Tutoriel : Utiliser Azure Security Center pour surveiller les machines virtuelles

Azure Security Center peut vous aider à obtenir une visibilité sur vos pratiques de sécurité des ressources Azure. Security Center offre une surveillance intégrée de la sécurité. Il peut détecter les menaces qui, sinon, peuvent passer inaperçues. Dans ce tutoriel, vous allez découvrir Azure Security Center et comment :

Vue d’ensemble de Security Center

Security Center identifie les problèmes de configuration potentiels de machine virtuelle et les menaces de sécurité ciblées. Il peut s’agir de machines virtuelles qui manquent de groupes de sécurité réseau, de disques non chiffrés et d’attaques RDP (Remote Desktop Protocol). Les informations sont affichées sur le tableau de bord Security Center dans des graphiques faciles à lire.

Pour accéder au tableau de bord Security Center, dans le portail Azure, dans le menu, sélectionnez Security Center. Dans le tableau de bord, vous pouvez voir l’intégrité de la sécurité de votre environnement Azure, rechercher un nombre de recommandations actuelles et afficher l’état actuel des alertes de menace. Vous pouvez développer chaque graphique de haut niveau pour afficher plus de détails.

tableau de bord

Security Center va au-delà de la découverte des données pour fournir des recommandations pour les problèmes qu’il détecte. Par exemple, si une machine virtuelle a été déployée sans groupe de sécurité réseau attaché, Security Center affiche une recommandation, avec des étapes de correction que vous pouvez effectuer. Vous obtenez une correction automatisée sans quitter le contexte de Security Center.

Configurer la collecte de données

Avant de pouvoir obtenir une visibilité sur les configurations de sécurité des machines virtuelles, vous devez configurer la collecte de données Security Center. Cela implique d’activer la collecte de données qui installe automatiquement Microsoft Monitoring Agent sur toutes les machines virtuelles de votre abonnement.

1. Dans le tableau de bord Security Center, cliquez sur stratégie de sécurité, puis sélectionnez votre abonnement.
2. Pour la collecte de données, dans Auto Provisioning, sélectionnez Activé.
3. Pour configuration de l’espace de travail par défaut laissez-le tel quel : Utiliser des espaces de travail créés par Security Center (par défaut).
4. Sous événements de sécurité conservez l’option par défaut de common.
5. Cliquez sur Enregistrer en haut de la page.

L’agent de collecte de données Security Center est ensuite installé sur toutes les machines virtuelles et la collecte de données commence.

Configurer une stratégie de sécurité

Les stratégies de sécurité sont utilisées pour définir les éléments pour lesquels Security Center collecte des données et émet des recommandations. Vous pouvez appliquer différentes stratégies de sécurité à différents ensembles de ressources Azure. Bien que par défaut, les ressources Azure soient évaluées par rapport à tous les éléments de stratégie, vous pouvez désactiver des éléments de stratégie individuels pour toutes les ressources Azure ou pour un groupe de ressources. Pour plus d'informations sur les stratégies de sécurité dans Azure Security Center, consultez Définir des stratégies de sécurité dans Azure Security Center.

Pour configurer une stratégie de sécurité pour un abonnement entier :

1. Dans le tableau de bord Security Center, sélectionnez stratégie de sécurité, puis sélectionnez votre abonnement.
2. Dans le panneau de stratégie de sécurité, sélectionnez stratégie de sécurité.
3. Dans le panneau Stratégie de sécurité - Stratégie de sécurité, activez ou désactivez les éléments de la stratégie que vous souhaitez appliquer à l’abonnement.
4. Lorsque vous avez terminé de sélectionner vos paramètres, sélectionnez Enregistrer en haut du panneau.

politique unique

Afficher l’intégrité de la configuration des machines virtuelles

Une fois que vous avez activé la collecte de données et défini une stratégie de sécurité, Security Center commence à fournir des alertes et des recommandations. À mesure que les machines virtuelles sont déployées, l’agent de collecte de données est installé. Security Center est ensuite rempli avec des données pour les nouvelles machines virtuelles. Pour plus d’informations sur l’intégrité de la configuration des machines virtuelles, consultez Protéger vos machines virtuelles dans Security Center.

