Recommandations pour la surveillance et la détection des menaces
S’applique à cette recommandation de liste de contrôle de sécurité Azure Well-Architected Framework :
SE :10 | Implémentez une stratégie de surveillance holistique qui s’appuie sur des mécanismes modernes de détection des menaces qui peuvent être intégrés à la plateforme. Les mécanismes doivent alerter de manière fiable pour le triage et envoyer des signaux dans les processus SecOps existants. |
---|
Ce guide décrit les recommandations pour la surveillance et la détection des menaces. La surveillance est fondamentalement un processus d’obtention d’informations sur les événements qui se sont déjà produits. La surveillance de la sécurité est une pratique qui consiste à capturer des informations à différentes altitudes de la charge de travail (infrastructure, application, opérations) pour prendre conscience des activités suspectes. L’objectif est de prédire les incidents et d’apprendre des événements passés. Les données de surveillance fournissent la base de l’analyse post-incident de ce qui s’est produit pour faciliter la réponse aux incidents et les enquêtes judiciaires.
La surveillance est une approche d’excellence opérationnelle appliquée à tous les piliers Well-Architected Framework. Ce guide fournit des recommandations uniquement du point de vue de la sécurité. Les concepts généraux de surveillance, tels que l’instrumentation du code, la collecte de données et l’analyse, ne sont pas abordés dans ce guide. Pour plus d’informations sur les principaux concepts de supervision, consultez Recommandations pour la conception et la création d’un framework d’observabilité.
Définitions
Terme | Définition |
---|---|
Journaux d’audit | Enregistrement des activités dans un système. |
Informations et événements gestion des événements (SIEM) | Approche qui utilise des fonctionnalités intégrées de détection des menaces et d’intelligence basées sur des données agrégées à partir de plusieurs sources. |
Détection de menaces | Stratégie de détection des écarts par rapport aux actions attendues à l’aide de données collectées, analysées et corrélées. |
Informations sur les menaces | Stratégie d’interprétation des données de détection des menaces afin de détecter les activités ou les menaces suspectes en examinant les modèles. |
Prévention des menaces | Contrôles de sécurité placés dans une charge de travail à différentes altitudes pour protéger ses ressources. |
Stratégies de conception
L’objectif main de la surveillance de la sécurité est la détection des menaces. L’objectif principal est d’éviter les violations de sécurité potentielles et de maintenir un environnement sécurisé. Toutefois, il est tout aussi important de reconnaître que toutes les menaces ne peuvent pas être bloquées de manière préventive. Dans de tels cas, la surveillance sert également de mécanisme pour identifier la cause d’un incident de sécurité qui s’est produit en dépit des efforts de prévention.
La surveillance peut être abordée sous différents angles :
Surveiller à différentes altitudes. L’observation à partir de différentes altitudes est le processus d’obtention d’informations sur les flux d’utilisateurs, l’accès aux données, l’identité, la mise en réseau et même le système d’exploitation. Chacun de ces domaines offre des insights uniques qui peuvent vous aider à identifier les écarts par rapport aux comportements attendus établis par rapport à la base de référence de sécurité. À l’inverse, la surveillance continue d’un système et d’applications au fil du temps peut aider à établir cette posture de base. Par exemple, vous pouvez généralement voir environ 1 000 tentatives de connexion dans votre système d’identité toutes les heures. Si votre surveillance détecte un pic de 50 000 tentatives de connexion pendant une courte période, un attaquant peut essayer d’accéder à votre système.
Surveillez à différentes étendues d’impact. Il est essentiel d’observer l’application et la plateforme. Supposons qu’un utilisateur d’application obtienne accidentellement des privilèges réaffectés ou qu’une violation de la sécurité se produise. Si l’utilisateur effectue des actions au-delà de son étendue désignée, l’impact peut être limité aux actions que d’autres utilisateurs peuvent effectuer.
Toutefois, si une entité interne compromet une base de données, l’étendue des dommages potentiels est incertaine.
Si une compromission se produit côté ressource Azure, l’impact peut être global, affectant toutes les entités qui interagissent avec la ressource.
Le rayon d’explosion ou l’étendue de l’impact peuvent être considérablement différents, selon l’un de ces scénarios.
