les fournisseurs de cloud
- Incorporer toutes vos ressources dans les calculs du degré de sécurisation de Security Center
- Évaluations de conformité réglementaire de vos ressources AWS et GCP
Dans le menu de Defender pour cloud, sélectionnez connecteurs multiclouds et vous verrez les options de création de nouveaux connecteurs :
Pour en savoir plus :
Exempter des recommandations entières de votre degré de sécurisation pour les abonnements et les groupes d’administration
Nous sommes en train d’étendre la fonctionnalité d’exemption afin de pouvoir y inclure des recommandations entières. Pour cela, nous ajoutons des options permettant d’affiner les recommandations de sécurité que Security Center fournit concernant vos abonnements, vos groupes d’administration ou vos ressources.
Il arrive parfois qu’une ressource soit signalée comme non saine alors que le problème est résolu par un outil tiers, ce que Security Center n’a pas détecté. D’autres fois, il arrive qu’une recommandation s’affiche dans une étendue à laquelle elle n’est pas censée appartenir. La recommandation peut ne pas convenir à un abonnement. Ou encore, il est possible que votre organisation ait décidé d’accepter les risques liés à une ressource ou à une recommandation précise.
Avec cette fonctionnalité en préversion, vous pouvez désormais créer une exemption pour une recommandation dans les buts suivants :
Exempter une ressource pour qu’elle ne soit plus listée parmi les ressources non saines et n’impacte pas votre degré de sécurisation. La ressource sera listée comme non applicable, avec le motif « exemptée » et la justification de votre choix.
Exempter un abonnement ou un groupe d’administration pour que la recommandation n’impacte pas votre degré de sécurisation et ne s’affiche plus pour l’abonnement ou le groupe d’administration. Cela concerne les ressources existantes et futures. La recommandation sera signalée avec la justification que vous avez choisie pour l’étendue sélectionnée.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les utilisateurs peuvent désormais faire une demande de visibilité à l’échelle du locataire auprès de leur administrateur général
Si un utilisateur ne dispose pas des autorisations pour voir les données Security Center, il verra un lien lui permettant de demander des autorisations à l’administrateur général de son organisation. Sa demande doit comprendre le rôle dont il souhaite les autorisations, ainsi que la raison pour laquelle il en a besoin.
Pour plus d’informations, consultez Demander des autorisations à l’échelle du locataire quand les vôtres sont insuffisantes.
Ajout de 35 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
Le Benchmark de sécurité Azure est désormais l’initiative de stratégie par défaut d’Azure Security Center.
Pour étendre la couverture de ce benchmark, les 35 recommandations suivantes (en préversion) ont été ajoutées à Security Center.
Tip
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
| Contrôle de sécurité | Nouvelles recommandations |
|---|---|
| Activer le chiffrement des données au repos | - Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK) - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs MySQL - La protection des données BYOK (Bring Your Own Key) doit être activée pour les serveurs PostgreSQL – Les comptes Azure AI services doivent activer le chiffrement des données avec une clé gérée par le client (CMK) - Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK) - Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos - Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement |
| Implémenter les bonnes pratiques de sécurité | - Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité - L’approvisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement - La notification par e-mail pour les alertes à gravité élevée doit être activée - La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée - La protection contre la suppression définitive doit être activée sur les coffres de clés - La suppression réversible doit être activée sur les coffres de clés |
| Gérer l’accès et les autorisations | - Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée |
| Protéger les applications contre les attaques DDoS | - Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway - Web Application Firewall (WAF) doit être activé pour le service Azure Front Door Service) |
| Restreindre l’accès réseau non autorisé | - Le pare-feu doit être activé sur Key Vault - Le point de terminaison privé doit être configuré pour Key Vault - App Configuration doit utiliser une liaison privée - Azure Cache pour Redis doit se trouver dans un réseau virtuel - Les domaines Azure Event Grid doivent utiliser une liaison privée - Les rubriques Azure Event Grid doivent utiliser une liaison privée - Les espaces de travail Azure Machine Learning doivent utiliser une liaison privée - Azure SignalR Service doit utiliser une liaison privée - Azure Spring Cloud doit utiliser l’injection de réseau - Les registres de conteneurs ne doivent pas autoriser un accès réseau sans restriction - Les registres de conteneurs doivent utiliser une liaison privée - L’accès au réseau public doit être désactivé pour les serveurs MariaDB - L’accès au réseau public doit être désactivé pour les serveurs MySQL - L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL - Le compte de stockage doit utiliser une connexion de liaison privée - Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau - Les modèles VM Image Builder doivent utiliser une liaison privée |
Liens connexes :
- En savoir plus sur le Benchmark de sécurité Azure
- En savoir plus sur Azure Database for MariaDB
- En savoir plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Exportation CSV de la liste filtrée de recommandations
En novembre 2020, nous avons ajouté des filtres à la page recommandations.
Avec cette annonce, nous changeons le comportement du bouton Télécharger au format CSV afin que l’exportation CSV inclue uniquement les recommandations actuellement affichées dans la liste filtrée.
Par exemple, dans l’image ci-dessous vous pouvez constater que la liste est filtrée sur deux recommandations. Le fichier CSV généré comprend les détails de l’état de chaque ressource affectée par ces deux recommandations.
Apprenez-en davantage dans Recommandations de sécurité dans Azure Security Center.
Ressources « non applicables » désormais signalées comme « Conformes » dans les évaluations Azure Policy
Auparavant, les ressources évaluées pour une recommandation et qui n’étaient pas applicables dans Azure Policy étaient « non conformes ». Aucune action de l’utilisateur ne pouvait les faire passer à l’état « Conforme ». Depuis ce changement, ces ressources s’affichent comme étant « Conformes » par souci de clarté.
La seule incidence sera observée dans Azure Policy, où le nombre de ressources compatibles augmentera. Il n’y aura aucune incidence sur votre degré de sécurisation dans Azure Security Center.
Exporter des captures instantanées hebdomadaires de données sur le niveau de sécurité et la conformité réglementaire avec l’exportation continue (préversion)
Nous avons ajouté une nouvelle fonctionnalité de préversion aux outils d’exportation continue pour exporter des instantanés hebdomadaires de données de niveau de sécurité et de conformité réglementaire.
Quand vous définissez une exportation continue, définissez la fréquence d’exportation :
- Streaming : les évaluations sont envoyées lorsque l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour ne se produit, aucune donnée n’est envoyée).
- Captures instantanées : un instantané de l’état actuel de toutes les évaluations de conformité réglementaire sera envoyé chaque semaine (il s’agit d’une fonctionnalité en préversion pour les instantanés hebdomadaires des scores sécurisés et des données de conformité réglementaire).
Pour plus d’informations sur toutes les possibilités de cette fonctionnalité, consultez Exporter en continu des données Security Center.
Décembre 2020
Les mises à jour en décembre sont les suivantes :
- Azure Defender pour les serveurs SQL sur les machines est en disponibilité générale
- La prise en charge par Azure Defender pour SQL de pool SQL dédié Azure Synapse Analytics est en disponibilité générale
- Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
- Deux nouveaux plans Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
- Nouvelle page des alertes de sécurité dans le portail Azure (préversion)
- Expérience Security Center relancée dans Azure SQL Database et SQL Managed Instance
- Outils et filtres d’inventaire des ressources mis à jour
- Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
- La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
- L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
Azure Defender pour les serveurs SQL sur les machines est en disponibilité générale
Azure Security Center propose deux plans Azure Defender pour les serveurs SQL :
- Azure Defender pour serveurs de base de données Azure SQL : défend vos serveurs Azure SQL natifs
- Azure Defender pour serveurs SQL sur des machines : étend les mêmes protections à vos serveurs SQL dans des environnements hybrides, multiclouds et locaux.
Avec cette annonce, Azure Defender pour SQL protège désormais vos bases de données et leurs données où qu’elles se trouvent.
Azure Defender pour SQL comprend les fonctionnalités d’évaluation des vulnérabilités. L’outil d’évaluation des vulnérabilités comprend les fonctionnalités avancées suivantes :
- Configuration de la base de référence (Nouveau !) pour affiner intelligemment les résultats des analyses de vulnérabilité à ceux qui peuvent représenter des problèmes de sécurité réels. Une fois que vous avez établi votre état de sécurité de base de référence, l’outil d’évaluation des vulnérabilités signale uniquement les écarts par rapport à cet état de base de référence. Les résultats correspondant à la base de référence sont considérés comme corrects lors des analyses ultérieures. Cela vous permet, à vous et à vos analystes, de concentrer votre attention sur ce qui est le plus important.
- Informations de référence détaillées pour vous aider à comprendre les résultats découverts et en quoi ils concernent vos ressources.
- Scripts de correction pour vous aider à atténuer les risques identifiés.
En savoir plus sur Azure Defender pour SQL.
La prise en charge par Azure Defender pour SQL de pool SQL dédié Azure Synapse Analytics est en disponibilité générale
Azure Synapse Analytics (anciennement SQL DW) est un service d’analytique qui combine l’entreposage des données d’entreprise et l’analytique de Big Data. Les pools SQL dédiés sont les fonctionnalités d’entreposage de données d’entreprise d’Azure Synapse. Apprenez-en davantage dans Qu’est-ce qu’Azure Synapse Analytics (anciennement SQL DW) ?.
Azure Defender pour SQL protège vos pools SQL dédiés avec :
- Protection avancée contre les menaces pour détecter les menaces et les attaques
- Fonctionnalités d’évaluation des vulnérabilités pour identifier et corriger les problèmes de configuration de la sécurité
La prise en charge par Azure Defender pour SQL des pools SQL dédiés Azure Synapse Analytics est ajoutée automatiquement au bundle de bases de données Azure SQL dans Azure Security Center. Il existe un nouvel onglet Azure Defender pour SQL dans votre page d’espace de travail Synapse dans le Portail Azure.
En savoir plus sur Azure Defender pour SQL.
Les administrateurs généraux peuvent désormais s’accorder des autorisations de niveau locataire
Un utilisateur disposant du rôle Azure Active Directory de l’administrateur général peut avoir des responsabilités à l’échelle du locataire, mais il n’a pas les autorisations Azure nécessaires pour afficher ces informations à l’échelle de l’organisation dans Azure Security Center.
Pour vous attribuer des autorisations de niveau locataire, suivez les instructions fournies dans S’accorder des autorisations à l’échelle du locataire.
Deux nouveaux plans Azure Defender : Azure Defender pour DNS et Azure Defender pour Resource Manager (en préversion)
Nous avons ajouté deux nouvelles fonctionnalités de protection étendue natives cloud contre les menaces pour votre environnement Azure.
Ces nouvelles protections améliorent nettement votre résilience face aux attaques des acteurs des menaces et accroissent considérablement le nombre de ressources Azure protégées par Azure Defender.
Azure Defender pour Ressource Manager – Supervise automatiquement toutes les opérations de gestion de ressources effectuées dans votre organisation. Pour plus d'informations, consultez les pages suivantes :
Azure Defender pour DNS – Supervise en continu toutes les requêtes DNS émanant de vos ressources Azure. Pour plus d'informations, consultez les pages suivantes :
Nouvelle page des alertes de sécurité dans le portail Azure (préversion)
La page des alertes de sécurité d’Azure Security Center a été repensée pour fournir les éléments suivants :
- Expérience de triage améliorée des alertes – favorise la réduction d’un trop grand nombre d’alertes et permet de se concentrer plus facilement sur les menaces les plus pertinentes. La liste comprend des filtres personnalisables et des options de regroupement.
- Plus d’informations dans la liste des alertes – telles que les tactiques MITRE ATT&ACK.
- Bouton permettant de créer des exemples d’alertes – pour évaluer les fonctionnalités Azure Defender et tester la configuration de vos alertes (pour l’intégration SIEM, les notifications par e-mail et les automatisations de workflow), vous pouvez créer des exemples d’alertes à partir de tous les plans Azure Defender.
- Alignement avec l’expérience d’incident d’Azure Sentinel – pour les clients qui utilisent les deux produits, le basculement entre eux est désormais une expérience plus simple et il est aisé d’apprendre l’un de l’autre.
