Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud.
ES-1 : Utiliser la détection et la réponse aux incidents sur les terminaux (EDR)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Principe de sécurité : activez les fonctionnalités de détection et de réponse des points de terminaison (EDR) pour les machines virtuelles et intégrez-les aux processus d'opérations de sécurité et de gestion des informations et des événements de sécurité (SIEM).
Conseils Azure : Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR pour empêcher, détecter, examiner et répondre aux menaces avancées.
Utilisez Microsoft Defender pour cloud pour déployer Microsoft Defender pour les serveurs sur vos points de terminaison et intégrer les alertes à votre solution SIEM telle que Microsoft Sentinel.
Implémentation Azure et contexte supplémentaire :
- présentation d’Azure Defender pour serveurs
- Microsoft Defender pour point de terminaison vue d’ensemble
- couverture des fonctionnalités microsoft Defender pour cloud pour les machines
- Connector pour l’intégration de Defender pour serveurs à SIEM
Conseils AWS : Intégrez votre compte AWS à Microsoft Defender pour cloud et déployez Microsoft Defender pour serveurs (avec Microsoft Defender pour point de terminaison intégré) sur vos instances EC2 afin de fournir des fonctionnalités EDR pour empêcher, détecter, examiner et répondre aux menaces avancées.
Vous pouvez également utiliser la fonctionnalité de veille des menaces intégrée d’Amazon GuardDuty pour surveiller et protéger vos instances EC2. Amazon GuardDuty peut détecter des activités anormales telles que l’activité indiquant une compromission d’instance, comme l’exploration de données de crypto-monnaie, les programmes malveillants à l’aide d’algorithmes de génération de domaine (DGA), le déni de service sortant, le volume inhabituel de trafic réseau, les protocoles réseau inhabituels, la communication d’instance sortante avec une adresse IP malveillante connue, les informations d’identification Amazon EC2 temporaires utilisées par une adresse IP externe et l’exfiltration de données à l’aide de DNS.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Intégrez votre projet GCP à Microsoft Defender pour cloud et déployez Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) sur vos instances de machine virtuelle afin de fournir des fonctionnalités EDR pour empêcher, détecter, examiner et répondre aux menaces avancées.
Vous pouvez également utiliser le Centre de commandes de sécurité de Google pour les informations intégrées sur les menaces pour surveiller et protéger vos instances de machine virtuelle. Security Command Center peut détecter des activités anormales telles que les informations d’identification potentiellement divulguées, l’exploration de crypto-monnaie, les applications potentiellement malveillantes, l’activité réseau malveillante, etc.
Implémentation GCP et contexte supplémentaire :
- Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour cloud :
- Vue d’ensemble du Centre de commandes de sécurité :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité de l’infrastructure et du point de terminaison
- Renseignement sur les menaces
- Gestion de la conformité de la sécurité
- Gestion de la posture
ES-2 : Utiliser des logiciels anti-programmes malveillants modernes
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Principe de sécurité : utilisez des solutions anti-programme malveillant (également appelées protection de point de terminaison) capables de protéger en temps réel et d’analyser périodiquement.
Conseils Azure : Microsoft Defender pour Cloud peut identifier automatiquement l’utilisation d’un certain nombre de solutions anti-programmes malveillants populaires pour vos machines virtuelles et machines locales avec Azure Arc configuré et signaler l’état d’exécution de la protection des points de terminaison et formuler des recommandations.
L’Antivirus Microsoft Defender est la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les machines virtuelles Linux, utilisez Microsoft Defender for Endpoint sur Linux pour la fonctionnalité de protection de point de terminaison.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : Vous pouvez également utiliser Microsoft Defender pour le stockage Defender pour cloud pour détecter les programmes malveillants chargés sur des comptes de stockage Azure.
Implémentation Azure et contexte supplémentaire :
- Solutions de protection des points de terminaison prises en charge
- Comment configurer Microsoft Antimalware pour les services cloud et les machines virtuelles
Conseils AWS : Intégrez votre compte AWS à Microsoft Defender pour Cloud pour permettre à Microsoft Defender pour Cloud d’identifier automatiquement l’utilisation de certaines solutions anti-programmes malveillants populaires pour les instances EC2 avec Azure Arc configuré et signalez l’état d’exécution de la protection des points de terminaison et faites des recommandations.
Déployez l’antivirus Microsoft Defender, la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour les instances EC2 exécutant Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les instances EC2 exécutant Linux, utilisez Microsoft Defender for Endpoint sur Linux pour la fonctionnalité de protection de point de terminaison.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : Microsoft Defender Cloud prend également en charge certains produits tiers de protection des points de connexion pour l’évaluation des capacités de découverte et de l’état de santé.
Implémentation AWS et contexte supplémentaire :
- GuardDuty EC2 recherche
- solutions de protection des points de terminaison prises en charge par Microsoft Defender
- recommandations de protection des points de terminaison dans Microsoft Defender pour clouds
Conseils GCP : Intégrez vos projets GCP à Microsoft Defender pour Cloud pour permettre à Microsoft Defender pour Cloud d’identifier automatiquement l’utilisation de solutions anti-programmes malveillants populaires pour les instances de machine virtuelle avec Azure Arc configuré et signalez l’état de la protection des points de terminaison et faites des recommandations.
Déployez l’antivirus Microsoft Defender, la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour les instances de machine virtuelle exécutant Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les instances de machine virtuelle exécutant Linux, utilisez Microsoft Defender pour point de terminaison sur Linux pour la fonctionnalité de protection des points de terminaison.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : Microsoft Defender Cloud prend également en charge certains produits tiers de protection des points de connexion pour l’évaluation des capacités de découverte et de l’état de santé.
Implémentation GCP et contexte supplémentaire :
- solutions de protection des points de terminaison prises en charge par Microsoft Defender :
- recommandations de protection des points de terminaison dans Microsoft Defender pour clouds :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité de l’infrastructure et du point de terminaison
- Renseignement sur les menaces
- Gestion de la conformité de la sécurité
- Gestion de la posture
ES-3 : Vérifier que les logiciels et signatures anti-programmes malveillants sont mis à jour
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Principe de sécurité : vérifiez que les signatures anti-programme malveillant sont mises à jour rapidement et de manière cohérente pour la solution anti-programme malveillant.
Conseils Azure : Suivez les recommandations de Microsoft Defender pour Cloud pour maintenir tous les points de terminaison à jour avec les dernières signatures. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation Azure et contexte supplémentaire :
- Comment déployer Microsoft Antimalware pour les services cloud et la machine virtuelle
- Recommandations et évaluation des protections de points de terminaison dans Microsoft Defender pour le cloud
Conseils AWS : Avec votre compte AWS intégré à Microsoft Defender pour Cloud, suivez les recommandations de Microsoft Defender pour Cloud pour conserver tous les points de terminaison à jour avec les dernières signatures. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Avec vos projets GCP intégrés à Microsoft Defender pour cloud, suivez les recommandations de Microsoft Defender pour cloud pour maintenir toutes les solutions EDR à jour avec les dernières signatures. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :