Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’infrastructure comprend le matériel, les logiciels, les microservices, l’infrastructure réseau et les installations nécessaires pour prendre en charge les services informatiques d’une organisation. Les solutions d’infrastructure confiance zéro évaluent, surveillent et empêchent les menaces de sécurité pour ces services.
Les solutions d’infrastructure Confiance Zéro prennent en charge les principes de Confiance Zéro en garantissant que l’accès aux ressources d’infrastructure est vérifié explicitement, l’accès est accordé à l’aide de principes d’accès de privilège minimum, et les mécanismes sont en place qui supposent une violation et recherchent et corrigent les menaces de sécurité dans l’infrastructure.
Ce guide est destiné aux fournisseurs de logiciels et aux partenaires technologiques qui souhaitent améliorer leurs solutions de sécurité d’infrastructure en s’intégrant à des produits Microsoft.
Guide d’intégration confiance zéro pour l’infrastructure
Ce guide d’intégration inclut une stratégie et des instructions pour l’intégration à Microsoft Defender pour cloud et ses plans de protection de charge de travail cloud intégrés, Microsoft Defender pour ... (serveurs, conteneurs, bases de données, stockage, App Services, etc.).
Ces conseils incluent des intégrations avec les solutions SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response), Endpoint Detection and Response (EDR) et ITSM (It Service Management).
Confiance zéro et Defender pour le cloud
Nos conseils de déploiement d’infrastructure Confiance Zéro fournissent des étapes clés de la stratégie Confiance Zéro pour l’infrastructure :
- Évaluer la conformité avec les normes et stratégies choisies
- Renforcer la configuration où se trouvent les lacunes
- Utiliser d’autres outils de renforcement tels que l’accès juste-à-temps (JIT) aux machines virtuelles
- Configurer la détection et les protections des menaces
- Bloquer et marquer automatiquement le comportement à risque et prendre des mesures de protection
Il existe un mappage clair des objectifs décrits dans les instructions de déploiement d’infrastructure aux principaux aspects de Defender pour cloud.
| Objectif confiance zéro | Fonctionnalité Defender pour le cloud |
|---|---|
| Évaluer la conformité | Dans Defender pour Cloud, chaque abonnement dispose automatiquement du benchmark de sécurité cloud Microsoft (MCSB) attribué comme initiative de sécurité par défaut. À l’aide des outils de score sécurisé et du tableau de bord de conformité réglementaire , vous pouvez obtenir une compréhension approfondie de la posture de sécurité de votre client. |
| Renforcement de la configuration | Attribuez des initiatives de sécurité aux abonnements et passez en revue le score sécurisé pour vous amener à obtenir les recommandations de renforcement intégrées à Defender pour Cloud. Defender pour Cloud analyse régulièrement l’état de conformité des ressources pour identifier les erreurs de configuration et les faiblesses de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de corriger ces problèmes. |
| Utiliser des mécanismes de renforcement | Et des correctifs ponctuels pour les configurations incorrectes de sécurité, Defender pour Cloud inclut des fonctionnalités pour renforcer davantage vos ressources telles que : Accès juste-à-temps (JIT) à la machine virtuelle Renforcement du réseau adaptatif Contrôles d’application adaptatifs. |
| Configurer la détection des menaces | Defender pour cloud offre des plans de protection de charge de travail cloud intégrés, pour la détection et la réponse aux menaces. Les plans fournissent une protection avancée et intelligente des ressources et des charges de travail d’Azure, ainsi que des environnements hybrides et multiclouds. L’un des plans Microsoft Defender, Defender pour serveurs, inclut une intégration native avec Microsoft Defender pour point de terminaison. En savoir plus dans Présentation de Microsoft Defender pour cloud. |
| Bloquer automatiquement le comportement suspect | La plupart des recommandations de renforcement dans Defender for Cloud offrent une option de refus . Cette fonctionnalité vous permet d’empêcher la création de ressources qui ne répondent pas aux critères de renforcement définis. Pour en savoir plus, consultez Empêcher les configurations incorrectes avec les recommandations Appliquer/Refuser. |
| Marquer automatiquement le comportement suspect | Les détections avancées déclenchent les alertes de sécurité de Microsoft Defender pour cloud. Defender pour Cloud hiérarchise et répertorie les alertes, ainsi que les informations nécessaires pour vous permettre d’examiner rapidement le problème. Defender pour Cloud fournit également des étapes détaillées pour vous aider à corriger les attaques. Pour obtenir la liste complète des alertes disponibles, consultez le guide de référence des alertes de sécurité. |
Protéger vos services PaaS Azure avec Defender pour cloud
Avec Defender pour Cloud activé sur votre abonnement et les plans de protection des charges de travail Defender activés pour tous les types de ressources disponibles, vous disposez d’une couche de protection intelligente contre les menaces, de protection des ressources dans Azure Key Vault, stockage Azure, Azure DNS et d’autres services PaaS Azure. Pour obtenir une liste complète, consultez les services PaaS répertoriés dans la matrice de support.