- Meilleures performances pour les listes d’alertes volumineuses
- Navigation au clavier via la liste des alertes
- Alertes à partir d’Azure Resource Graph – vous pouvez effectuer des requêtes sur des alertes dans Azure Resource Graph, l’API de type Kusto pour toutes vos ressources. Cela est également utile si vous créez vos propres tableaux de bord d’alertes. Apprenez-en davantage sur Azure Resource Graph.
Pour accéder à la nouvelle expérience, utilisez le lien « Essayer maintenant » dans la bannière en haut de la page des alertes de sécurité.
Pour créer des exemples d’alertes à partir de la nouvelle expérience Alertes, consultez Générer des exemples d’alertes Azure Defender.
Expérience Security Center relancée dans Azure SQL Database et SQL Managed Instance
L’expérience Security Center dans SQL permet d’accéder aux fonctionnalités Security Center et Azure Defender pour SQL suivantes :
- Recommandations de sécurité : Security Center analyse régulièrement l’état de sécurité de toutes les ressources Azure connectées afin d’identifier les configurations incorrectes de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités et d’améliorer la posture de sécurité des organisations.
- Alertes de sécurité : service de détection qui surveille en permanence les activités Azure SQL pour détecter les menaces telles que l’injection SQL, les attaques par force brute et les abus de privilèges. Ce service déclenche des alertes de sécurité détaillées et orientées action dans Security Center et fournit des options pour poursuivre les enquêtes avec Microsoft Sentinel, la solution SIEM native De Microsoft.
- Résultats : un service d’évaluation des vulnérabilités qui surveille en permanence les configurations Azure SQL et aide à corriger les vulnérabilités. Les analyses d’évaluation fournissent une vue d’ensemble des états de sécurité Azure SQL ainsi que des résultats de sécurité détaillés.
Outils et filtres d’inventaire des ressources mis à jour
La page d’inventaire dans Azure Security Center a été actualisée avec les modifications suivantes :
Guides et commentaires ajoutés à la barre d’outils. Un volet contenant des liens vers des informations et des outils connexes s’ouvre.
Filtre d’abonnements ajouté aux filtres par défaut disponibles pour vos ressources.
Ouvrez le lien de requête pour ouvrir les options de filtre actuelles en tant que requête Azure Resource Graph (anciennement appelée « Affichage dans l’Explorateur de graphiques de ressources »).
Options d’opérateur pour chaque filtre. Vous pouvez désormais choisir un autre opérateur logique que « = ». Par exemple, vous souhaiterez peut-être rechercher toutes les ressources avec des recommandations actives dont les titres incluent la chaîne « chiffrer ».
Apprenez-en davantage sur l’inventaire dans Explorer et gérer vos ressources avec l’inventaire des ressources.
Recommandation sur les applications web demandant des certificats SSL ne faisant plus partie du degré de sécurisation
La recommandation « Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes » a été déplacée du contrôle de sécurité Gérer l’accès et les autorisations (valeur de 4 points au maximum) dans Implémenter les bonnes pratiques de sécurité (qui ne vaut aucun point).
La garantie qu’une application web demande un certificat renforce certainement sa sécurité. Toutefois, ce n’est pas pertinent pour les applications web publiques. si vous accédez à votre site sur HTTP et non HTTPS, vous ne recevez pas de certificat client. Ainsi, si votre application nécessite des certificats clients, vous ne devez pas autoriser les requêtes adressées à votre application via HTTP. Pour en savoir plus, consultez Configurer l’authentification mutuelle TLS pour Azure App Service.
Avec ce changement, la recommandation est désormais une bonne pratique qui n’impacte pas votre degré de sécurisation.
Découvrez les recommandations de chaque contrôle de sécurité dans Contrôles de sécurité et leurs recommandations.
La page Recommandations contient de nouveaux filtres pour l’environnement, la gravité et les réponses disponibles
Azure Security Center supervise toutes les ressources connectées et génère des recommandations de sécurité. Utilisez ces recommandations pour renforcer l’état de votre cloud hybride et effectuer le suivi de la conformité aux stratégies et normes pertinentes pour vos organisation, secteur d’activité et pays/région.
Comme Security Center continue d’étendre sa couverture et de développer ses fonctionnalités, la liste des recommandations de sécurité augmente chaque mois. Par exemple, consultez Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure.
Avec cette liste qui ne cesse de s’allonger, un filtrage des recommandations est nécessaire pour trouver celles qui présentent le plus grand intérêt. En novembre, nous avons ajouté des filtres à la page Recommandations (consultez La liste des recommandations comprend désormais des filtres).
Les filtres ajoutés ce mois-ci fournissent des options pour affiner la liste des recommandations en fonction des éléments suivants :
Environnement : affichez des recommandations pour vos ressources AWS, GCP ou Azure (ou toute combinaison)
Gravité : afficher les recommandations en fonction de la classification de gravité définie par Security Center
Actions de réponse - Afficher les recommandations en fonction de la disponibilité des options de réponse security Center : Corriger, Refuser et Appliquer
Tip
Le filtre d’actions de réponse remplace le filtre Correctif rapide disponible (Oui/Non) .
Apprenez-en davantage sur chacune de ces options de réponse :
L’exportation continue permet d’obtenir de nouveaux types de données et des stratégies deployifnotexist améliorées
Les outils d’exportation continue d’Azure Security Center vous permettent d’exporter les recommandations et alertes de Security Center en vue de les utiliser avec d’autres outils de supervision dans votre environnement.
L’exportation continue vous permet de personnaliser entièrement ce qui sera exporté et où cela sera exporté. Pour plus d’informations, consultez Exporter en continu des données Security Center.
Ces outils ont été améliorés et développés de différentes manières :
Amélioration des stratégies deployifnotexist de l’exportation continue. À présent, les stratégies :
Vérifient si la configuration est activée. Si ce n’est pas le cas, la stratégie s’affiche comme non conforme et crée une ressource conforme. Découvrez les modèles Azure Policy fournis sous l’onglet « Déployer à grande échelle avec Azure Policy » dans Configurer une exportation continue.
Prennent en charge l’exportation des résultats de sécurité. Quand vous utilisez les modèles Azure Policy, vous pouvez configurer votre exportation continue pour inclure les résultats. Cela s’applique lorsque vous exportez des recommandations avec des « sous-recommandations », telles que les résultats des analyseurs d’évaluation des vulnérabilités ou des mises à jour système spécifiques pour la recommandation « parent », « Des mises à jour système doivent être installées sur vos machines ».
Prennent en charge l’exportation des données du degré de sécurisation.
Ajout de données d’évaluation de conformité réglementaire (en préversion). Vous pouvez désormais exporter en continu des mises à jour pour des évaluations de conformité réglementaire, notamment pour des initiatives personnalisées, vers un espace de travail Log Analytics ou Event Hubs. Cette fonctionnalité n’est pas disponible sur les clouds nationaux.
Novembre 2020
Les mises à jour en novembre sont les suivantes :
- Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
- Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
- La liste des recommandations comprend désormais des filtres
- Amélioration et développement de l’expérience de provisionnement automatique
- Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
- La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
- La page Gestion des stratégies du portail Azure affiche maintenant l’état des affectations de stratégie par défaut
Ajout de 29 recommandations (préversion) pour mieux détailler le benchmark de sécurité Azure
Le Benchmark de sécurité Azure constitue l’ensemble des directives propres à Azure et créées par Microsoft, qui contient les bonnes pratiques de sécurité et de conformité s’inscrivant dans les cadres de conformité courants. En savoir plus sur le Benchmark de sécurité Azure.
Les 29 recommandations suivantes (préversion) ont été ajoutées à Security Center pour mieux détailler ce benchmark.
Les recommandations en préversion ne rendent pas une ressource non saine et ne sont pas incluses dans les calculs de votre degré de sécurisation. Corrigez-les là où c’est possible, de sorte que quand la période de préversion se termine, elles soient prises en compte dans le calcul de votre degré de sécurisation. Découvrez comment répondre à ces recommandations dans Corriger les recommandations dans Azure Security Center.
| Contrôle de sécurité | Nouvelles recommandations |
|---|---|
| Chiffrer les données en transit | - L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL - L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL - TLS doit être mis à jour vers la dernière version pour votre application API - TLS doit être mis à jour vers la dernière version pour votre application de fonction - TLS doit être mis à jour vers la dernière version pour votre application web - FTPS doit être exigé dans votre application API - FTPS doit être exigé dans votre application de fonction - FTPS doit être exigé dans votre application web |
| Gérer l’accès et les autorisations | - Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes - Une identité managée doit être utilisée dans votre application API - Une identité managée doit être utilisée dans votre application de fonction - Une identité managée doit être utilisée dans votre application web |
| Restreindre l’accès réseau non autorisé | - Le point de terminaison privé doit être activé pour les serveurs PostgreSQL - Le point de terminaison privé doit être activé pour les serveurs MariaDB - Le point de terminaison privé doit être activé pour les serveurs MySQL |
| Activer l’audit et la journalisation | - Les journaux de diagnostic d’App Services doivent être activés |
| Implémenter les bonnes pratiques de sécurité | - La Sauvegarde Azure doit être activée pour les machines virtuelles - La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB - La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL - La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL - PHP doit être mis à jour vers la dernière version pour votre application API - PHP doit être mis à jour vers la dernière version pour votre application web - Java doit être mis à jour vers la dernière version pour votre application API - Java doit être mis à jour vers la dernière version pour votre application de fonction - Java doit être mis à jour vers la dernière version pour votre application web - Python doit être mis à jour vers la dernière version pour votre application API - Python doit être mis à jour vers la dernière version pour votre application de fonction - Python doit être mis à jour vers la dernière version pour votre application web - La conservation des audits pour les serveurs SQL Server doit être définie sur au moins 90 jours |
Liens connexes :
- En savoir plus sur le Benchmark de sécurité Azure
- En savoir plus sur les applications API Azure
- En savoir plus sur les applications de fonction Azure
- En savoir plus sur les applications web Azure
- En savoir plus sur Azure Database for MariaDB
- En savoir plus sur Azure Database pour MySQL
- En savoir plus sur Azure Database pour PostgreSQL
Ajout de NIST SP 800 171 R2 au tableau de bord de conformité réglementaire Security Center
Le standard NIST SP 800-171 R2 est désormais disponible sous la forme d’une initiative intégrée à utiliser avec le tableau de bord de conformité réglementaire Azure Security Center. Les mappages des contrôles sont décrits dans Détails de l’initiative intégrée de conformité réglementaire NIST SP 800-171 R2.
Pour appliquer le standard à vos abonnements et superviser votre état de conformité en permanence, suivez les instructions fournies dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
La liste des recommandations comprend désormais des filtres
Vous pouvez maintenant filtrer la liste des recommandations de sécurité en fonction d’une plage de critères. Dans l’exemple suivant, la liste des recommandations est filtrée pour afficher celles qui :
- sont généralement disponibles (c’est-à-dire, pas en préversion)
- sont pour les comptes de stockage
- Prise en charge de la correction rapide des correctifs
Amélioration et développement de l’expérience de provisionnement automatique
La fonctionnalité de provisionnement automatique permet de réduire la surcharge de gestion en installant les extensions requises sur les machines virtuelles Azure nouvelles et existantes, afin qu’elles puissent tirer parti des protections de Security Center.
À mesure qu’Azure Security Center se développe, davantage d’extensions ont été développées et Security Center peut superviser une liste plus importante de types de ressources. Les outils de provisionnement automatique ont été développés pour prendre en charge d’autres extensions et types de ressources en tirant parti des fonctionnalités d’Azure Policy.
Vous pouvez maintenant configurer le provisionnement automatique des éléments suivants :
- Agent Log Analytics
- (Nouveau) Azure Policy pour Kubernetes
- (Nouveau) Microsoft Dependency Agent
Pour en savoir plus, consultez Provisionnement automatique d’agents et d’extensions à partir d’Azure Security Center.
