Partager via


Recommandations de sécurité déconseillées

Cet article répertorie toutes les recommandations de sécurité déconseillées dans Microsoft Defender pour le cloud.

Recommandations déconseillées Azure

L'accès à App Services doit être limité

Description & stratégie associée : restreindre l’accès à vos Services d’application en modifiant la configuration réseau, pour refuser le trafic entrant à partir de plages trop larges. (Stratégie associée : [Préversion] : l’accès à App Services doit être restreint).

Gravité : élevée

Les problèmes d’intégrité Endpoint Protection sur les machines doivent être résolus

Description : Résolvez les problèmes d’intégrité de protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Consultez la documentation relative aux solutions Endpoint Protection prises en charge par Defender pour le cloud et aux évaluations Endpoint Protection. (Aucune stratégie associée)

Gravité : moyenne

Endpoint Protection doit être installé sur les machines

Description : Pour protéger les machines contre les menaces et les vulnérabilités, installez une solution de protection de point de terminaison prise en charge. Pour en savoir plus sur l’évaluation d’Endpoint Protection pour les machines, consultez Évaluation et recommandations Endpoint Protection dans Microsoft Defender pour le cloud. (Aucune stratégie associée)

Gravité : élevée

Installer Azure Security Center pour le module de sécurité IoT afin d’obtenir une meilleure visibilité sur vos appareils IoT

Description & stratégie associée : Installez le module de sécurité Azure Security Center pour IoT pour obtenir plus de visibilité sur vos appareils IoT.

Gravité : faible

Java doit être mis à jour vers la dernière version pour les applications de fonction

Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Java en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version java est la plus récente, si elle est utilisée dans le cadre de l’application de fonction).

Gravité : moyenne

Java doit être mis à jour vers la dernière version pour les applications web

Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Java en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : assurez-vous que la « version Java » est la plus récente, si elle est utilisée dans le cadre de l’application web).

Gravité : moyenne

L’agent d’analyse doit être installé sur vos machines

Description & stratégie associée : cette action installe un agent de surveillance sur les machines virtuelles sélectionnées. Sélectionnez un espace de travail vers lequel l’agent doit envoyer ses rapports. (Aucune stratégie associée)

Gravité : élevée

PHP doit être mis à jour vers la dernière version pour les applications web

Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels PHP en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : Vérifiez que la version PHP est la plus récente, si elle est utilisée dans le cadre de l’application WEB).

Gravité : moyenne

Des stratégies de sécurité de pod doivent être définies pour réduire le vecteur d’attaque en supprimant les privilèges d’application inutiles (préversion)

Description & stratégie associée : définissez des stratégies de sécurité de pod pour réduire le vecteur d’attaque en supprimant les privilèges d’application inutiles. Il est recommandé de configurer des stratégies de sécurité de pod afin que les pods ne puissent accéder qu’aux ressources auxquelles ils sont autorisés à accéder. (Stratégie associée : [Préversion] : les stratégies de sécurité des pods doivent être définies sur Kubernetes Services).

Gravité : moyenne

L’accès au réseau public doit être désactivé pour les comptes Cognitive Services

Description : cette stratégie audite n’importe quel compte Cognitive Services dans votre environnement avec l’accès au réseau public activé. L’accès au réseau public doit être désactivé afin que seules les connexions à partir des points de terminaison privés soient autorisées. (Stratégie associée : L’accès au réseau public doit être désactivé pour les comptes Cognitive Services.

Gravité : moyenne

Python doit être mis à jour vers la dernière version pour les applications de fonction

Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Python en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application de fonction).

Gravité : moyenne

Python doit être mis à jour vers la dernière version pour les applications web

Description & stratégie associée : Régulièrement, les versions plus récentes sont publiées pour les logiciels Python en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications web afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : vérifiez que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application web).

Gravité : moyenne

Les règles relatives aux applications web doivent être renforcées sur les groupes de sécurité réseau IaaS

Description & stratégie associée : Renforcer le groupe de sécurité réseau (NSG) de vos machines virtuelles exécutant des applications web, avec des règles de groupe de sécurité réseau trop permissives en ce qui concerne les ports d’application web. (Stratégie associée : Les règles des groupes de sécurité réseau pour les applications web sur IaaS doivent être renforcées).

Gravité : élevée

Vos machines doivent être redémarrées pour appliquer les mises à jour système

Description & stratégie associée : redémarrez vos machines pour appliquer les mises à jour système et sécuriser l’ordinateur contre les vulnérabilités. (Stratégie associée : les mises à jour système doivent être installées sur vos machines).

Gravité : moyenne

L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur les abonnements

Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant d’autorisations de propriétaire pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement.

Gravité : élevée

L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’accès en lecture les abonnements

Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant de privilèges de lecture pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement.

Gravité : élevée

L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’accès en écriture sur les abonnements

Description : L’authentification multifacteur (MFA) doit être activée pour tous les comptes d’abonnement disposant de privilèges d’écriture pour empêcher une violation de comptes ou de ressources. (Stratégie associée : L’authentification multifacteur doit être activée pour les comptes disposant d’autorisations d’écriture sur votre abonnement.

Gravité : élevée