Utilisez des outils de supervision spécialisés. Il est essentiel d’investir dans des outils spécialisés qui peuvent rechercher en permanence un comportement anormal pouvant indiquer une attaque. La plupart de ces outils disposent de fonctionnalités de renseignement sur les menaces qui peuvent effectuer une analyse prédictive basée sur un grand volume de données et des menaces connues. La plupart des outils ne sont pas sans état et intègrent une compréhension approfondie de la télémétrie dans un contexte de sécurité.
Les outils doivent être intégrés à la plateforme ou au moins conscients de la plateforme pour obtenir des signaux profonds à partir de la plateforme et faire des prédictions avec une haute fidélité. Ils doivent être en mesure de générer des alertes en temps opportun avec suffisamment d’informations pour effectuer un tri approprié. L’utilisation d’un trop grand nombre d’outils divers peut entraîner une complexité.
Utilisez la surveillance pour la réponse aux incidents. Les données agrégées, transformées en intelligence actionnable, permettent des réactions rapides et efficaces aux incidents. La surveillance facilite les activités post-incident. L’objectif est de collecter suffisamment de données pour analyser et comprendre ce qui s’est passé. Le processus de surveillance capture des informations sur les événements passés pour améliorer les capacités réactives et prédire potentiellement les incidents futurs.
Les sections suivantes fournissent des pratiques recommandées qui intègrent les perspectives de supervision précédentes.
Capturer des données pour conserver une piste d’activités
L’objectif est de maintenir une piste d’audit complète des événements importants du point de vue de la sécurité. La journalisation est la méthode la plus courante pour capturer des modèles d’accès. La journalisation doit être effectuée pour l’application et la plateforme.
Pour une piste d’audit, vous devez établir ce qui, quand et qui est associé aux actions. Vous devez identifier les délais spécifiques d’exécution des actions. Effectuez cette évaluation dans votre modélisation des menaces. Pour contrer une menace de répudiation, vous devez établir des systèmes de journalisation et d’audit forts qui aboutissent à un enregistrement des activités et des transactions.
Les sections suivantes décrivent les cas d’usage de certaines altitudes courantes d’une charge de travail.
Flux d’utilisateurs d’application
Votre application doit être conçue pour fournir une visibilité du runtime lorsque des événements se produisent. Identifiez les points critiques au sein de votre application et établissez une journalisation pour ces points. Par exemple, lorsqu’un utilisateur se connecte à l’application, capturez l’identité de l’utilisateur, son emplacement source et d’autres informations pertinentes. Il est important de reconnaître toute escalade des privilèges utilisateur, les actions effectuées par l’utilisateur et si l’utilisateur a accédé à des informations sensibles dans un magasin de données sécurisé. Effectuez le suivi des activités de l’utilisateur et de la session utilisateur.
Pour faciliter ce suivi, le code doit être instrumenté via la journalisation structurée. Cela permet d’interroger et de filtrer facilement et uniformément les journaux.
Important
Vous devez appliquer la journalisation responsable pour maintenir la confidentialité et l’intégrité de votre système. Les secrets et les données sensibles ne doivent pas apparaître dans les journaux. Tenez compte des fuites de données personnelles et d’autres exigences de conformité lorsque vous capturez ces données de journal.
Supervision des identités et des accès
Conservez un enregistrement complet des modèles d’accès pour l’application et des modifications apportées aux ressources de la plateforme. Disposer de journaux d’activité et de mécanismes de détection des menaces robustes, en particulier pour les activités liées aux identités, car les attaquants tentent souvent de manipuler les identités pour obtenir un accès non autorisé.
Implémentez une journalisation complète à l’aide de tous les points de données disponibles. Par exemple, incluez l’adresse IP du client pour faire la différence entre l’activité régulière des utilisateurs et les menaces potentielles provenant d’emplacements inattendus. Tous les événements de journalisation doivent être horodatés par le serveur.
Enregistrez toutes les activités d’accès aux ressources, en capturant les personnes qui font quoi et quand elles le font. Les instances d’escalade de privilèges sont un point de données important qui doit être journalisé. Les actions liées à la création ou à la suppression de compte par l’application doivent également être enregistrées. Cette recommandation s’étend aux secrets d’application. Surveillez qui accède aux secrets et quand ils sont pivotés.
Bien que la journalisation des actions réussies soit importante, l’enregistrement des échecs est nécessaire du point de vue de la sécurité. Documentez toutes les violations, comme un utilisateur qui tente une action mais rencontre un échec d’autorisation, des tentatives d’accès pour des ressources inexistantes et d’autres actions qui semblent suspectes.