Le score sécurisé est désormais disponible dans l’exportation continue (préversion)
Avec l’exportation continue du score sécurisé, vous pouvez diffuser en streaming les modifications apportées à votre score en temps réel vers Azure Event Hubs ou un espace de travail Log Analytics. Utilisez cette fonctionnalité pour :
- effectuer le suivi de votre score sécurisé au fur et à mesure avec des rapports dynamiques
- exporter des données de score sécurisé vers Microsoft Sentinel (ou toute autre solution SIEM)
- intégrer ces données à tous les processus que vous utilisez peut-être déjà pour surveiller le score sécurisé dans votre organisation
Apprenez-en plus sur la façon d’exporter en continu des données Security Center.
La recommandation « Les mises à jour système doivent être installées sur vos machines » inclut désormais des sous-recommandations
La recommandation Les mises à jour système doivent être installées sur vos machines a été améliorée. La nouvelle version inclut des sous-recommandations pour chaque mise à jour manquante et apporte les améliorations suivantes :
Une expérience repensée dans les pages Azure Security Center du portail Azure. La page Détails de la recommandation pour Les mises à jour système doivent être installées sur vos machines comprend la liste des résultats, comme illustré ci-dessous. Lorsque vous sélectionnez une recherche unique, le volet d’informations s’ouvre avec un lien vers des informations de correction et une liste de ressources affectées.
Des données enrichies pour la recommandation provenant d’Azure Resource Graph (ARG). ARG est un service Azure conçu pour fournir une exploration efficace des ressources. Vous pouvez utiliser ARG pour effectuer une requête à grande échelle sur un ensemble d’abonnements donné, et ainsi gérer de façon optimale votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le langage de requête Kusto (KQL) pour interroger un large éventail de données relatives à la posture de sécurité.
Avant, si vous interrogiez cette recommandation dans ARG, les seules informations disponibles étaient que la recommandation devait être corrigée sur une machine. La requête suivante de la version améliorée retournera toutes les mises à jour système manquantes, regroupées par machine.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
La page Gestion des stratégies du portail Azure affiche maintenant l’état des affectations de stratégie par défaut
Vous pouvez maintenant voir si vos abonnements ont la stratégie Security Center par défaut affectée, dans la page de stratégie de sécurité de Security Center du portail Azure.
Octobre 2020
Les mises à jour d’octobre sont les suivantes :
- Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
- Ajout d’une recommandation concernant le pare-feu Azure (préversion)
- Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
- Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
- Table Microsoft.Security/securityStatuses supprimée d’Azure Resource Graph
Évaluation des vulnérabilités pour les machines locales et multicloud (préversion)
L’analyseur d’évaluation des vulnérabilités intégré d’Azure Defender pour les serveurs (avec Qualys) analyse désormais les serveurs Azure Arc.
Une fois que vous avez activé Azure Arc sur vos machines non-Azure, Security Center propose de déployer l’analyseur de vulnérabilité intégré dessus, manuellement et à grande échelle.
Avec cette mise à jour, vous pouvez libérer la puissance d’Azure Defender pour les serveurs afin de consolider votre programme de gestion des vulnérabilités dans l’ensemble de vos ressources Azure et non-Azure.
Fonctionnalités principales :
- Supervision de l’état de provisionnement de l’analyseur d’évaluation des vulnérabilités sur les machines Azure Arc
- Provisionnement de l’agent d’évaluation des vulnérabilités intégré sur des machines Windows Azure Arc Windows et Linux non protégées (manuellement et à grande échelle)
- Réception et analyse des vulnérabilités détectées par les agents déployés (manuellement et à grande échelle)
- Expérience unifiée pour les machines virtuelles Azure et Azure Arc
Découvrez-en plus sur les serveurs Azure Arc.
Ajout d’une recommandation concernant le pare-feu Azure (préversion)
Une nouvelle recommandation a été ajoutée pour protéger tous vos réseaux virtuels à l’aide du pare-feu Azure.
La recommandation Les réseaux virtuels doivent être protégés par le pare-feu Azure vous conseille de limiter l’accès à vos réseaux virtuels et d’éviter les menaces potentielles à l’aide du pare-feu Azure.
En savoir plus sur le Pare-feu Azure.
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes - Recommandation mise à jour avec correctif rapide
La recommandation Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes a maintenant une option de correctif rapide.
Le tableau de bord de conformité réglementaire comprend désormais une option de suppression des normes
Le tableau de bord de conformité réglementaire fournit des insights sur votre posture de conformité d’après la façon dont vous répondez à des exigences et contrôles de conformité spécifiques.
Le tableau de bord comprend un ensemble de normes réglementaires par défaut. Si certaines des normes fournies ne sont pas pertinentes pour votre organisation, il est désormais facile de les supprimer de l’interface utilisateur d’un abonnement. Les normes ne peuvent être supprimées qu’au niveau de l’abonnement ; pas l’étendue du groupe d’administration.
Pour plus d’informations, consultez Supprimer une norme de votre tableau de bord.
Suppression de la table Microsoft.Security/securityStatuses d’Azure Resource Graph (ARG)
Azure Resource Graph est un service d’Azure conçu pour fournir une exploration efficace des ressources avec la possibilité de lancer des requêtes à grande échelle sur un ensemble donné d’abonnements pour vous permettre d’optimiser la gestion de votre environnement.
Pour Azure Security Center, vous pouvez utiliser ARG et le langage de requête Kusto (KQL) pour interroger un large éventail de données relatives à la posture de sécurité. Par exemple:
- L’inventaire des ressources utilise ARG
- Nous avons documenté un exemple de requête ARG pour savoir comment identifier les comptes sans authentification multifacteur (MFA) activée
Dans ARG, il existe des tables de données que vous pouvez utiliser dans vos requêtes.
Tip
La documentation ARG liste toutes les tables disponibles dans Informations de référence sur les types de ressource et les tables Azure Resource Graph.
À partir de cette mise à jour, la table Microsoft.Security/securityStatuses a été supprimée. L’API securityStatuses est toujours disponible.
Le remplacement de données peut être utilisé par la table Microsoft.Security/Assessments.
La principale différence entre Microsoft.Security/securityStatuses et Microsoft.Security/Assessments est que la première montre l’agrégation des évaluations tandis que la deuxième contient un enregistrement unique pour chacune d’entre elles.
Par exemple, Microsoft. Microsoft.Security/securityStatuses retourne un résultat avec un tableau de deux valeurs policyAssessments :
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Tandis que Microsoft.Security/Assessments contient un enregistrement pour chaque évaluation de stratégie de ce type, comme suit :
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemple de conversion d’une requête ARG existante à l’aide de securityStatuses pour utiliser à présent la table des évaluations (Assessments) :
Requête qui référence securityStatuses :
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Requête de remplacement pour la table Assessments :
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Pour en savoir plus, consultez les liens suivants :
- Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph
- Langage de requête Kusto (KQL)
Septembre 2020
Les mises à jour en septembre sont les suivantes :
- Security Center fait peau neuve !
- Publication d’Azure Defender
- Azure Defender pour Key Vault est mis à la disposition générale
- Azure Defender pour la protection du stockage des fichiers et d’ADLS Gen2 est mis à la disposition générale
- Les outils d’inventaire des ressources sont désormais mis à la disposition générale
- Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
- Exempter une ressource d’une recommandation
- Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
- Bundle Kubernetes de recommandations sur la protection des charges de travail
- Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
- Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
- Recommandations de groupe de sécurité réseau améliorées
- Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
- Notifications par e-mail améliorées dans Azure Security Center
- Le degré de sécurisation n’inclut pas de recommandations sur la préversion
- Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
Security Center fait peau neuve
Nous avons publié une interface utilisateur actualisée pour les pages du portail de Security Center. Les nouvelles pages incluent une page de vue d’ensemble inédite et des tableaux de bord pour le niveau de sécurité, l’inventaire des ressources et Azure Defender.
La page vue d’ensemble repensée présente désormais une vignette permettant d’accéder aux tableaux de bord du degré de sécurisation, de l’inventaire des ressources et d’Azure Defender. Elle comporte également une vignette qui renvoie au tableau de bord de conformité réglementaire.
En savoir plus sur la page vue d’ensemble.
Publication d’Azure Defender
Azure Defender est la plateforme de protection des charges de travail cloud (CWPP) intégrée à Security Center pour une protection avancée, intelligente et intelligente de vos charges de travail Azure et hybrides. Elle remplace l’option de niveau tarifaire standard de Security Center.
Lorsque vous activez Azure Defender à partir de la zone Tarification et paramètres d’Azure Security Center, les plans Defender suivants sont tous activés simultanément et fournissent des défenses complètes pour les couches de calcul, de données et de service de votre environnement :
- Azure Defender pour les serveurs
- Azure Defender pour App Service
- Azure Defender pour Stockage
- Azure Defender pour SQL
- Azure Defender pour Key Vault
- Azure Defender pour Kubernetes
- Azure Defender pour les registres de conteneurs
Chacun de ces plans est expliqué séparément dans la documentation relative à Security Center.
Avec ses tableaux de bord dédiés, Azure Defender propose des alertes de sécurité ainsi que la protection avancée contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, votre réseau, et bien plus encore.
En savoir plus sur Azure Defender
Azure Defender pour Key Vault est mis à la disposition générale
Azure Key Vault est un service cloud qui protège les clés et secrets de chiffrement comme les certificats, chaînes de connexion et mots de passe.
Azure Defender pour Key Vault fournit une protection native Azure avancée contre les menaces pour Azure Key Vault, apportant une couche supplémentaire de renseignements de sécurité. Par extension, Azure Defender pour Key Vault protège de nombreuses ressources dépendantes de vos comptes de Key Vault.
Le plan facultatif est désormais en disponibilité générale. Dans la préversion, cette fonctionnalité s’appelait « protection avancée contre les menaces pour Azure Key Vault ».
En outre, les pages Key Vault du portail Azure incluent désormais une page de sécurité dédiée pour les recommandations et alertes security Center .
Consultez Azure Defender pour Key Vault pour en savoir plus.
Azure Defender pour la protection du stockage des fichiers et d’ADLS Gen2 est mis à la disposition générale
Azure Defender pour Stockage détecte les activités potentiellement dangereuses sur vos comptes de stockage Azure. Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
La prise en charge d’Azure Files et d’Azure Data Lake Storage Gen2 est désormais en disponibilité générale.
À partir du 1er octobre 2020, nous commencerons à facturer la protection des ressources présentes dans ces services.
Consultez Azure Defender pour Stockage pour en savoir plus.
Les outils d’inventaire des ressources sont désormais mis à la disposition générale
La page d’inventaire des ressources d’Azure Security Center fournit une page unique pour visualiser la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse périodiquement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités.
Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Pour en savoir plus, consultez Explorer et gérer vos ressources avec l’inventaire des ressources.
Désactiver le résultat d’une vulnérabilité précise pour les images de registres de conteneurs et les machines virtuelles
Azure Defender comprend des analyseurs de vulnérabilités pour examiner les images dans votre Azure Container Registry et vos machines virtuelles.
Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.
Lorsqu’un résultat correspondra aux critères que vous avez définis dans vos règles de désactivation, il n’apparaîtra plus dans la liste des résultats.
Cette option est disponible dans les pages « Détails des recommandations » pour :
- Les vulnérabilités dans les images Azure Container Registry doivent être corrigées
- Les vulnérabilités de vos machines virtuelles doivent être corrigées
Exempter une ressource d’une recommandation
Il peut arriver qu’une ressource soit signalée comme non saine en ce qui concerne une recommandation spécifique (faisant baisser par conséquent le degré de sécurisation), même si vous estimez qu’elle ne devrait pas l’être. Elle a peut-être été corrigée par un processus non suivi par Security Center. Ou bien votre organisation a décidé d’accepter le risque pour cette ressource spécifique.
Dans ce cas, vous pouvez créer une règle d’exemption et veiller à ce que la ressource ne figure plus parmi les ressources non saines à l’avenir. Ces règles peuvent contenir des justifications documentées comme décrit ci-dessous.
Pour plus d’informations, consultez Exempter une ressource des recommandations et du degré de sécurisation.