À mesure que les données sont collectées, l’intégrité des ressources pour chaque machine virtuelle et la ressource Azure associée sont agrégées. Les informations sont affichées dans un graphique facile à lire.

Pour afficher la santé des ressources :

1. Dans le tableau de bord du Security Center, sous Prévention, sélectionnez Ressources de calcul.
2. Dans le panneau Calcul, sélectionnez machines virtuelles et ordinateurs. Cette vue fournit un résumé de l’état de configuration de toutes vos machines virtuelles.

Pour afficher toutes les recommandations relatives à une machine virtuelle, sélectionnez la machine virtuelle.

Corriger les problèmes de configuration

Une fois Security Center commencé à remplir les données de configuration, les recommandations sont faites en fonction de la stratégie de sécurité que vous avez configurée. Par exemple, si une machine virtuelle a été configurée sans groupe de sécurité réseau associé, une recommandation est faite pour en créer une.

Pour afficher la liste de toutes les recommandations :

1. Dans le tableau de bord du Centre de sécurité, sélectionnez Recommandations.
2. Sélectionnez une recommandation spécifique. Liste de toutes les ressources pour lesquelles la recommandation s’applique s’affiche.
3. Pour appliquer une recommandation, sélectionnez la ressource.
4. Suivez les instructions pour les étapes de correction.

Dans de nombreux cas, Security Center fournit des étapes actionnables que vous pouvez prendre pour traiter une recommandation sans quitter Security Center. Dans l’exemple suivant, Security Center détecte un groupe de sécurité réseau disposant d’une règle de trafic entrant illimité. Sur la page de recommandations, vous pouvez sélectionner le bouton Modifier les règles de trafic entrant. L’interface utilisateur nécessaire pour modifier la règle s’affiche.

Comme les recommandations sont corrigées, elles sont marquées comme résolues.

Afficher les menaces détectées

En plus des recommandations de configuration des ressources, Security Center affiche des alertes de détection des menaces. La fonctionnalité alertes de sécurité agrège les données collectées à partir de chaque machine virtuelle, des journaux de mise en réseau Azure et des solutions partenaires connectées pour détecter les menaces de sécurité contre les ressources Azure. Pour plus d’informations sur les fonctionnalités de détection des menaces du Centre de Sécurité, consultez Comment le Centre de Sécurité détecte-t-il les menaces ?.

La fonctionnalité alertes de sécurité nécessite que le niveau tarifaire security Center soit augmenté de gratuit à standard. Un essai gratuit est disponible lorsque vous passez à ce niveau tarifaire supérieur.

Pour modifier le niveau tarifaire :

1. Dans le tableau de bord Security Center, cliquez sur stratégie de sécurité, puis sélectionnez votre abonnement.
2. Sélectionnez Niveau tarifaire.
3. Sélectionnez Standard, puis cliquez sur Enregistrer en haut du volet.

Une fois que vous avez modifié le niveau tarifaire, le graphique des alertes de sécurité commence à remplir à mesure que des menaces de sécurité sont détectées.

alertes de sécurité

Sélectionnez une alerte pour afficher les informations. Par exemple, vous pouvez voir une description de la menace, de l’heure de détection, de toutes les tentatives de menace et de la correction recommandée. Dans l’exemple suivant, une attaque par force brute RDP a été détectée, avec 294 tentatives RDP ayant échoué. Une résolution recommandée est fournie.

attaque RDP

Étapes suivantes

Dans ce tutoriel, vous avez configuré Azure Security Center, puis examiné les machines virtuelles dans Security Center. Vous avez appris à :

Passez au tutoriel suivant pour en savoir plus sur la création d’un pipeline CI/CD avec Jenkins, GitHub et Docker.