Analyse du réseau
En surveillant les paquets réseau et leurs sources, destinations et structures, vous obtenez une visibilité sur les modèles d’accès au niveau du réseau.
Votre conception de segmentation doit permettre aux points d’observation aux limites de surveiller ce qui les traverse et de journaliser ces données. Par exemple, surveillez les sous-réseaux qui ont des groupes de sécurité réseau qui génèrent des journaux de flux. Surveillez également les journaux de pare-feu qui affichent les flux autorisés ou refusés.
Il existe des journaux d’accès pour les demandes de connexion entrantes. Ces journaux enregistrent les adresses IP sources qui lancent les demandes, le type de requête (GET, POST) et toutes les autres informations qui font partie des demandes.
La capture de flux DNS est une exigence importante pour de nombreuses organisations. Par instance, les journaux DNS peuvent aider à identifier l’utilisateur ou l’appareil qui a lancé une requête DNS particulière. En mettant en corrélation l’activité DNS avec les journaux d’authentification utilisateur/appareil, vous pouvez effectuer le suivi des activités auprès de clients individuels. Cette responsabilité s’étend souvent à l’équipe de charge de travail, en particulier si elle déploie quelque chose qui fait des requêtes DNS une partie de son opération. L’analyse du trafic DNS est un aspect clé de l’observabilité de la sécurité de la plateforme.
Il est important de surveiller les requêtes DNS inattendues ou les requêtes DNS dirigées vers des points de terminaison de commande et de contrôle connus.
Compromis : la journalisation de toutes les activités réseau peut entraîner une grande quantité de données. Chaque requête de la couche 3 peut être enregistrée dans un journal de flux, y compris chaque transaction qui dépasse une limite de sous-réseau. Malheureusement, il n’est pas possible de capturer uniquement les événements indésirables, car ils ne peuvent être identifiés qu’après leur survenue. Prenez des décisions stratégiques concernant le type d’événements à capturer et la durée de leur stockage. Si vous ne faites pas attention, la gestion des données peut être écrasante. Il existe également un compromis sur le coût de stockage de ces données.
En raison des compromis, vous devez déterminer si l’avantage de la surveillance réseau de votre charge de travail est suffisant pour justifier les coûts. Si vous disposez d’une solution d’application web avec un volume de demandes élevé et que votre système utilise largement les ressources Azure managées, le coût peut l’emporter sur les avantages. En revanche, si vous disposez d’une solution conçue pour utiliser des machines virtuelles avec différents ports et applications, il peut être important de capturer et d’analyser les journaux réseau.
Capturer les modifications du système
Pour maintenir l’intégrité de votre système, vous devez disposer d’un enregistrement précis et à jour de l’état du système. En cas de modifications, vous pouvez utiliser cet enregistrement pour résoudre rapidement les problèmes qui se produisent.
Les processus de génération doivent également émettre des données de télémétrie. Il est essentiel de comprendre le contexte de sécurité des événements. Connaître ce qui a déclenché le processus de génération, qui l’a déclenché et quand il a été déclenché peut fournir des informations précieuses.
Suivre quand les ressources sont créées et quand elles sont désactivées. Ces informations doivent être extraites de la plateforme. Ces informations fournissent des informations précieuses pour la gestion des ressources et la responsabilité.
Surveiller la dérive dans la configuration des ressources. Documentez toute modification apportée à une ressource existante. Effectuez également le suivi des modifications qui ne se terminent pas dans le cadre d’un déploiement sur une flotte de ressources. Les journaux doivent capturer les spécificités de la modification et l’heure exacte à laquelle elle s’est produite.
Disposez d’une vue complète, du point de vue de la mise à jour corrective, de la mise à jour et de la sécurité du système. Surveillez les processus de mise à jour de routine pour vérifier qu’ils se terminent comme prévu. Un processus de mise à jour corrective de sécurité qui ne se termine pas doit être considéré comme une vulnérabilité. Vous devez également tenir à jour un inventaire qui enregistre les niveaux de correctifs et tous les autres détails requis.
La détection des modifications s’applique également au système d’exploitation. Cela implique de suivre si les services sont ajoutés ou désactivés. Il inclut également la surveillance de l’ajout de nouveaux utilisateurs au système. Il existe des outils conçus pour cibler un système d’exploitation. Ils facilitent la surveillance sans contexte dans le sens où ils ne ciblent pas les fonctionnalités de la charge de travail. Par exemple, la surveillance de l’intégrité des fichiers est un outil essentiel qui vous permet de suivre les modifications apportées aux fichiers système.