Les connecteurs AWS et GCP dans Security Center apportent une expérience multicloud
Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.
Azure Security Center protège désormais les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Lorsque vous intégrez les projets AWS et GCP dans Security Center intègre AWS Security Hub, GCP Security Command et Azure Security Center.
Pour en savoir plus, consultez Connecter vos comptes AWS à Azure Security Center et Connecter vos projets GCP à Azure Security Center.
Bundle Kubernetes de recommandations sur la protection des charges de travail
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des recommandations de renforcement au niveau de Kubernetes, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
Lorsque vous avez installé Azure Policy pour Kubernetes sur votre cluster AKS, toutes les requêtes adressées au serveur d’API Kubernetes sont analysées par rapport à l’ensemble prédéfini de meilleures pratiques avant d’être conservées sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Consultez Meilleures pratiques de protection de charge de travail à l’aide du contrôle d’admission Kubernetes pour en savoir plus.
Les résultats de l’évaluation des vulnérabilités sont désormais disponibles dans l’exportation continue
Utilisez l’exportation continue pour diffuser vos alertes et vos recommandations vers Azure Event Hubs, les espaces de travail Log Analytics ou Azure Monitor. À partir de là, vous pouvez intégrer ces données à des SIEM, telles que Microsoft Sentinel, Power BI, Azure Data Explorer, etc.
Les outils d’évaluation des vulnérabilités intégrés à Security Center renvoient des résultats sur vos ressources comme recommandations exploitables dans le cadre d’une recommandation « parent », telle que « les vulnérabilités de vos machines virtuelles doivent être corrigées ».
Les résultats de sécurité sont désormais disponibles pour l’exportation via l’exportation continue lorsque vous sélectionnez recommandations et activez l’option Inclure les résultats de sécurité.
Pages connexes :
- Solution intégrée d’évaluation des vulnérabilités Qualys de Security Center pour les machines virtuelles Azure
- Solution d’évaluation des vulnérabilités intégrée à Security Center pour les images Azure Container Registry
- Exportation continue
Empêcher les erreurs de configurations de sécurité en appliquant des recommandations lors de la création de nouvelles ressources
Les erreurs de configuration de la sécurité sont à l’origine de la plupart des incidents. Security Center a désormais la possibilité d’empêcher les configurations incorrectes des nouvelles ressources en ce qui concerne des recommandations spécifiques.
Cette fonctionnalité peut vous aider à sécuriser vos charges de travail et à stabiliser votre degré de sécurisation.
Vous pouvez appliquer une configuration sécurisée, basée sur une recommandation spécifique, est proposée en deux modes :
À l’aide du mode refusé d’Azure Policy, vous pouvez empêcher la création de ressources non saines
À l’aide de l’option appliquée, vous pouvez tirer parti de l’effet DeployIfNotExist d’Azure Policy et corriger automatiquement les ressources non conformes lors de la création
Cette option est disponible pour les recommandations de sécurité sélectionnées et se trouve en haut de la page Détails de la ressource.
Pour plus d’informations, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Recommandations de groupe de sécurité réseau améliorées
Les recommandations de sécurité suivantes relatives aux groupes de sécurité réseau ont été améliorées pour réduire certaines instances de faux positifs.
- Tous les ports réseau doivent être limités sur le groupe de sécurité réseau associé à votre machine virtuelle
- Les ports de gestion doivent être fermés sur vos machines virtuelles
- Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau
- Les sous-réseaux doivent être associés à un groupe de sécurité réseau
Recommandation de la préversion AKS déconseillée : « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes »
La recommandation de préversion « Des stratégies de sécurité de pods doivent être définies sur les services Kubernetes » est déconseillée comme décrit dans la documentation Azure Kubernetes Service.
La fonctionnalité « stratégie de sécurité des pods (en préversion) », sera bientôt dépréciée et ne sera plus disponible après le 15 octobre 2020 pour laisser place à Azure Policy pour AKS.
Une fois que la stratégie de sécurité des pods (préversion) sera déconseillée, vous devrez désactiver la fonctionnalité sur tous les clusters existants à l’aide de la fonctionnalité déconseillée pour effectuer les futures mises à niveau de cluster et continuer à bénéficier du support Azure.
Notifications par e-mail améliorées dans Azure Security Center
Les zones suivantes des e-mails concernant les alertes de sécurité ont été améliorées :
- ajout de la possibilité d’envoyer des notifications par e-mail concernant les alertes pour tous les niveaux de gravité
- La possibilité d’informer les utilisateurs avec différents rôles Azure sur l’abonnement a été ajoutée
- Nous avertissons de manière proactive les propriétaires d’abonnements par défaut sur les alertes de gravité élevée (qui ont une probabilité élevée d’être des violations authentiques)
- Nous avons supprimé le champ du numéro de téléphone de la page de configuration des notifications par e-mail
Consultez Configurer les notifications par e-mail pour les alertes de sécurité pour en savoir plus.
Le degré de sécurisation n’inclut pas de recommandations sur la préversion
Security Center évalue continuellement vos ressources, vos abonnements et votre organisation en recherchant d’éventuels problèmes de sécurité. Il agrège ensuite toutes ses découvertes sous la forme d’un score qui vous permet de déterminer d’un coup d’œil votre niveau de sécurité actuel : plus le score est élevé, plus le niveau de risque identifié est faible.
À mesure que de nouvelles menaces sont découvertes, de nouveaux conseils en matière de sécurité sont mis à disposition dans Security Center via la création de recommandations. Pour éviter les modifications surprises de votre score de sécurisation et pour fournir une période de grâce dans laquelle vous pouvez explorer de nouvelles recommandations avant qu’elles n’affectent vos scores, les recommandations marquées comme préversion ne sont plus incluses dans les calculs de votre score de sécurisation. Elles doivent tout de même être corrigées dans la mesure du possible, ainsi lorsque la période de préversion se termine, elles seront prises en compte dans le calcul.
En outre, les recommandations en préversion ne restituent pas une ressource « Non saine ».
Exemple de recommandation de préversion :
En savoir plus sur le degré de sécurisation.
Les recommandations incluent désormais un indicateur de gravité et l’intervalle d’actualisation
La page de détails des recommandations comprend désormais un indicateur d’intervalle d’actualisation (le cas échéant) et affiche clairement la gravité de la recommandation.
Août 2020
Les mises à jour en août sont les suivantes :
- Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
- Ajout de la prise en charge des paramètres de sécurité par défaut d’Azure Active Directory (pour l’authentification multifacteur)
- Ajout d’une recommandation en faveur des principaux de service
- Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
- Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Inventaire des ressources : nouvelle vue puissante de la position de sécurité de vos ressources
L’inventaire des ressources de Security Center (actuellement en préversion) permet de visualiser la posture de sécurité des ressources que vous avez connectées à Security Center.
Security Center analyse périodiquement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces vulnérabilités. Lorsqu’une ressource contient des recommandations en suspens, celles-ci apparaissent dans l’inventaire.
Vous pouvez utiliser la vue et ses filtres pour explorer les données relatives à votre posture de sécurité et prendre d’autres mesures en fonction de vos conclusions.
En savoir plus sur l’inventaire des ressources.
Ajout de la prise en charge des paramètres de sécurité par défaut d’Azure Active Directory (pour l’authentification multifacteur)
Security Center a ajouté une prise en charge complète des paramètres de sécurité par défaut, les protections de sécurité d’identité gratuites de Microsoft.
Les paramètres de sécurité par défaut fournissent des paramètres de sécurité d’identité préconfigurés pour défendre votre organisation contre les attaques courantes liées aux identités. Les paramètres de sécurité par défaut protègent déjà plus de 5 millions de locataires ; 50 000 locataires sont également protégés par Security Center.
Security Center fournit désormais une recommandation de sécurité chaque fois qu’il identifie un abonnement Azure sans activation des paramètres de sécurité par défaut. Jusqu’à présent, Security Center recommandait d’activer l’authentification multifacteur à l’aide de l’accès conditionnel, qui fait partie de la licence Premium d’Azure Active Directory (AD). Pour les clients qui utilisent Azure AD gratuitement, nous vous recommandons maintenant d’activer les paramètres de sécurité par défaut.
Notre objectif est d’encourager davantage de clients à sécuriser leurs environnements cloud avec l’authentification multifacteur et à atténuer l’un des risques les plus élevés qui est également le plus impactant pour votre score de sécurisation.
En savoir plus sur les valeurs par défaut de sécurité.
Ajout d’une recommandation en faveur des principaux de service
Une nouvelle recommandation a été ajoutée pour recommander aux clients de Security Center qui utilisent des certificats de gestion pour gérer leurs abonnements de basculer vers des principaux de service.
La recommandation Des principaux de service doivent être utilisés pour protéger vos abonnements à la place des certificats de gestion vous conseille d’utiliser des principaux de service ou Azure Resource Manager de gérer vos abonnements de manière plus sécurisée.
En savoir plus sur Objets du principal du service et de l’application dans Azure Active Directory.
Évaluation des vulnérabilités sur les machines virtuelles - recommandations et stratégies consolidées
Security Center inspecte vos machines virtuelles pour vérifier si elles exécutent une solution d’évaluation des vulnérabilités. Si aucune solution d’évaluation des vulnérabilités n’est trouvée, Security Center fournit une recommandation pour simplifier le déploiement.
Lorsque des vulnérabilités sont détectées, Security Center fournit une recommandation résumant les résultats à examiner et à corriger si nécessaire.
Pour garantir une expérience cohérente pour tous les utilisateurs, quel que soit le type d’analyse utilisé, nous avons unifié quatre recommandations dans les deux cas suivants :
| Recommandation unifiée | Description de la modification |
|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Remplace les deux recommandations suivantes : ***** Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) (désormais déconseillée) (incluse avec le niveau standard) ***** La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles (désormais déconseillée) (niveaux standard et gratuits) |
| Les vulnérabilités de vos machines virtuelles doivent être corrigées | Remplace les deux recommandations suivantes : ***** Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) (à présent déconseillée) ***** Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités (à présent déconseillée) |
Vous allez maintenant utiliser la même recommandation pour déployer l’extension d’évaluation de la vulnérabilité de Security Center ou une solution sous licence privée (« BYOL ») d’un partenaire tel que Qualys ou Rapid7.
De plus, lorsque des vulnérabilités sont détectées et signalées à Security Center, une recommandation unique vous avertit des conclusions, quelle que soit la solution d’évaluation des vulnérabilités qui les a identifiées.
Mise à jour des dépendances
Si vous avez des scripts, des requêtes ou des automations qui font référence aux recommandations ou aux clés/noms de stratégie précédents, utilisez les tableaux ci-dessous pour mettre à jour les références :
Avant août 2020
| Recommendation | Scope |
|---|---|
|
Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (par Qualys) Clé : 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Corriger les vulnérabilités trouvées sur vos machines virtuelles (avec Qualys) Clé : 1195afff-c881-495e-9bc5-148621ae03f |
Built-in |
|
La solution d’évaluation des vulnérabilités doit être installée sur vos machines virtuelles Clé : 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités Clé : 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Les vulnérabilités doivent être corrigées avec une solution d’évaluation des vulnérabilités ID de stratégie : 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
À partir d’août 2020
| Recommendation | Scope |
|---|---|
|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Clé : ffff0522-1e88-47fc-8382-2a80ba848f5d |
Intégré + BYOL |
|
Les vulnérabilités de vos machines virtuelles doivent être corrigées Clé : 1195afff-c881-495e-9bc5-148621ae03f |
Intégré + BYOL |
| Policy | Scope |
|---|---|
|
L’évaluation des vulnérabilités doit être activée sur les machines virtuelles ID de stratégie : 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Intégré + BYOL |
Nouvelles stratégies de sécurité AKS ajoutées à ASC_default initiative
Pour vous assurer que les charges de travail Kubernetes sont sécurisées par défaut, Security Center ajoute des stratégies de niveau Kubernetes et des suggestions de renforcement, y compris des options de mise en œuvre avec le contrôle d’admission Kubernetes.
