Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article indique la stratégie et les instructions à suivre pour intégrer des solutions d’infrastructure Confiance Zéro à Microsoft Defender for Cloud. Ce guide couvre les intégrations à d’autres solutions, notamment les solutions de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management), d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR, Security Orchestration, Automation and Response), de protection évolutive des points de terminaison (PEPT) et de gestion des services informatiques (ITSM, IT Service Management).
L’infrastructure comprend le matériel, les logiciels, les microservices, l’infrastructure réseau et les installations qui sont nécessaires à la prise en charge des services informatiques dans une organisation. Qu’elle soit locale ou multicloud, l’infrastructure représente un vecteur de menace critique.
Les solutions d’infrastructure Confiance Zéro évaluent, surveillent et préviennent les menaces pesant sur la sécurité de votre infrastructure. Les solutions prennent en charge les principes de la Confiance Zéro et permettent de s’assurer que l’accès aux ressources de l’infrastructure est vérifié de manière explicite et octroyé selon le principe d’accès du moindre privilège. En partant du principe qu’une violation a eu lieu, les mécanismes recherchent et corrigent les menaces pour la sécurité dans l’infrastructure.
Qu'est-ce que la Confiance Zéro ?
Confiance zéro est une stratégie de sécurité pour la conception et l’implémentation des ensembles de principes de sécurité suivants :
| Vérifier explicitement | Utiliser l’accès du moindre privilège | Supposer une violation |
|---|---|---|
| Authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. | Limitez l’accès utilisateur avec l’accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir une visibilité, détecter les menaces et améliorer les défenses. |
Confiance Zéro et Defender pour le cloud
Le Guide de déploiement d’une infrastructure Confiance Zéro décrit les étapes clés de la stratégie d’infrastructure Confiance Zéro :
- Évaluer la conformité aux normes et stratégies choisies.
- Renforcer la configuration partout où des failles sont détectées.
- Utiliser d’autres outils de sécurisation renforcée comme l’accès juste-à-temps (JAT) aux machines virtuelles.
- Configurer la protection contre les menaces.
- Bloquer et marquer automatiquement les comportements à risque, et prendre des mesures de protection.
Voici comment ces étapes sont mappées à Defender pour le cloud.
| But | Defender pour le cloud |
|---|---|
| Évaluer la conformité | Dans Defender pour le cloud, chaque abonnement a automatiquement l’initiative de sécurité MCSB (Microsoft cloud security benchmark) qui lui est affectée. Les outils de niveau de sécurité et le tableau de bord de conformité réglementaire vous permettent d’obtenir un état complet de la posture de sécurité. |
| Durcir la configuration de la sécurité | Les paramètres d’infrastructure et d’environnement sont évalués par rapport à la norme de conformité, et des recommandations sont émises en fonction de ces évaluations. Vous pouvez passer en revue et appliquer les recommandations de sécurité et [suivre les améliorations apportées au niveau de sécurité] (secure-score-access-and-track.md) dans le temps. Vous pouvez classer par ordre de priorité les recommandations à appliquer en fonction des chemins d’attaque potentiels. |
| Utiliser des mécanismes de durcissement de la sécurité | L’accès selon le principe du moindre privilège est un principe de la Confiance Zéro. Defender pour le cloud peut vous aider à renforcer la sécurisation des machines virtuelles et des paramètres réseau en utilisant ce principe, notamment avec les fonctionnalités suivantes : Accès VM juste-à-temps (JIT) . |
| Configurer la protection contre les menaces | Defender pour le cloud est une plateforme de protection de la charge de travail du cloud (PPCTC) qui fournit une protection avancée et intelligente des ressources et charges de travail Azure et hybrides. Plus d’informations |
| Bloquer automatiquement tout comportement à risque | La plupart des recommandations de sécurisation renforcée dans Defender pour le cloud offrent une option refuser pour empêcher la création de ressources qui ne répondent pas aux critères de sécurisation renforcée définis. Plus d’informations |
| Signaler automatiquement tout comportement suspect | Les alertes de sécurité de Microsoft Defender pour le cloud sont déclenchées par des détections de menaces. Defender pour le cloud classe les alertes par ordre de priorité, les répertorie et fournit des informations pour faciliter l’examen de la situation. Il fournit également des instructions détaillées pour vous aider à contrer les attaques. Passez en revue la liste complète des alertes de sécurité. |
Appliquer la Confiance Zéro aux scénarios hybrides et multicloud
Les charges de travail cloud couvrant généralement plusieurs plateformes cloud, les services de sécurité cloud se doivent d’en faire de même. Defender pour le cloud protège les charges de travail partout où elles s’exécutent : dans Azure, localement, dans AWS ou dans GCP.
- AWS : pour protéger les machines AWS, vous intégrez les comptes AWS à Defender pour le cloud. Cette intégration fournit une vue unifiée des recommandations de Defender pour le cloud et des résultats d’AWS Security Hub. Découvrez plus en détail la connexion de comptes AWS à Microsoft Defender pour le cloud.
- GCP : pour protéger les machines GCP, vous intégrez les comptes GCP à Defender pour le cloud. Cette intégration fournit une vue unifiée des recommandations de Defender pour le cloud et des résultats de GCP Security Command Center. Découvrez plus en détail la connexion de comptes GCP à Microsoft Defender pour le cloud.
- Ordinateurs locaux : vous pouvez étendre la protection de Defender pour le cloud en connectant les ordinateurs locaux à des serveurs avec Azure Arc. Découvrez plus en détail la connexion d’ordinateurs locaux à Defender pour le cloud.