Vous devez configurer des alertes pour ces modifications, en particulier si vous ne vous attendez pas à ce qu’elles se produisent souvent.
Important
Lorsque vous effectuez un déploiement en production, assurez-vous que les alertes sont configurées pour intercepter les activités anormales détectées sur les ressources de l’application et le processus de génération.
Dans vos plans de test, incluez la validation de la journalisation et des alertes en tant que cas de test hiérarchisés.
Stocker, agréger et analyser des données
Les données collectées à partir de ces activités de surveillance doivent être stockées dans des récepteurs de données où elles peuvent être examinées, normalisées et corrélées en profondeur. Les données de sécurité doivent être conservées en dehors des magasins de données du système. Les récepteurs de surveillance, qu’ils soient localisés ou centralisés, doivent survivre aux sources de données. Les récepteurs ne peuvent pas être éphémères , car les récepteurs sont la source des systèmes de détection des intrusions.
Les journaux de mise en réseau peuvent être détaillés et occuper le stockage. Explorez les différents niveaux dans les systèmes de stockage. Les journaux peuvent naturellement passer à un stockage plus froid au fil du temps. Cette approche est bénéfique, car les anciens journaux de flux ne sont généralement pas utilisés activement et ne sont nécessaires qu’à la demande. Cette méthode garantit une gestion efficace du stockage tout en garantissant que vous pouvez accéder aux données d’historique quand vous en avez besoin.
Les flux de votre charge de travail sont généralement un composite de plusieurs sources de journalisation. Les données de surveillance doivent être analysées intelligemment sur toutes ces sources. Par exemple, votre pare-feu bloque uniquement le trafic qui l’atteint. Si vous avez un groupe de sécurité réseau qui a déjà bloqué certains trafics, ce trafic n’est pas visible par le pare-feu. Pour reconstruire la séquence d’événements, vous devez agréger les données de tous les composants qui sont dans le flux, puis agréger les données de tous les flux. Ces données sont particulièrement utiles dans un scénario de réponse post-incident lorsque vous essayez de comprendre ce qui s’est passé. Un chronométrage précis est essentiel. Pour des raisons de sécurité, tous les systèmes doivent utiliser une source de temps réseau afin qu’ils soient toujours synchronisés.
Détection centralisée des menaces avec des journaux corrélés
Vous pouvez utiliser un système comme SIEM (Security Information and Event Management) pour consolider les données de sécurité dans un emplacement central où elles peuvent être corrélées entre différents services. Ces systèmes disposent de mécanismes de détection des menaces intégrés . Ils peuvent se connecter à des flux externes pour obtenir des données de renseignement sur les menaces. Microsoft, par exemple, publie des données de renseignement sur les menaces que vous pouvez utiliser. Vous pouvez également acheter des flux de renseignement sur les menaces auprès d’autres fournisseurs, comme Anomali et FireEye. Ces flux peuvent fournir des informations précieuses et améliorer votre posture de sécurité. Pour obtenir des informations sur les menaces de Microsoft, consultez Security Insider.
Un système SIEM peut générer des alertes basées sur des données corrélées et normalisées. Ces alertes constituent une ressource importante pendant un processus de réponse aux incidents.
Compromis : les systèmes SIEM peuvent être coûteux, complexes et nécessiter des compétences spécialisées. Toutefois, si vous n’en avez pas, vous devrez peut-être mettre en corrélation les données par vous-même. Il peut s’agir d’un processus complexe et fastidieux.
Les systèmes SIEM sont généralement gérés par les équipes centrales d’un organization. Si votre organization n’en a pas, envisagez de le défendre. Il pourrait alléger la charge de l’analyse et de la corrélation manuelles des journaux pour permettre une gestion de la sécurité plus efficace.
Certaines options rentables sont fournies par Microsoft. De nombreux produits Microsoft Defender fournissent la fonctionnalité d’alerte d’un système SIEM, mais sans fonctionnalité d’agrégation de données.
En combinant plusieurs outils plus petits, vous pouvez émuler certaines fonctions d’un système SIEM. Toutefois, vous devez savoir que ces solutions de fortune peuvent ne pas être en mesure d’effectuer une analyse de corrélation. Ces alternatives peuvent être utiles, mais elles peuvent ne pas remplacer entièrement les fonctionnalités d’un système SIEM dédié.