La première phase de ce projet comprend une préversion et l’ajout de nouvelles stratégies (désactivées par défaut) à l’initiative de ASC_default.
Vous pouvez ignorer ces stratégies en toute sécurité et il n’y aura aucun impact sur votre environnement. Si vous souhaitez les activer, inscrivez-vous à la préversion par le biais de la communauté privée Microsoft Cloud Security et sélectionnez une des options suivantes :
- Préversion unique : pour joindre uniquement cette préversion. Mentionnez explicitement « Analyse continu ASC » comme préversion que vous souhaitez rejoindre.
- Programme en cours : à ajouter à ces préversions futures. Vous devrez remplir un profil et une déclaration de confidentialité.
Juillet 2020
Les mises à jour du mois de juillet incluent :
- L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images qui ne sont pas dans le marketplace
- Protection contre les menaces pour Stockage Azure étendue pour inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
- Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
- Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
- Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
- Dépréciation de six stratégies pour la sécurité avancée des données SQL
L’évaluation des vulnérabilités des machines virtuelles est désormais disponible pour les images non-Place de marché
Lorsque vous déployez une solution d’évaluation des vulnérabilités, Security Center effectuait un contrôle de validation avec le déploiement. Le contrôle visait à vérifier une référence (SKU) de la Place de marché sur la machine virtuelle de destination.
À partir de cette mise à jour, le contrôle est supprimé et vous pouvez désormais déployer les outils d’évaluation des vulnérabilités sur des machines Windows et Linux « personnalisées ». Les images personnalisées sont celles que vous avez modifiées à partir des images par défaut de la Place de marché.
Bien que vous puissiez désormais déployer l’extension d’évaluation des vulnérabilités intégrée (optimisée par Qualys) sur de nombreuses autres machines, le support n’est disponible que si vous utilisez un système d’exploitation répertorié dans Déployer l’analyseur de vulnérabilité intégré sur des machines virtuelles de niveau Standard.
Apprenez-en davantage sur l’analyseur de vulnérabilité intégré pour machines virtuelles (Azure Defender requis).
En savoir plus sur l’utilisation de votre propre solution d’évaluation des vulnérabilités sous licence privée à partir de Qualys ou Rapid7 dans le déploiement d’une solution d’analyse des vulnérabilités partenaire.
Protection contre les menaces pour Stockage Azure étendue pour inclure Azure Files et Azure Data Lake Storage Gen2 (préversion)
La protection contre les menaces pour Stockage Azure détecte les activités potentiellement dangereuses sur vos comptes Stockage Azure. Security Center affiche des alertes lorsqu’il détecte des tentatives d’accès ou d’exploitation de vos comptes de stockage.
Vos données peuvent être protégées, qu’elles soient stockées en tant que conteneurs blob, de partages de fichiers ou de lacs de données.
Huit nouvelles recommandations pour activer les fonctionnalités de protection contre les menaces
Huit nouvelles recommandations ont été ajoutées pour fournir un moyen simple d’activer les fonctionnalités de protection contre les menaces d’Azure Security Center pour les types de ressources suivants : machines virtuelles, plans App Service, serveurs Azure SQL Database, serveurs SQL Server, comptes de Stockage Azure, clusters Azure Kubernetes Service, registres Azure Container Registry et coffres Azure Key Vault.
Les nouvelles recommandations sont les suivantes :
- Advanced Data Security doit être activé sur les serveurs Azure SQL Database
- Advanced Data Security doit être activé sur les serveurs SQL sur les machines
- Advanced Threat Protection doit être activé sur les plans Azure App Service
- Advanced Threat Protection doit être activé sur les registres Azure Container Registry
- Advanced Threat Protection doit être activé sur les coffres Azure Key Vault
- Advanced Threat Protection doit être activé sur les clusters Azure Kubernetes Service
- Advanced Threat Protection doit être activé sur les comptes Stockage Azure
- Advanced Threat Protection doit être activé sur les machines virtuelles
Les recommandations incluent également la fonctionnalité de correction rapide.
Important
L’application de n’importe laquelle de ces recommandations entraîne des frais pour la protection des ressources pertinentes. Ces frais s’appliquent immédiatement si vous avez des ressources associées dans l’abonnement actuel. Ou ils s’appliqueront à l’avenir si vous les ajoutez à une date ultérieure.
Par exemple, si vous n’avez pas de clusters Azure Kubernetes Service dans votre abonnement et que vous activez la protection contre les menaces, cela n’entraîne pas de frais. Si, à l’avenir, vous ajoutez un cluster sur le même abonnement, il sera automatiquement protégé et des frais seront facturés à ce moment-là.
Apprenez-en davantage sur la protection contre les menaces dans Azure Security Center.
Améliorations de la sécurité des conteneurs – Analyse du registre plus rapide et documentation actualisée
Dans le cadre des investissements continus dans le domaine de la sécurité des conteneurs, nous sommes heureux de partager une amélioration significative des performances dans les analyses dynamiques des images conteneur stockées dans Azure Container Registry dans Security Center. Désormais, les analyses prennent généralement environ en deux minutes. Dans certains cas, elles peuvent prendre jusqu’à 15 minutes.
Afin d’améliorer la clarté et les recommandations concernant les fonctionnalités de sécurité des conteneurs d’Azure Security Center, nous avons également actualisé les pages de documentation sur la sécurité des conteneurs.
Mise à jour des contrôles d’application adaptatifs avec une nouvelle recommandation et la prise en charge des caractères génériques dans les règles de chemin d’accès
La fonctionnalité de contrôles d’application adaptatifs a fait l’objet de deux mises à jour importantes :
Une nouvelle recommandation identifie les comportements potentiellement légitimes qui n’étaient pas autorisés auparavant. La nouvelle recommandation, intitulée Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour, vous invite à ajouter de nouvelles règles à la stratégie existante afin de réduire le nombre de faux positifs dans les alertes de violation des contrôles d’application adaptatifs.
Les règles de chemin d’accès prennent désormais en charge les caractères génériques. À compter de cette mise à jour, vous pouvez configurer des règles de chemin d’accès autorisé avec des caractères génériques. Il existe deux scénarios pris en charge :
Utilisation d’un caractère générique à la fin d’un chemin d’accès pour autoriser tous les exécutables dans ce dossier et ses sous-dossiers.
Utilisation d’un caractère générique au milieu d’un chemin pour activer un nom d’exécutable connu avec un nom de dossier variable (par exemple, des dossiers utilisateur personnels avec un exécutable connu, des noms de dossiers générés automatiquement, etc.).
Dépréciation de six stratégies pour la sécurité avancée des données SQL
Six stratégies relatives à la sécurité avancée des données pour les machines SQL sont déconseillées :
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données de l’instance gérée SQL.
- Les types de protection avancée contre les menaces doivent être définis sur « Tous » dans les paramètres avancés de sécurité des données du serveur SQL.
- Les paramètres Advanced Data Security pour l’instance gérée SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les paramètres Advanced Data Security pour le serveur SQL doivent inclure une adresse e-mail pour la réception des alertes de sécurité.
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security de l’instance managée SQL
- Les notifications par e-mail aux administrateurs et propriétaires d’abonnements doivent être activées dans les paramètres Advanced Data Security SQL Server
En savoir plus sur les stratégies intégrées.
Juin 2020
Les mises à jour du mois de juin incluent :
- API Degré de sécurisation (préversion)
- Sécurité avancée des données pour les machines SQL (Azure, autres clouds et en local) (préversion)
- Deux nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
- Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
- Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
- Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
API Degré de sécurisation (préversion)
Vous pouvez maintenant accéder à votre degré de sécurisation par le biais de l’API Degré de sécurisation (actuellement en préversion). Les méthodes de l’API offrent la flexibilité nécessaire pour interroger les données et créer votre propre mécanisme de création de rapports sur vos degrés de sécurisation au fil du temps. Par exemple, vous pouvez utiliser l’API Scores sécurisés pour obtenir le score d’un abonnement spécifique. En outre, vous pouvez utiliser l’API Contrôles du degré de sécurisation pour répertorier les contrôles de sécurité et le degré de sécurisation actuel de vos abonnements.
Pour obtenir des exemples d’outils externes accessibles avec l’API Degré de sécurisation, consultez la zone consacrée au degré de sécurisation de notre communauté GitHub.
En savoir plus sur le degré de sécurisation et les contrôles de sécurité dans Azure Security Center.
Sécurité avancée des données pour les machines SQL (Azure, autres clouds et en local) (préversion)
La sécurité des données avancée d’Azure Security Center pour les machines SQL protège désormais les serveurs SQL hébergés dans Azure, dans d’autres environnements cloud et même sur des machines locales. Cela étend les protections de vos serveurs SQL Azure natifs pour prendre entièrement en charge les environnements hybrides.
La sécurité avancée des données fournit une évaluation des vulnérabilités et une protection avancée contre les menaces pour vos machines SQL où qu’elles soient.
La configuration se fait en deux étapes :
Déploiement de l’agent Log Analytics sur l’ordinateur hôte de votre serveur SQL Server pour fournir la connexion au compte Azure.
Activation du bundle facultatif dans la page de tarification et des paramètres de Security Center.
En savoir plus sur la sécurité avancée des données pour les machines SQL.
Deux nouvelles recommandations pour déployer l’agent Log Analytics sur des machines Azure Arc (préversion)
Deux nouvelles recommandations ont été ajoutées pour vous aider à déployer l’agent Log Analytics sur vos machines Azure Arc et vous assurer qu’elles sont protégées par Azure Security Center :
- L’agent Log Analytics doit être installé sur vos machines Azure Arc basées sur Windows (préversion)
- L’agent Log Analytics doit être installé sur vos machines Azure Arc basées sur Linux (préversion)
Ces nouvelles recommandations s’affichent dans les quatre mêmes contrôles de sécurité que la recommandation existante (associée), L’agent d’analyse doit être installé sur vos machines : corriger les configurations de sécurité, appliquer le contrôle d’application adaptatif, appliquer les mises à jour système et activer la protection de point de terminaison.
Les recommandations incluent également la fonctionnalité de correction rapide pour accélérer le processus de déploiement.
En savoir plus sur la façon dont Azure Security Center utilise l’agent dans Qu’est-ce que l’agent Log Analytics ?.
En savoir plus sur les extensions pour les machines Azure Arc.
Nouvelles stratégies pour créer des configurations d’exportation continue et d’automatisation de flux de travail à l’échelle
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.
Pour déployer vos configurations d’automatisation au sein de votre organisation, utilisez ces stratégies Azure intégrées « DeployIfdNotExist » pour créer et configurer des procédures d’automatisation continue d’exportation et de flux de travail :
Les définitions de stratégie se trouvent dans Azure Policy :
| Goal | Policy | ID de stratégie |
|---|---|---|
| Exportation continue vers Event Hubs | Déployer l’exportation vers Event Hubs pour les alertes et les recommandations Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportation continue vers l’espace de travail Log Analytics | Déployer l’exportation vers un espace de travail Log Analytics pour les alertes et les recommandations Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automatisation du flux de travail pour les alertes de sécurité | Déployer l’automatisation de workflow pour les alertes Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatisation du flux de travail pour les recommandations de sécurité | Déployer l’automatisation de workflow pour les recommandations Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Prise en main des modèles d’automatisation de flux de travail.
Apprenez-en davantage sur l’utilisation des deux stratégies d’exportation dans Configurer l’automatisation du workflow à grande échelle à l’aide des stratégies fournies et Configurer une exportation continue.
Nouvelle recommandation pour l’utilisation de NSG afin de protéger les machines virtuelles non accessibles sur Internet
Le contrôle de sécurité « implémenter les meilleures pratiques de sécurité » comprend désormais la nouvelle recommandation suivante :
- Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau
Une recommandation existante, Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau, ne fait pas la distinction entre les machines virtuelles accessibles sur Internet et celles qui ne le sont pas. Pour les deux types de machines virtuelles, une recommandation à gravité élevée était générée si une machine virtuelle n’était pas affectée à un groupe de sécurité réseau. Cette nouvelle recommandation sépare les machines non accessibles à partir d’Internet pour réduire les faux positifs et éviter les alertes à gravité élevée inutiles.