Protéger les services PaaS Azure
Quand Defender pour le cloud est disponible dans un abonnement Azure et que les plans Defender pour le cloud sont activés pour tous les types de ressources disponibles, une couche de protection intelligente contre les menaces, avec Microsoft Threat Intelligence, protège les ressources dans les services Azure PaaS, notamment Azure Key Vault, Stockage Azure, Azure DNS, etc. Découvrez plus en détail les types de ressources que Defender pour le cloud peut sécuriser.
Automatiser les réponses avec Azure Logic Apps
Utilisez Azure Logic Apps si vous souhaitez créer des workflows scalables automatisés, des processus métier et des orchestrations d’entreprise pour intégrer vos applications et vos données à des services cloud et des systèmes locaux.
La fonctionnalité d’automatisation des workflows de Defender pour le cloud vous permet d’automatiser les réponses aux déclencheurs Defender pour le cloud.
C’est un excellent moyen de définir et d’appliquer des réponses de manière automatisée et cohérente lorsque des menaces sont découvertes. Par exemple, pour avertir les parties prenantes concernées, lancez un processus de gestion des changements, et appliquez les étapes de correction définies spécifiques en cas de détection d’une menace.
Intégrer à des solutions SIEM, SOAR et ITSM
Defender pour le cloud peut diffuser en continu vos alertes de sécurité dans les solutions SIEM, SOAR et ITSM les plus populaires. Vous pouvez utiliser des outils Azure natifs pour afficher les données des alertes dans toutes les solutions les plus populaires utilisées aujourd’hui, notamment :
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar d’IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Intégrer à Microsoft Sentinel
Defender pour le cloud s’intègre en mode natif à Microsoft Sentinel, la solution SIEM/SOAR de Microsoft.
Pour garantir que les données Defender pour le cloud sont représentées dans Microsoft Sentinel, vous avez le choix entre deux approches :
Connecteurs Sentinel - Microsoft Sentinel comprend des connecteurs intégrés pour Microsoft Defender pour le cloud au niveau de l’abonnement et du locataire :
- Diffuser en continu des alertes vers Microsoft Sentinel au niveau de l’abonnement
- Connecter tous les abonnements de votre client à Microsoft Sentinel
Conseil
Pour plus d’informations, consultez Connecter les alertes de sécurité de Microsoft Defender pour le cloud.
Diffusion en continu des journaux d’audit – Un autre moyen d’examiner les alertes Defender pour le cloud dans Microsoft Sentinel consiste à diffuser en continu vos journaux d’audit dans Microsoft Sentinel :
Diffuser en continu des alertes avec l’API de sécurité Microsoft Graph
Defender pour le cloud dispose d’une intégration prête à l’emploi avec l’API de sécurité Microsoft Graph. Aucune configuration n’est requise et c’est sans coût supplémentaire.
Vous pouvez utiliser cette API pour diffuser en continu les alertes du locataire entier, ainsi que les données de nombreux autres produits Sécurité Microsoft, vers des solutions SIEM et autres plateformes tierces populaires :
- Splunk Enterprise et Splunk Cloud – Utiliser le module complémentaire API Microsoft Graph Security pour Splunk
- Power BI – Se connecter à l’API Microsoft Graph Security dans Power BI Desktop
- ServiceNow – Suivre les instructions pour installer et configurer l’application API Microsoft Graph Security à partir du magasin ServiceNow
- QRadar – Utiliser le Module de prise en charge des appareils (DSM) d’IBM pour Defender pour le cloud via l’API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark, etc. Découvrez plus en détail l’API Microsoft Graph Security.
Diffuser en continu des alertes avec Azure Monitor
Utilisez la fonctionnalité d’exportation continue de Defender pour le cloud pour vous connecter à Azure Monitor via Azure Event Hubs et diffuser en continu des alertes vers ArcSight, SumoLogic, des serveurs Syslog, LogRhythm, la plateforme d’observabilité cloud Logz.io et autres solutions de monitoring.
- Vous pouvez également réaliser cette opération au niveau du groupe d’administration avec Azure Policy. Découvrez comment créer des configurations d’automatisation d’exportation continue à grande échelle.
- Pour afficher les schémas d’événements des types de données exportés, passez en revue les schémas d’événements Event Hubs.
Découvrez comment diffuser en continu des alertes vers des solutions de monitoring.
Intégrer à des solutions PEPT
Microsoft Defender for Endpoint
Defender pour point de terminaison est une solution holistique de sécurité des points de terminaison dans le cloud. Le plan de charge de travail des serveurs Defender pour le cloud, Defender pour serveurs, comprend une licence intégrée pour Defender pour point de terminaison. Ensemble, ils fournissent des fonctionnalités PEPT complètes. Découvrez plus en détail la protection des points de terminaison.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez accéder à la console de Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
Autres solutions EDR
Defender pour le cloud fournit une analyse de l’intégrité des versions prises en charge des solutions PEPT.
Defender pour le cloud fournit des recommandations basées sur le point de référence de sécurité Microsoft. L’un des contrôles du benchmark concerne la sécurité des points de terminaison : ES-1 : Utiliser les fonctionnalités EDR (Endpoint Detection and Response). Deux recommandations permettent de vous assurer que vous avez activé la protection des points de terminaison et qu’elle fonctionne correctement. Découvrez plus en détail l’évaluation pour les solutions PEPT prises en charge dans Defender pour le cloud.
Étapes suivantes
Commencez à planifier la protection multicloud.