Détecter les abus
Soyez proactif en ce qui concerne la détection des menaces et soyez vigilant en cas d’abus, comme les attaques par force brute d’identité sur un composant SSH ou un point de terminaison RDP. Bien que les menaces externes puissent générer beaucoup de bruit, en particulier si l’application est exposée à Internet, les menaces internes sont souvent plus préoccupantes. Une attaque par force brute inattendue provenant d’une source réseau approuvée ou une configuration incorrecte par inadvertance, pour instance, doit être examinée immédiatement.
Suivez vos pratiques de renforcement. La surveillance ne remplace pas le renforcement proactif de votre environnement. Une plus grande surface est sujette à plus d’attaques. Renforcer les contrôles autant que la pratique. Détectez et désactivez les comptes inutilisés, supprimez les ports inutilisés et utilisez un pare-feu d’applications web, par exemple. Pour plus d’informations sur les techniques de renforcement, consultez Recommandations sur le renforcement de la sécurité.
La détection basée sur les signatures peut inspecter un système en détail. Cela implique la recherche de signes ou de corrélations entre les activités susceptibles d’indiquer une attaque potentielle. Un mécanisme de détection peut identifier certaines caractéristiques qui indiquent un type d’attaque spécifique. Il n’est pas toujours possible de détecter directement le mécanisme de commande et de contrôle d’une attaque. Toutefois, il existe souvent des indicateurs ou des modèles associés à un processus de commande et de contrôle particulier. Par exemple, une attaque peut être indiquée par un certain débit du point de vue de la demande, ou elle peut fréquemment accéder à des domaines qui ont des fins spécifiques.
Détectez les modèles d’accès utilisateur anormaux afin que vous puissiez identifier et examiner les écarts par rapport aux modèles attendus. Cela implique de comparer le comportement actuel de l’utilisateur avec le comportement passé pour repérer les anomalies. Bien qu’il ne soit pas possible d’effectuer cette tâche manuellement, vous pouvez utiliser des outils de renseignement sur les menaces pour le faire. Investissez dans des outils d’analyse du comportement des utilisateurs et des entités (UEBA) qui collectent le comportement des utilisateurs à partir de la surveillance des données et les analysent. Ces outils peuvent souvent effectuer une analyse prédictive qui mappe les comportements suspects à des types d’attaque potentiels.
Détectez les menaces pendant les phases de prédéploiement et de post-déploiement. Pendant la phase de prédéploiement, incorporez l’analyse des vulnérabilités dans les pipelines et prenez les mesures nécessaires en fonction des résultats. Après le déploiement, continuez à effectuer l’analyse des vulnérabilités. Vous pouvez utiliser des outils tels que Microsoft Defender pour conteneurs, qui analyse les images conteneur. Incluez les résultats dans les données collectées. Pour plus d’informations sur les pratiques de développement sécurisé, consultez Recommandations pour l’utilisation des pratiques de déploiement sécurisé.
Tirez parti des mécanismes et mesures de détection fournis par la plateforme. Par exemple, Pare-feu Azure pouvez analyser le trafic et bloquer les connexions vers des destinations non approuvées. Azure fournit également des moyens de détecter et de protéger contre les attaques par déni de service distribué (DDoS).
Animation Azure
Azure Monitor fournit une observabilité dans l’ensemble de votre environnement. Sans configuration, vous obtenez automatiquement des métriques de plateforme, des journaux d’activité et des journaux d’diagnostics de la plupart de vos ressources Azure. Les journaux d’activité fournissent des informations détaillées sur les diagnostics et les audits.
Notes
Les journaux de plateforme ne sont pas disponibles indéfiniment. Vous devez les conserver afin de pouvoir les consulter ultérieurement à des fins d’audit ou d’analyse hors connexion. Utilisez des comptes de stockage Azure pour le stockage à long terme/d’archivage. Dans Azure Monitor, spécifiez une période de rétention lorsque vous activez les paramètres de diagnostic pour vos ressources.
Configurez des alertes basées sur des métriques et journaux prédéfinis ou personnalisés pour recevoir des notifications lorsque des événements ou des anomalies liés à la sécurité spécifiques sont détectés.
Pour plus d’informations, consultez la documentation Azure Monitor.