Nouvelles stratégies pour activer la protection contre les menaces et la sécurité avancée des données
Les nouvelles définitions de stratégie ci-dessous ont été ajoutées à l’initiative ASC par défaut et sont conçues pour aider à activer la protection contre les menaces ou la sécurité avancée des données pour les types de ressources appropriés.
Les définitions de stratégie se trouvent dans Azure Policy :
| Policy | ID de stratégie |
|---|---|
| Advanced Data Security doit être activé sur les serveurs Azure SQL Database | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Advanced Data Security doit être activé sur les serveurs SQL sur les machines | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced Threat Protection doit être activé sur les comptes Stockage Azure | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced Threat Protection doit être activé sur les coffres Azure Key Vault | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced Threat Protection doit être activé sur les plans Azure App Service | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced Threat Protection doit être activé sur les registres Azure Container Registry | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced Threat Protection doit être activé sur les clusters Azure Kubernetes Service | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Advanced Threat Protection doit être activé sur les machines virtuelles | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
En savoir plus sur la protection contre les menaces dans Azure Security Center.
Mai 2020
Les mises à jour du mois de mai incluent :
- Règles de suppression d’alerte (préversion)
- Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
- Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
- Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
- Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
- Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
- Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
- Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Règles de suppression d’alerte (préversion)
Cette nouvelle fonctionnalité (actuellement en préversion) permet de réduire la fréquence des alertes. Utilisez des règles pour masquer automatiquement les alertes connues pour être anodines ou liées à des activités normales au sein votre organisation. Cela vous permet de vous concentrer sur les menaces les plus pertinentes.
Les alertes correspondant à vos règles de suppression activées sont toujours générées, mais leur état est défini sur ignoré. Vous pouvez voir leur état sur le portail Azure ou en accédant aux alertes de votre Security Center.
Les règles de suppression définissent les critères en vertu desquels les alertes doivent être automatiquement ignorées. En règle générale, vous utilisez une règle de suppression pour effectuer les opérations suivantes :
supprimer des alertes identifiées comme faux positifs ;
supprimer des alertes déclenchées trop souvent pour être utiles.
Apprenez-en davantage sur la suppression des alertes à partir de la protection contre les menaces d’Azure Security Center.
Disponibilité de l’évaluation des vulnérabilités des machines virtuelles
Le niveau standard de Security Center intègre désormais l’évaluation des vulnérabilités des machines virtuelles sans frais supplémentaires. Cette extension est fournie par Qualys mais renvoie ses résultats directement à Security Center. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center.
La nouvelle solution peut analyser en continu vos machines virtuelles pour trouver des vulnérabilités et présenter les résultats au Security Center.
Pour déployer la solution, suivez la nouvelle recommandation de sécurité :
« Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (optimisées par Qualys) (Préversion)
Apprenez-en davantage sur l’évaluation des vulnérabilités des machines virtuelles intégrée dans le Security Center.
Modifications apportées à l’accès juste-à-temps (JAT) des machines virtuelles
Le Security Center intègre une fonctionnalité facultative destinée à protéger les ports de gestion de vos machines virtuelles. Celle-ci offre une protection contre la forme la plus courante d’attaques par force brute.
Cette mise à jour apporte à cette fonctionnalité les modifications suivantes :
La recommandation suggérant d’activer l’accès JAT sur une machine virtuelle a été reformulée. Précédemment « le contrôle d’accès du réseau Juste-à-temps doit être appliqué sur les machines virtuelles », maintenant : « Les ports de gestion des machines virtuelles doivent être protégés avec un contrôle d’accès réseau juste-à-temps ».
La recommandation n’est déclenchée que s’il existe des ports de gestion ouverts.
Apprenez-en davantage sur la fonctionnalité accès JAT.
Déplacement des recommandations personnalisées vers un contrôle de sécurité distinct
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré était « Implémenter les meilleures pratiques de sécurité ». Toutes les recommandations personnalisées créées pour vos abonnements ont été placées automatiquement dans ce contrôle.
Pour faciliter la recherche de vos recommandations personnalisées, nous les avons déplacées vers un contrôle de sécurité dédié nommé « Recommandations personnalisées ». Ce contrôle n’a aucun impact sur votre degré de sécurisation.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion) dans Azure Security Center.
Ajout d’une option permettant d’afficher les recommandations dans les contrôles ou sous forme de liste plate
Les contrôles de sécurité sont des groupes logiques de recommandations de sécurité associées. Ceux-ci reflètent vos surfaces d’attaque vulnérables. Un contrôle est un ensemble de recommandations de sécurité, avec des instructions qui vous permettent de les implémenter.
Pour voir immédiatement dans quelle mesure votre organisation sécurise chacune des surfaces d’attaque, examinez le degré de chaque contrôle de sécurité.
Par défaut, vos recommandations s’affichent dans les contrôles de sécurité. À partir de cette mise à jour, vous pouvez également les afficher sous forme de liste. Pour les afficher sous la forme d’une liste simple triée en fonction de l’état d’intégrité des ressources affectées, utilisez la nouvelle option « Grouper par contrôles ». Cette option se trouve au-dessus de la liste dans le portail.
Les contrôles de sécurité, et cette option, font partie de la nouvelle expérience de degré de sécurisation. N’oubliez pas de nous envoyer vos commentaires à partir du portail.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion) dans Azure Security Center.
Extension du contrôle de sécurité « Implémenter les bonnes pratiques de sécurité »
L’un des contrôles de sécurité introduits avec le degré de sécurisation amélioré est « Implémenter les meilleures pratiques de sécurité ». Quand ce contrôle contient une recommandation, celle-ci n’a aucun impact sur le degré de sécurisation.
Avec cette mise à jour, trois recommandations ont été déplacées des contrôles dans lesquels elles étaient placées à l’origine vers ce contrôle des bonnes pratiques. Nous avons pris cette mesure parce que nous avons constaté que le risque que ces trois recommandations visaient à prévenir était moindre que le risque initialement prévu.
En outre, deux nouvelles recommandations ont été introduites et ajoutées à ce contrôle.
Les trois recommandations déplacées sont les suivantes :
- L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture de votre abonnement (à l’origine, dans le contrôle « Activer la MFA »).
- Les comptes externes disposant d’autorisations de lecture doivent être supprimés de votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
- Trois propriétaires au plus doivent être désignés pour votre abonnement (à l’origine, dans le contrôle « Gérer l’accès et les autorisations »).
Les deux nouvelles recommandations ajoutées au contrôle sont les suivantes :
L’extension de configuration d’invité doit être installée sur les machines virtuelles Windows (préversion) : la Configuration d’invité Azure Policy apporte une visibilité des machines virtuelles aux paramètres de serveur et d’application (Windows uniquement).
Windows Defender Exploit Guard doit être activé sur vos machines (préversion) : Windows Defender Exploit Guard tire parti de l’agent de configuration d’invité (Guest Configuration) Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).
Pour en savoir plus sur Windows Defender exploit Guard, consultez Créer et déployer une stratégie Windows Defender Exploit Guard.
Pour en savoir plus sur les contrôles de sécurité, consultez Version améliorée du degré de sécurisation (préversion).
Disponibilité générale des stratégies personnalisées avec des métadonnées personnalisées
Les stratégies personnalisées font désormais partie de l’expérience des Recommandations relatives à Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Cette fonctionnalité désormais généralement disponible vous permet d’étendre la couverture de l’évaluation de la sécurité de votre organisation dans Azure Security Center.
Créez une initiative personnalisée dans Azure Policy, ajoutez-y des stratégies, intégrez-la à Azure Security Center et visualisez-la sous la forme de recommandations.
Nous avons également ajouté une option permettant de modifier les métadonnées de recommandation personnalisées. Les options des métadonnées incluent la gravité, des mesures de correction, des informations sur les menaces, etc.
Pour en savoir plus, consultez Amélioration de vos recommandations personnalisées avec des informations détaillées.
Migration des fonctionnalités d’analyse du vidage sur incident vers la détection d’attaque sans fichier
Nous intégrons les fonctionnalités de détection de l’analyse de vidage sur incident (CDA) Windows à la détection d’attaque sans fichier. L’analytique de la détection d’attaque sans fichier offre des versions améliorées des alertes de sécurité suivantes pour les ordinateurs Windows : injection de code découverte, usurpation d’identité de module Windows détectée, code Shell détecté et segment de code suspect détecté.
Voici quelques-uns des avantages de cette transition :
Détection proactive et en temps opportun des programmes malveillants : l’approche de l’analyse du vidage sur incident impliquait l’attente de la survenance d’un incident, puis l’exécution d’une analyse pour trouver des artefacts malveillants. La détection d’attaque sans fichier introduit l’identification de manière proactive des menaces en mémoire pendant leur exécution.
Alertes enrichies : les alertes de sécurité de la détection d’attaque sans fichier incluent des enrichissements qui ne sont pas disponibles à partir de la CDA, telles que les informations de connexion réseau actives.
Agrégation d’alertes : lorsque CDA a détecté plusieurs modèles d’attaque dans un seul vidage sur incident, il a déclenché plusieurs alertes de sécurité. La détection d’attaque sans fichier combine tous les modèles d’attaque identifiés participant d’un même processus dans une alerte unique, ce qui évite d’avoir à mettre en corrélation plusieurs alertes.
Exigences réduites concernant votre espace de travail Log Analytics : les vidages sur incident contenant des données potentiellement sensibles ne sont plus chargés dans votre espace de travail Log Analytics.
Avril 2020
Les mises à jour du mois d’avril incluent :
- Disponibilité générale des packages de conformité dynamique
- Inclusion des recommandations relatives aux identités dans le niveau gratuit d’Azure Security Center
Disponibilité générale des packages de conformité dynamique
Le tableau de bord de conformité réglementaire d’Azure Security Center inclut désormais des packages de conformité dynamique (en disponibilité générale) pour suivre des normes réglementaires et sectorielles supplémentaires.
Vous pouvez ajouter ces packages de conformité dynamique à votre abonnement ou à votre groupe d’administration à partir de la page Stratégie de sécurité d’Azure Security Center. Après l’intégration d’une norme ou un benchmark, ceux-ci apparaissent dans votre tableau de bord de conformité réglementaire avec toutes les données de conformité associées en tant qu’évaluations. Un rapport de synthèse pour toutes les normes intégrées sera disponible en téléchargement.
Désormais, vous pouvez ajouter des normes telles que les suivantes :
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official et UK NHS
- PBMM fédéral du Canada
- Azure CIS 1.1.0 (nouveau) (représentation plus complète d’Azure CIS 1.1.0)
De plus, nous avons récemment ajouté le Benchmark de sécurité Azure, les directives spécifiques d’Azure créées par Microsoft pour les meilleures pratiques de sécurité et de conformité, basées sur des infrastructures de conformité courantes. Des normes supplémentaires seront prises en charge dans le tableau de bord dès qu’elles seront disponibles.
Apprenez-en davantage sur la personnalisation de l’ensemble de normes de votre tableau de bord de conformité réglementaire.
Inclusion des recommandations relatives aux identités dans le niveau gratuit d’Azure Security Center
Les recommandations de sécurité relatives aux identités et aux accès sont désormais généralement disponibles dans le niveau gratuit d’Azure Security Center. Cela fait partie de l’effort visant à atteindre la gratuité des fonctionnalités de gestion de la posture de sécurité cloud. Jusqu’à présent, ces recommandations n’étaient disponibles qu’au niveau tarifaire standard.
