Sécurité des données Microsoft Defender pour le cloud
Pour aider les clients à prévenir, détecter et contrer les menaces, Microsoft Defender pour le cloud collecte et traite des données de sécurité, notamment des informations de configuration, des métadonnées et des journaux d’événements. Microsoft adhère aux recommandations strictes de conformité et de sécurité, du codage jusqu'à l'exploitation d'un service.
Cet article explique comment les données sont gérées et protégées dans Defender pour le cloud.
Sources de données
Pour assurer une visibilité de l’état de la sécurité, identifier les vulnérabilités, recommander des mesures d’atténuation et détecter des menaces actives, Defender pour le cloud analyse les données provenant des sources suivantes :
- Services Azure : utilise les informations relatives à la configuration des services Azure que vous avez déployés en communiquant avec le fournisseur de ressources de ce service.
- Trafic réseau : tire parti des métadonnées de trafic réseau échantillonnées provenant de l'infrastructure de Microsoft, telles que l'IP/le port source/de destination, la taille de paquet et le protocole réseau.
- Solutions de partenaires : collecte les alertes de sécurité des solutions de partenaires intégrées, telles que les solutions de pare-feu et anti-programme malveillant.
- Vos machines : utilise les détails de configuration et les informations relatives aux événements de sécurité, telles que les événements Windows, les journaux d’audit et les messages syslog de vos machines.
Partage des données
Quand vous activez l’analyse des programmes malveillants de Defender pour le stockage, il est possible qu’elle partage des métadonnées, y compris des métadonnées classifiées en tant que données client (par exemple le hachage SHA-256), avec Microsoft Defender for Endpoint.
Microsoft Defender pour le cloud exécutant le plan de gestion de la posture de sécurité cloud (CSPM) de Microsoft Defender pour le cloud partage des données qui sont intégrées aux recommandations de Microsoft Security Exposure Management.
Remarque
Microsoft Security Exposure Management est actuellement en préversion publique.
Protection des données
Ségrégation des données
les données client sont maintenues séparées logiquement sur chaque composant, dans l'ensemble du service. Toutes les données sont balisées en fonction de l'organisation. Ce balisage est conservé tout au long du cycle de vie des données, et il est appliqué dans chaque couche du service.
Accès aux données
Pour fournir des suggestions en matière de sécurité et enquêter sur les éventuelles menaces de sécurité, il est possible que le personnel de Microsoft accède aux informations collectées ou analysées par les services Azure, notamment les événements de création de processus et d’autres artefacts, qui peuvent involontairement exposer des données client ou personnelles provenant de vos machines.
Nous respectons l’Addendum relatif à la protection de Microsoft Online Services, qui indique que Microsoft n’utilisera pas les données client ou ne tirera pas d’informations de ces dernières à des fins commerciales, publicitaires ou similaires. Nous utilisons uniquement les données client en fonction des besoins pour vous proposer des services Azure, notamment des utilisations compatibles avec la fourniture de ces services. Vous conservez tous les droits sur les données client.
Utilisation des données
Microsoft utilise des modèles et des informations sur les menaces observées auprès de multiples locataires pour améliorer ses fonctionnalités de prévention et de détection. Cette utilisation s'effectue en accord avec les engagements de confidentialité décrits dans la Déclaration de confidentialité de Microsoft.
Gérer la collecte de données à partir de machines
Lorsque vous activez Defender pour le cloud dans Azure, la collecte de données est activée pour chacun de vos abonnements Azure. Vous pouvez également activer la collecte de données pour vos abonnements dans Defender pour le cloud. Lorsque la collecte de données est activée, Defender pour le cloud provisionne l’agent Log Analytics sur toutes les machines virtuelles Azure prises en charge préexistantes et nouvellement créées.