Azure Logic Apps
Utilisez Azure Logic Apps pour créer des flux de travail évolutifs automatisés, des processus métier et des orchestrations d’entreprise pour intégrer vos applications et données dans les services cloud et les systèmes locaux.
La fonctionnalité d’automatisation des flux de travail de Defender pour cloud vous permet d’automatiser les réponses aux déclencheurs Defender pour cloud.
Cette approche est un excellent moyen de définir et de répondre de manière automatisée et cohérente lorsque des menaces sont découvertes. Par exemple, pour avertir les parties prenantes pertinentes, lancer un processus de gestion des modifications et appliquer des étapes de correction spécifiques lorsqu’une menace est détectée.
Intégrer Defender pour Cloud à vos solutions SIEM, SOAR et ITSM
Microsoft Defender pour Cloud peut diffuser en continu vos alertes de sécurité vers les solutions de gestion des informations et des événements de sécurité (SIEM), d'orchestration de la sécurité et de réponse automatisée (SOAR), ainsi que de gestion des services informatiques (ITSM) les plus populaires.
Il existe des outils natifs Azure pour vous assurer que vous pouvez afficher vos données d’alerte dans toutes les solutions les plus populaires utilisées aujourd’hui, notamment :
- Microsoft Sentinel
- Splunk Enterprise et Splunk Cloud
- QRadar d’IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender pour Cloud s'intègre en mode natif à Microsoft Sentinel, la solution SIEM (gestion des événements et informations de sécurité) et la solution SOAR (orchestration de sécurité et réponse automatisée) de Microsoft.
Il existe deux approches pour garantir que vos données Defender pour cloud sont représentées dans Microsoft Sentinel :
Connecteurs Sentinel - Microsoft Sentinel inclut des connecteurs intégrés pour Microsoft Defender pour le Cloud, aux niveaux de l’abonnement et du locataire :
- Diffuser des alertes vers Microsoft Sentinel au niveau de l’abonnement
- Connecter tous les abonnements de votre locataire à Microsoft Sentinel
Conseil / Astuce
Apprenez-en davantage dans Connecter des alertes de sécurité à partir de Microsoft Defender pour Cloud.
Transférer vos journaux de contrôle : une autre façon d’examiner les alertes de la Solution Microsoft Defender pour le Cloud dans Microsoft Sentinel consiste à transférer vos journaux de contrôle dans Microsoft Sentinel.
Diffuser des alertes avec l’API sécurité Microsoft Graph
Defender pour cloud dispose d’une intégration prête à l’emploi avec l’API de sécurité Microsoft Graph. Aucune configuration n’est requise et aucun coût supplémentaire n’est nécessaire.
Vous pouvez utiliser cette API pour diffuser en continu des alertes de l'ensemble du tenant (et des données de nombreux autres produits de sécurité Microsoft) vers des SIEM non-Microsoft et d’autres plateformes populaires :
- Splunk Enterprise et Splunk Cloud - Utiliser l’API de sécurité Microsoft Graph Add-On pour Splunk
- Power BI - Se connecter à l’API de sécurité Microsoft Graph dans Power BI Desktop
- ServiceNow - Suivez les instructions pour installer et configurer l’application API sécurité Microsoft Graph à partir du ServiceNow Store
- QRadar - Module de prise en charge des appareils d’IBM pour Microsoft Defender pour cloud via l’API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark, etc. - API de sécurité Microsoft Graph
En savoir plus sur l’API sécurité Microsoft Graph.