Voici des exemples de recommandations relatives aux identités et aux accès :
- « L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement. »
- « Au maximum trois propriétaires doivent être désignés pour votre abonnement. »
- « Les comptes déconseillés doivent être supprimés de votre abonnement. »
Si vous avez des abonnements au niveau tarifaire gratuit, ce changement affectera leurs degrés de sécurisation, car ils n’ont jamais été évalués sur le plan de la sécurité des identités et des accès.
mars 2020
Les mises à jour du mois de mars incluent :
- Disponibilité générale de l’automatisation de flux de travail
- Intégration d’Azure Security Center avec le Centre d’administration Windows
- Protection pour Azure Kubernetes Service
- Amélioration de l’expérience juste-à-temps
- Deux recommandations de sécurité pour les applications web déconseillées
Disponibilité générale de l’automatisation de flux de travail
La fonctionnalité d’automatisation de flux de travail d’Azure Security Center est désormais généralement disponible. Elle permet de déclencher automatiquement Logic Apps sur des alertes et recommandations de sécurité. En outre, des déclencheurs manuels sont disponibles pour les alertes et toutes les recommandations pour lesquelles l’option de correction rapide est disponible.
Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. L’automatisation contribue à réduire la surcharge et à renforcer votre sécurité en garantissant que les étapes du processus se déroulent rapidement, de manière cohérente et selon les exigences que vous avez prédéfinies.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles de Security Center pour l’exécution de vos flux de travail, consultez l’automatisation des flux de travail.
Apprenez-en davantage sur la création de Logic Apps.
Intégration d’Azure Security Center avec le Centre d’administration Windows
Vous pouvez désormais déplacer vos serveurs Windows locaux du Centre d’administration Windows directement vers Azure Security Center. Azure Security Center devient alors votre unique fenêtre pour l’affichage des informations de sécurité de toutes vos ressources du Centre d’administration Windows, à savoir les serveurs locaux, les machines virtuelles et les charges de travail PaaS supplémentaires.
Après avoir déplacé un serveur du Centre d’administration Windows vers Azure Security Center, vous pourrez effectuer les opérations suivantes :
- Afficher les alertes et recommandations de sécurité dans l’extension Security Center du Centre d’administration Windows.
- Afficher la posture de sécurité et des informations détaillées supplémentaires sur vos serveurs gérés par le Centre d’administration Windows dans le Security Center à l’intérieur du portail Azure (ou via une API).
Apprenez-en davantage sur la façon d’intégrer Azure Security Center avec le Centre d’administration Windows.
Protection pour Azure Kubernetes Service
Azure Security Center développe ses fonctionnalités de sécurité de conteneur pour protéger Azure Kubernetes Service (AKS).
La plateforme open source populaire Kubernetes est adoptée si largement qu’elle fait désormais figure de norme sectorielle pour l’orchestration de conteneurs. En dépit de cette implémentation largement répandue, il subsiste un manque de compréhension de la manière de sécuriser un environnement Kubernetes. La défense des surfaces d’attaque d’une application en conteneur requiert de l’expertise pour s’assurer que l’infrastructure est configurée de façon totalement sécurisée et constamment surveillée pour détecter des menaces potentielles.
La défense orchestrée par Azure Security Center comprend les composantes suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits auprès d’Azure Security Center.
- Recommandations de sécurité : recommandations actionnables pour vous aider à vous conformer aux meilleures pratiques de sécurité pour AKS. Ces recommandations sont incluses dans votre degré de sécurisation pour garantir leur visibilité en lien avec la posture de sécurité de votre organisation. Voici un exemple de recommandation relative à AKS : « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster Kubernetes Service ».
- Protection contre les menaces : grâce à l’analyse continue de votre déploiement AKS, Security Center vous avertit des menaces et des activités malveillantes détectées au niveau de l’hôte et du cluster AKS.
Pour en savoir plus, consultez Intégration d’Azure Kubernetes Service avec Security Center.
Apprenez-en davantage sur les fonctionnalités de sécurité de conteneur d’Azure Security Center.
Amélioration de l’expérience juste-à-temps
Les fonctionnalités, le fonctionnement et l’interface utilisateur des outils juste-à-temps de l’Azure Security Center qui sécurisent vos ports de gestion ont été améliorés comme suit :
- Champ De justification : lors de la demande d’accès à une machine virtuelle via la page juste-à-temps du portail Azure, un nouveau champ facultatif est disponible pour entrer une justification pour la demande. Le journal d’activité permet de suivre les informations entrées dans ce champ.
- Nettoyage automatique des règles JAT redondantes : chaque fois que vous mettez à jour une stratégie JAT, un outil de nettoyage s’exécute automatiquement pour vérifier la validité de votre ensemble de règles. L’outil recherche les incompatibilités entre les règles de votre stratégie et les règles du groupe de sécurité réseau. Si l’outil de nettoyage détecte une incompatibilité, il en détermine la cause et, lorsque cela ne présente aucun risque, supprime les règles intégrées qui ne sont plus nécessaires. Le nettoyeur ne supprime jamais les règles que vous avez créées.
Apprenez-en davantage sur la fonctionnalité accès JAT.
Deux recommandations de sécurité pour les applications web déconseillées
Deux recommandations de sécurité relatives aux applications web sont déconseillées :
Les règles relatives aux applications web sur des groupes de sécurité réseau IaaS doivent être renforcées. (Stratégie associée : Les règles de groupe de sécurité réseau pour les applications web IaaS doivent être renforcées)
L’accès à App Services doit être limité. (Stratégie associée : L’accès à App Services doit être restreint [préversion])
Ces recommandations n’apparaissent plus dans la liste de recommandations d’Azure Security Center. Les stratégies associées ne seront plus incluses dans l’initiative nommée « Security Center par défaut ».
Février 2020
Détection d’attaque sans fichier pour Linux (préversion)
À mesure que les attaquants intensifient le recours à des méthodes de plus en plus furtives pour éviter d’être détectés, Azure Security Center étend la détection d’attaque sans fichier pour Linux, en plus de Windows. Les attaques sans fichier exploitent des vulnérabilités logicielles, injectent des charges utiles malveillantes dans des processus système inoffensifs et se cachent en mémoire. Ces techniques :
- réduire ou éliminer les traces de logiciels malveillants sur disque ;
- réduire considérablement les risques de détection par des solutions d’analyse de programmes malveillants sur disque.
Pour contrer cette menace, Azure Security Center a publié une fonctionnalité de détection d’attaque sans fichier pour Windows en octobre 2018, et a maintenant étendu la détection d’attaque sans fichier également sur Linux.
Janvier 2020
Amélioration du degré de sécurisation (préversion)
Une version améliorée de la fonctionnalité de degré de sécurisation d’Azure Security Center est désormais disponible en préversion. Dans cette version, plusieurs recommandations sont regroupées en contrôles de sécurité qui reflètent mieux vos surfaces d’attaque vulnérables (et, par exemple, restreignent l’accès aux ports de gestion).
Familiarisez-vous avec les changements apportés au degré de sécurisation au cours de la phase de préversion, et épinglez d’autres corrections qui vous aideront à sécuriser davantage votre environnement.
Pour en savoir plus, consultez Version améliorée du degré de sécurisation (préversion).
Novembre 2019
Les mises à jour en novembre sont les suivantes :
- Protection contre les menaces pour Azure Key Vault dans les régions d’Amérique du Nord (préversion)
- La protection contre les menaces pour Stockage Azure inclut le filtrage de la réputation des programmes malveillants
- Automatisation des workflows avec Azure Logic Apps (préversion)
- Disponibilité générale d’un correctif rapide pour les ressources en bloc
- Analyser des images conteneur pour détecter les vulnérabilités (préversion)
- Autres normes de conformité réglementaire (préversion)
- Protection contre les menaces pour Azure Kubernetes Service (préversion)
- Évaluation des vulnérabilités des machines virtuelles (préversion)
- Advanced Data Security pour les serveurs SQL sur Machines virtuelles Microsoft Azure (préversion)
- Prise en charge de stratégies personnalisées (préversion)
- Extension de la couverture d’Azure Security Center avec une plateforme pour la communauté et les partenaires
- Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
- Intégrer des serveurs locaux à Security Center à partir du Centre d’administration Windows (préversion)
Protection contre les menaces pour Azure Key Vault dans les régions d’Amérique du Nord (préversion)
Azure Key Vault est un service essentiel pour la protection des données et l’amélioration des performances des applications cloud, offrant la possibilité de gérer de manière centralisée les clés, les secrets, les clés de chiffrement et les stratégies dans le cloud. Étant donné qu’Azure Key Vault stocke des données sensibles et stratégiques, ses coffres de clés et les données qui y sont stockées exigent une sécurité maximale.
La prise en charge par Azure Security Center de la protection d’Azure Key Vault contre les menaces fournit une couche supplémentaire de veille de sécurité qui détecte les tentatives inhabituelles et potentiellement nuisibles d’accès aux coffres de clés ou d’exploitation de ceux-ci. Cette nouvelle couche de protection permet aux clients de traiter les menaces pesant sur leurs coffres de clés sans être experts en sécurité, ainsi que de gérer des systèmes de surveillance de la sécurité. Cette fonctionnalité est en préversion publique dans les régions d’Amérique du Nord.
La protection contre les menaces pour Stockage Azure inclut le filtrage de la réputation des logiciels malveillants
La protection contre les menaces pour le service Stockage Azure offre de nouvelles fonctionnalités de détection optimisées par les renseignements sur les menaces Microsoft, qui permettent de détecter les chargements de programmes malveillants sur le service Stockage Azure à partir d’une de réputation de hachage et des accès suspects en provenance d’un nœud de sortie Tor actif (proxy d’anonymisation). Vous pouvez désormais afficher les programmes malveillants détectés parmi les comptes de stockage à l’aide d’Azure Security Center.
Automatisation des flux de travail avec Azure Logic Apps (préversion)
Les organisations dont la sécurité, l’informatique et les opérations sont gérées de manière centralisée implémentent des processus de flux de travail internes pour conduire les actions requises en leur sein en cas de détection d’incohérences dans leur environnement. Dans de nombreux cas, ces flux de travail étant des processus reproductibles, une automatisation peut considérablement simplifier leur exécution au sein de l’organisation.
Aujourd’hui, nous introduisons une nouvelle fonctionnalité dans Security Center qui permet aux clients de créer des configurations d’automatisation à l’aide d’Azure Logic Apps et de créer des stratégies qui les déclencheront automatiquement en fonction de résultats ASC spécifiques tels que des recommandations ou des alertes. Il est possible de configurer une application logique pour effectuer toute action personnalisée prise en charge par le vaste éventail de connecteurs d’applications logiques, ou d’utiliser l’un des modèles fournis par Security Center, tels que l’envoi d’un e-mail ou l’ouverture d’un ticket ServiceNow™.
Pour plus d’informations sur les fonctionnalités automatiques et manuelles de Security Center pour l’exécution de vos flux de travail, consultez l’automatisation des flux de travail.
Pour en savoir plus sur la création d’applications logiques, consultez Azure Logic Apps.
Disponibilité générale d’un correctif rapide pour les ressources en bloc
Compte tenu des nombreuses tâches confiées aux utilisateurs en lien avec le degré de sécurisation, il peut devenir difficile de résoudre efficacement les problèmes survenant au sein d’un part informatique de grande taille.
Utilisez la correction de correctif rapide pour corriger les configurations incorrectes de sécurité, corriger les recommandations sur plusieurs ressources et améliorer votre score de sécurité.
Cette opération vous permet de sélectionner les ressources auxquelles à corriger et de lancer une action de correction qui configure le paramètre à votre place.
Un correctif rapide est dès aujourd’hui en disponibilité générale pour les clients dans la page Recommandations du Security Center.
Analyser des images de conteneur pour détecter des vulnérabilités (préversion)
Azure Security Center peut désormais analyser des images de conteneur dans Azure Container Registry pour rechercher des vulnérabilités.
Le balayage d’image fonctionne en analysant le fichier image du conteneur, puis en vérifiant s’il existe des vulnérabilités connues (optimisées par Qualys).
L’analyse proprement dite est déclenchée automatiquement lors de l’envoi (push) de nouvelles images de conteneur au Registre de conteneurs Azure (Azure Container Registry). Les vulnérabilités découvertes feront l’objet de recommandations de Security Center et seront incluses dans le degré de sécurisation avec des informations sur la façon de les corriger afin de réduire la surface d’attaque qu’elles offrent.