L'agent Log Analytics analyse diverses configurations de sécurité et crée des événements sous la forme de traces de Suivi d’événements pour Windows (ETW). En outre, le système d’exploitation déclenche des événements du Journal des événements au cours de l’exécution de la machine. Il peut s’agir des données suivantes : type et version de système d’exploitation, journaux d’activité de système d’exploitation (journaux d’événements Windows), processus en cours d’exécution, nom de machine, adresses IP, utilisateur connecté et ID de locataire. L'agent Log Analytics lit les entrées du journal des événements et les traces ETW, puis les copie dans vos espaces de travail à des fins d’analyse. L’agent Log Analytics active également les événements de création de processus et l’audit de ligne de commande.
Si vous n’utilisez pas les fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud, vous pouvez également désactiver la collecte de données à partir des machines virtuelles dans la stratégie de sécurité. La collecte des données est obligatoire pour les abonnements protégés par les fonctionnalités de sécurité renforcée. La collecte des artefacts et des captures instantanées des disques de machine virtuelle reste activée, même si la collecte de données est désactivée.
Vous pouvez spécifier l’espace de travail et la région où sont stockées les données collectées à partir de vos machines. La valeur par défaut consiste à stocker les données collectées à partir de vos machines dans l’espace de travail le plus proche, comme indiqué dans le tableau suivant :
Zone géographique de machine virtuelle | Zone géographique d’espace de travail |
---|---|
États-Unis, Brésil, Afrique du Sud | États-Unis |
Canada | Canada |
Europe (à l’exclusion du Royaume-Uni) | Europe |
Royaume-Uni | Royaume-Uni |
Asie (à l’exception de l’Inde, du Japon, de la Corée, de la Chine) | Asie-Pacifique |
Corée du Sud | Asie-Pacifique |
Inde | Inde |
Japon | Japon |
Chine | Chine |
Australie | Australie |
Notes
Microsoft Defender pour le stockage stocke les artefacts de façon régionale en fonction de l’emplacement de la ressource Azure associée. En savoir plus dans Vue d’ensemble de Microsoft Defender pour le stockage.
Consommation des données
Les clients peuvent accéder aux données associées à Defender pour le cloud à partir des flux de données suivants :
STREAM | Types de données |
---|---|
Journal d’activité Azure | Toutes les alertes de sécurité approuvées par Defender pour le cloud sont associées aux demandes d'accès juste-à-temps (JIT). |
Journaux d’activité Azure Monitor | Toutes les alertes de sécurité. |
Azure Resource Graph | Alertes de sécurité, recommandations de sécurité, résultats d’évaluation des vulnérabilités, informations sur le degré de sécurisation, état des vérifications de conformité, et bien plus encore. |
API REST Microsoft Defender pour le cloud | Alertes de sécurité, recommandations de sécurité et bien plus encore. |
Notes
Si aucun plan Defender n’est activé sur l’abonnement, les données sont supprimées d’Azure Resource Graph après 30 jours d’inactivité dans le portail Microsoft Defender pour le cloud. Après l’interaction avec les artefacts dans le portail lié à l’abonnement, les données doivent être à nouveau visibles dans les 24 heures.
Conservation des données
Lorsque le graphique de sécurité du cloud collecte des données auprès d’Azure et d’environnements cloud et d’autres sources de données, il conserve les données pendant une période de 14 jours. Les données sont supprimées au-delà de 14 jours.
Il est possible que les données calculées, telles que les chemins d’attaque, soient conservées pendant 14 jours de jours. Les données calculées comprennent des données dérivées des données brutes collectées à partir de l’environnement. Par exemple, le chemin d’attaque est dérivé des données brutes collectées auprès de l’environnement.
Ces informations sont collectées conformément aux engagements en matière de confidentialité décrits dans notre Déclaration de confidentialité.
Defender pour le cloud et intégration de Microsoft Defender 365 Defender
Quand vous activez un des plans payants de Defender pour le cloud, vous bénéficiez automatiquement de tous les avantages de Microsoft Defender XDR. Les informations provenant de Microsoft Defender pour le cloud seront partagées avec Microsoft Defender XDR. Ces données peuvent contenir des données client et seront stockées en fonction de instructions de gestion des données Microsoft 365.