Diffuser des alertes avec Azure Monitor
Utilisez la fonctionnalité d’exportation continue de Defender pour cloud pour connecter Defender pour cloud à Azure Monitor via Azure Event Hubs et diffuser des alertes dans ArcSight, SumoLogic, serveurs Syslog, LogRhythm, Logz.io Plateforme d’observabilité cloud et d’autres solutions de supervision.
En savoir plus sur les alertes Stream avec Azure Monitor.
Vous pouvez également effectuer cette opération au niveau du groupe d’administration à l’aide d’Azure Policy. Consultez Créer des configurations d’automatisation d’exportation continue à grande échelle.
Conseil / Astuce
Pour afficher les schémas d’événements des types de données exportés, visitez les schémas d’événements Event Hubs.
Intégrer Defender pour cloud à une solution EDR (Endpoint Detection and Response)
Microsoft Defender pour point de terminaison
Microsoft Defender pour point de terminaison est une solution globale de sécurité de point de terminaison fournie par le cloud.
Microsoft Defender pour serveurs inclut une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils fournissent des fonctionnalités complètes de détection et de réponse des points de terminaison (EDR). Pour plus d’informations, consultez Protéger vos points de terminaison.
Lorsque Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour cloud et vous pouvez pivoter vers la console Defender pour point de terminaison pour effectuer une investigation détaillée et découvrir l’étendue de l’attaque. En savoir plus sur Microsoft Defender pour point de terminaison.
Autres solutions EDR
Defender pour Cloud fournit des recommandations de renforcement pour vous assurer que vous sécurisez les ressources de votre organisation en fonction des instructions du benchmark de sécurité cloud Microsoft (MCSB). L’un des contrôles du benchmark concerne la sécurité des points de terminaison : ES-1 : Utiliser la détection et la réponse des points de terminaison (EDR).
Il existe deux recommandations dans Defender for Cloud pour vous assurer que vous avez activé la protection des points de terminaison et qu’elle s’exécute correctement. Ces recommandations vérifient la présence et l’intégrité opérationnelle des solutions EDR à partir de :
- Trend Micro
- Symantec
- Mcafee
- Sophos
En savoir plus sur l’évaluation et les recommandations de Endpoint Protection dans Microsoft Defender pour cloud.
Appliquer votre stratégie Confiance Zéro aux scénarios hybrides et multiclouds
Avec les charges de travail cloud couvrant généralement plusieurs plateformes cloud, les services de sécurité cloud doivent faire de même.
Microsoft Defender pour Cloud protège les charges de travail où qu’elles s’exécutent : dans Azure, localement, Amazon Web Services (AWS) ou Google Cloud Platform (GCP).
Intégrer Defender pour cloud à des machines locales
Pour sécuriser les charges de travail cloud hybrides, vous pouvez étendre les protections de Defender pour cloud en connectant des machines locales à des serveurs avec Azure Arc.
Découvrez comment connecter des machines dans Connecter vos machines non-Azure à Defender pour cloud.
Intégrer Defender pour cloud à d’autres environnements cloud
Pour afficher la posture de sécurité des machines Amazon Web Services dans Defender pour Cloud, intégrez des comptes AWS à Defender pour Cloud. Cette approche intègre AWS Security Hub et Microsoft Defender pour cloud pour une vue unifiée des recommandations Defender pour cloud et des résultats AWS Security Hub, et offre un éventail d’avantages, comme décrit dans Connecter vos comptes AWS à Microsoft Defender pour Cloud.
Pour afficher la posture de sécurité des machines Google Cloud Platform dans Defender pour Cloud, intégrez des comptes GCP à Defender pour Cloud. Cette approche intègre GCP Security Command et Microsoft Defender for Cloud pour une vue unifiée des recommandations Defender pour cloud et des résultats du Centre de commandes de sécurité GCP et offre un éventail d’avantages, comme décrit dans Connecter vos comptes GCP à Microsoft Defender pour Cloud.
Étapes suivantes
Pour en savoir plus sur Microsoft Defender pour cloud, consultez la documentation complète de Defender pour cloud.