Normes de conformité réglementaire supplémentaires (préversion)
Le tableau de bord Conformité réglementaire fournit des insights sur votre posture de conformité en fonction des évaluations du Security Center. Le tableau de bord indique la conformité de votre environnement avec des contrôles et exigences stipulés par des normes réglementaires et des benchmarks sectoriels spécifiques, et fournit des recommandations prescriptives sur la façon de s’y conformer.
À ce jour, ce tableau de bord prend en charge quatre normes intégrées : Azure CIS 1.1.0, PCI-DSS, ISO 27001 et SOC-TSP. Nous annonçons maintenant la préversion publique des normes supplémentaires prises en charge : NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM et UK Official avec UK NHS. Nous publions également une version mise à jour d’Azure CIS 1.1.0, couvrant davantage de contrôles de la norme et améliorant l’extensibilité.
Protection contre les menaces pour Azure Kubernetes Service (préversion)
Kubernetes devient rapidement la nouvelle norme pour le déploiement et la gestion de logiciels dans le cloud. Rares sont les utilisateurs qui ont une expérience approfondie de Kubernetes et nombreux sont ceux qui se concentrent uniquement sur l’ingénierie et l’administration générales en négligeant la sécurité. Il convient de configurer l’environnement Kubernetes avec soin pour le sécuriser en s’assurant qu’aucune porte laissée ouverte, donnant sur une surface d’attaque de conteneurs, n’est exposée pour des attaquants. Azure Security Center étend son support en lien avec les conteneurs à un service Azure qui connaît une croissance des plus rapides, à savoir Azure Kubernetes Service (AKS).
Les nouvelles fonctionnalités de cette préversion publique sont les suivantes :
- Détection et visibilité : détection continue des instances AKS gérées à l’intérieur des abonnements inscrits de Security Center.
- Recommandations concernant le degré de sécurisation : éléments actionnables pour aider les clients à se conformer aux meilleures pratiques de sécurité pour AKS, et renforcer leur degré de sécurisation. Ces recommandations incluent des éléments tels que « Le contrôle d’accès en fonction du rôle doit être utilisé pour limiter l’accès à un cluster de service Kubernetes ».
- Détection des menaces - Analyse basée sur l’hôte et le cluster, comme « Un conteneur privilégié détecté ».
Évaluation des vulnérabilités des machines virtuelles (préversion)
Les applications installées sur les machines virtuelles peuvent souvent présenter des vulnérabilités susceptibles d’entraîner une violation de ces machines. Nous annonçons que le niveau standard Security Center inclut l’évaluation des vulnérabilités intégrée pour les machines virtuelles sans frais supplémentaires. L’évaluation des vulnérabilités, optimisée par Qualys dans la préversion publique, vous permet d’analyser en continu toutes les applications installées sur une machine virtuelle afin d’épingler celles qui sont vulnérables, et de présenter les résultats sur le portail Security Center. Security Center prend en charge toutes les opérations de déploiement afin que l’utilisateur n’ait aucun travail supplémentaire à accomplir. À l’avenir, nous prévoyons de fournir des options d’évaluation des vulnérabilités pour répondre aux besoins uniques de nos clients.
Apprenez-en davantage sur l’évaluation des vulnérabilités de vos machines virtuelles Azure.
Advanced Data Security pour SQL Server sur machines virtuelles Azure (préversion)
Le support d’Azure Security Center en lien avec la protection contre les menaces et l’évaluation des vulnérabilités pour les bases de données SQL s’exécutant sur des machines virtuelles IaaS est désormais en préversion.
L’évaluation des vulnérabilités est un service facile à configurer qui peut détecter, suivre et vous aider à corriger les vulnérabilités potentielles de la base de données. Il offre une visibilité sur votre posture de sécurité dans le cadre du degré de sécurisation et inclut des étapes pour résoudre les problèmes de sécurité et renforcer la protection de votre base de données.
La protection avancée contre les menaces détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès à votre serveur SQL ou d’exploitation de celui-ci. Elle supervise en permanence votre base de données pour détecter des activités suspectes, et envoie des alertes de sécurité orientées action en cas de modèles d’accès anormaux à la base de données. Ces alertes fournissent des détails sur les activités suspectes et des mesures recommandées pour examiner et atténuer la menace.
Prise en charge de stratégies personnalisées (préversion)
Azure Security Center prend désormais en charge les stratégies personnalisées (en préversion).
Nos clients ont exprimé le souhait d’étendre la couverture de leurs évaluations de la sécurité actuelles dans Security Center en y ajoutant leurs propres évaluations de la sécurité, basées sur des stratégies qu’ils créent dans Azure Policy. Grâce à la prise en charge des stratégies personnalisées, c’est désormais possible.
Ces stratégies personnalisées font désormais partie des recommandations d’Azure Security Center, du degré de sécurisation et du tableau de bord des normes de conformité réglementaire. Avec la prise en charge des stratégies personnalisées, vous pouvez désormais créer une initiative personnalisée dans Azure Policy, puis l’ajouter en tant que stratégie dans Azure Security Center et la visualiser en tant que recommandation.
Extension de la couverture d’Azure Security Center avec une plateforme pour la communauté et les partenaires
Utilisez Security Center pour recevoir des recommandations, non seulement de Microsoft, mais aussi de solutions existantes de partenaires tels que Check Point, Tenable et CyberArk, avec de nombreuses intégrations supplémentaires à venir. Le flux d’intégration simple de Security Center peut connecter vos solutions existantes à Security Center, ce qui vous permet d’afficher les recommandations relatives à votre posture de sécurité dans un emplacement unique, de générer des rapports unifiés et de tirer parti de toutes les fonctionnalités de Security Center en lien avec les recommandations intégrées et de partenaires. Vous pouvez également exporter les recommandations de Security Center vers des produits partenaires.
Apprenez-en davantage sur l’Association de sécurité intelligente de Microsoft.
Intégrations avancées avec exportation de recommandations et d’alertes (préversion)
Afin d’activer des scénarios de niveau entreprise en plus de Security Center, il est désormais possible d’utiliser des alertes et recommandations du Security Center dans des emplacements supplémentaires, à l’exception du portail Azure ou de l’API. Vous pouvez les exporter directement vers un Event Hub et des espaces de travail Log Analytics. Voici quelques flux de travail que vous pouvez créer autour de ces nouvelles fonctionnalités :
- Avec une exportation vers un espace de travail Log Analytics, vous pouvez créer des tableaux de bord personnalisés avec Power BI.
- Avec une exportation vers Event Hubs, vous pouvez exporter les alertes et recommandations d’Azure Security Center vers vos informations de sécurité et gestion d’événements (SIEM) tierces, vers une solution tierce ou vers Azure Data Explorer.
Intégrer des serveurs locaux à Security Center à partir du Centre d’administration Windows (préversion)
Le Centre d’administration Windows est un portail de gestion pour les serveurs Windows non déployés dans Azure, qui offre à ceux-ci plusieurs fonctionnalités de gestion Azure, telles que la sauvegarde et les mises à jour système. Nous avons récemment ajouté la possibilité d’intégrer ces serveurs non-Azure de façon à ce qu’ils soient protégés par ASC directement à partir du Centre d’administration Windows.
Les utilisateurs peuvent désormais intégrer un serveur WAC à Azure Security Center et activer l’affichage de ses alertes et recommandations de sécurité directement dans l’expérience windows Admin Center.
Septembre 2019
Les mises à jour en septembre sont les suivantes :
- Gestion des règles avec des améliorations des contrôles d’application adaptatifs
- Contrôler la recommandation de sécurité de conteneur à l’aide d’Azure Policy
Gestion des règles avec des améliorations des contrôles d’application adaptatifs
L’expérience de gestion des règles pour les machines virtuelles à l’aide de contrôles d’application adaptatifs a été améliorée. Les contrôles d’application adaptatifs d’Azure Security Center vous aident à contrôler les applications qui peuvent s’exécuter sur vos machines virtuelles. En plus d’une amélioration générale de la gestion des règles, un nouvel avantage vous permet de contrôler les types de fichiers qui seront protégés lorsque vous ajoutez une nouvelle règle.
Apprenez-en davantage sur les contrôles d’application adaptatifs.
Contrôler la recommandation de sécurité de conteneur à l’aide d’Azure Policy
La recommandation d’Azure Security Center pour corriger des vulnérabilités dans la sécurité de conteneur peut désormais être activée ou désactivée via Azure Policy.
Pour afficher vos stratégies de sécurité activées, dans le Security Center, ouvrez la page Stratégie de sécurité.
Août 2019
Les mises à jour en août sont les suivantes :
- Accès de machine virtuelle juste-à-temps (JAT) pour Pare-feu Azure
- Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
- Gestion interlocataire
Accès de machine virtuelle juste-à-temps (JAT) pour le Pare-feu Azure
L’accès de machine virtuelle juste-à-temps (JAT) pour le Pare-feu Azure est désormais généralement disponible. Utilisez-le pour sécuriser vos environnements protégés par un Pare-feu Azure en plus de vos environnements protégés par un groupe de sécurité réseau.
L’accès de machine virtuelle JAT réduit l’exposition aux attaques volumétriques de réseau en fournissant aux machines virtuelles un accès contrôlé uniquement si nécessaire, à l’aide de vos règles de groupe de sécurité réseau et de Pare-feu Azure.
Lorsque vous activez l’accès JAT pour vos machines virtuelles, vous créez une stratégie qui détermine les ports à protéger, la durée pendant laquelle les ports doivent rester ouverts et les adresses IP approuvées à partir desquelles ces ports sont accessibles. Cette stratégie vous permet contrôler ce que les utilisateurs peuvent faire quand ils demandent l’accès.
Les demandes étant consignées dans le journal d’activité Azure, vous pouvez surveiller et vérifier facilement l’accès. La page juste-à-temps vous aide également à identifier rapidement les machines virtuelles existantes pour lesquelles l’accès JAT est activé et celles pour lesquelles il est recommandé.
Apprenez-en davantage sur le Pare-feu Azure.
Correction en un seul clic pour améliorer votre posture de sécurité (préversion)
Le degré de sécurisation est un outil qui vous aide à évaluer la sécurité de la charge de travail. Il examine vos recommandations de sécurité et les hiérarchise de façon à ce que vous sachiez celles que vous devez appliquer en premier. Cela vous aide à épingler les vulnérabilités de sécurité les plus graves pour hiérarchiser l’investigation.
Afin de simplifier la correction des configurations de sécurité incorrectes et de vous aider à améliorer rapidement votre degré de sécurisation, nous avons ajouté une nouvelle fonctionnalité qui vous permet d’appliquer une recommandation à un lot de ressources en un seul clic.
Cette opération vous permet de sélectionner les ressources auxquelles à corriger et de lancer une action de correction qui configure le paramètre à votre place.
Gestion interlocataire
Azure Security Center prend désormais en charge les scénarios de gestion mutualisée dans Azure Lighthouse. Cela vous permet d’acquérir une visibilité et de gérer la posture de sécurité de plusieurs locataires dans Azure Security Center.
Apprenez-en davantage sur les expériences de gestion mutualisée.
Juillet 2019
Mises à jour des recommandations pour le réseau
Azure Security Center a publié de nouvelles recommandations pour la mise en réseau, et amélioré des recommandations existantes. Désormais, l’utilisation d’Azure Security Center garantit une meilleure protection réseau pour vos ressources.
Juin 2019
Renforcement adaptatif du réseau - mise à la disposition générale
L’une des principales surfaces d’attaque pour les charges de travail s’exécutant dans le cloud public est celle des interconnexions avec l’Internet public. Nos clients trouvent difficile de savoir quelles règles de groupe de sécurité mettre en place pour s’assurer que les charges de travail Azure ne sont disponibles que pour les plages sources requises. Cette fonctionnalité permet à Security Center d’apprendre le trafic réseau et les modèles de connectivité des charges de travail Azure, et fournit des recommandations de règle de groupe de sécurité réseau pour les machines virtuelles accessibles via Internet. Cela permet à nos clients de mieux configurer leurs stratégies d’accès réseau et de limiter leur exposition aux attaques.