Recommandations de sécurité déconseillées
Cet article répertorie toutes les recommandations de sécurité déconseillées dans Microsoft Defender pour le cloud.
Recommandations déconseillées Azure
L'accès à App Services doit être limité
Description & stratégie associée : restreindre l’accès à vos Services d’application en modifiant la configuration réseau, pour refuser le trafic entrant à partir de plages trop larges. (Stratégie associée : [Préversion] : l’accès à App Services doit être restreint).
Gravité : élevée
Les problèmes d’intégrité Endpoint Protection sur les machines doivent être résolus
Description : Résolvez les problèmes d’intégrité de protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Consultez la documentation relative aux solutions Endpoint Protection prises en charge par Defender pour le cloud et aux évaluations Endpoint Protection. (Aucune stratégie associée)
Gravité : moyenne
Endpoint Protection doit être installé sur les machines
Description : Pour protéger les machines contre les menaces et les vulnérabilités, installez une solution de protection de point de terminaison prise en charge. Pour en savoir plus sur l’évaluation d’Endpoint Protection pour les machines, consultez Évaluation et recommandations Endpoint Protection dans Microsoft Defender pour le cloud. (Aucune stratégie associée)
Gravité : élevée
Installer Azure Security Center pour le module de sécurité IoT afin d’obtenir une meilleure visibilité sur vos appareils IoT
Description & stratégie associée : Installez le module de sécurité Azure Security Center pour IoT pour obtenir plus de visibilité sur vos appareils IoT.
Gravité : faible
Java doit être mis à jour vers la dernière version pour les applications de fonction
Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Java en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version java est la plus récente, si elle est utilisée dans le cadre de l’application de fonction).
Gravité : moyenne
Java doit être mis à jour vers la dernière version pour les applications web
Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Java en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : assurez-vous que la « version Java » est la plus récente, si elle est utilisée dans le cadre de l’application web).
Gravité : moyenne
L’agent d’analyse doit être installé sur vos machines
Description & stratégie associée : cette action installe un agent de surveillance sur les machines virtuelles sélectionnées. Sélectionnez un espace de travail vers lequel l’agent doit envoyer ses rapports. (Aucune stratégie associée)
Gravité : élevée
PHP doit être mis à jour vers la dernière version pour les applications web
Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels PHP en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : Vérifiez que la version PHP est la plus récente, si elle est utilisée dans le cadre de l’application WEB).
Gravité : moyenne
Des stratégies de sécurité de pod doivent être définies pour réduire le vecteur d’attaque en supprimant les privilèges d’application inutiles (préversion)
Description & stratégie associée : définissez des stratégies de sécurité de pod pour réduire le vecteur d’attaque en supprimant les privilèges d’application inutiles. Il est recommandé de configurer des stratégies de sécurité de pod afin que les pods ne puissent accéder qu’aux ressources auxquelles ils sont autorisés à accéder. (Stratégie associée : [Préversion] : les stratégies de sécurité des pods doivent être définies sur Kubernetes Services).
Gravité : moyenne
L’accès au réseau public doit être désactivé pour les comptes Cognitive Services
Description : cette stratégie audite n’importe quel compte Cognitive Services dans votre environnement avec l’accès au réseau public activé. L’accès au réseau public doit être désactivé afin que seules les connexions à partir des points de terminaison privés soient autorisées. (Stratégie associée : L’accès au réseau public doit être désactivé pour les comptes Cognitive Services.
Gravité : moyenne
Python doit être mis à jour vers la dernière version pour les applications de fonction
Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Python en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application de fonction).
Gravité : moyenne
Python doit être mis à jour vers la dernière version pour les applications web
Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Python en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application web).
Gravité : moyenne
Les règles relatives aux applications web doivent être renforcées sur les groupes de sécurité réseau IaaS
Description & stratégie associée : Renforcer le groupe de sécurité réseau (NSG) de vos machines virtuelles exécutant des applications web, avec des règles de groupe de sécurité réseau trop permissives en ce qui concerne les ports d’application web. (Stratégie associée : Les règles des groupes de sécurité réseau pour les applications web sur IaaS doivent être renforcées).
Gravité : élevée
Vos machines doivent être redémarrées pour appliquer les mises à jour système
Description & stratégie associée : redémarrez vos machines pour appliquer les mises à jour système et sécuriser l’ordinateur contre les vulnérabilités. (Stratégie associée : les mises à jour système doivent être installées sur vos machines).
Gravité : moyenne
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur les abonnements
Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant d’autorisations de propriétaire pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement.
Gravité : élevée
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’accès en lecture les abonnements
Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant de privilèges de lecture pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement.
Gravité : élevée
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’accès en écriture sur les abonnements
Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant de privilèges d’écriture pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée pour les comptes disposant d’autorisations d’écriture sur votre abonnement.
Gravité : élevée