Microsoft Defender pour le cloud fournit des fonctionnalités intégrées pour la détection des menaces. Il fonctionne sur les données collectées et analyse les journaux. Étant donné qu’il est conscient des types de journaux générés, il peut utiliser des règles intégrées pour prendre des décisions éclairées. Par exemple, il vérifie les listes d’adresses IP potentiellement compromises et génère des alertes.
Activez les services de protection contre les menaces intégrés pour les ressources Azure. Par exemple, activez Microsoft Defender pour les ressources Azure, telles que les machines virtuelles, les bases de données et les conteneurs, afin de détecter et de vous protéger contre les menaces connues.
Defender pour le cloud fournit des fonctionnalités de plateforme de protection des charges de travail cloud (CWPP) pour la détection des menaces de toutes les ressources de charge de travail.
Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour le cloud ?
Les alertes générées par Defender peuvent également alimenter les systèmes SIEM. Microsoft Sentinel est l’offre native. Il utilise l’IA et le Machine Learning pour détecter et répondre aux menaces de sécurité en temps réel. Il fournit une vue centralisée des données de sécurité et facilite la recherche et l’investigation proactives des menaces.
Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel ?.
Microsoft Sentinel peut également utiliser des flux de renseignement sur les menaces provenant de différentes sources. Pour plus d’informations, consultez Intégration du renseignement sur les menaces dans Microsoft Sentinel.
Microsoft Sentinel peut analyser le comportement des utilisateurs à partir des données de surveillance. Pour plus d’informations, consultez Identifier les menaces avancées avec l’analyse du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel.
Defender et Microsoft Sentinel fonctionnent ensemble, en dépit de certains chevauchements de fonctionnalités. Cette collaboration améliore votre posture de sécurité globale en vous aidant à garantir une détection et une réponse complètes aux menaces.
Tirez parti d’Azure Business Continuity Center pour identifier les lacunes dans votre patrimoine de continuité d’activité et vous protéger contre les menaces telles que les attaques par ransomware, les activités malveillantes et les incidents d’administrateur non autorisé. Pour plus d’informations, consultez Qu’est-ce qu’Azure Business Continuity Center ?.
Mise en réseau
Passez en revue tous les journaux, y compris le trafic brut, à partir de vos appareils réseau.
Journaux du groupe de sécurité. Passez en revue les journaux de flux et les journaux de diagnostic.
Azure Network Watcher. Utilisez la fonctionnalité de capture de paquets pour définir des alertes et avoir accès à des informations en temps réel sur les performances au niveau du paquet.
La capture de paquets permet de suivre le trafic entrant et sortant des machines virtuelles. Vous pouvez l’utiliser pour exécuter des captures proactives basées sur des anomalies réseau définies, y compris des informations sur les intrusions réseau.
Pour obtenir un exemple, consultez Surveiller les réseaux de manière proactive avec des alertes et des Azure Functions à l’aide de la capture de paquets.
Identité
Surveiller les événements constituant un risque pour les identités sur la compromission potentielle d'identités et corriger ces risques. Examiner les événements à risque signalés des manières suivantes :
Utilisez la création de rapports Microsoft Entra ID. Pour plus d’informations, consultez Qu’est-ce qu’Identity Protection ? et Identity Protection.
Utilisez les membres de l’API de détection des risques Identity Protection pour obtenir un accès programmatique aux détections de sécurité via Microsoft Graph. Pour plus d’informations, consultez riskDetection et riskyUser.
Microsoft Entra ID utilise des algorithmes de Machine Learning adaptatifs, des heuristiques et des informations d’identification compromises connues (paires nom d’utilisateur et mot de passe) pour détecter les actions suspectes liées à vos comptes d’utilisateur. Ces paires nom d’utilisateur et mot de passe sont exposées en surveillant le web public et le dark web et en travaillant avec des chercheurs en sécurité, des forces de l’ordre, des équipes de sécurité de Microsoft et d’autres.
Azure Pipelines
DevOps préconise la gestion des changements des charges de travail via l’intégration continue et la livraison continue (CI/CD). Veillez à ajouter la validation de sécurité dans les pipelines. Suivez les instructions décrites dans Sécurisation d’Azure Pipelines.
Liens connexes
- Recommandations pour la conception et la création d’une infrastructure d’observabilité
- Security Insider
- Recommandations pour renforcer les ressources
- Recommandations relatives à l’utilisation de pratiques de déploiement sécurisées
- Documentation Azure Monitor
- Qu’est-ce que Microsoft Defender pour le cloud ?
- Présentation de Microsoft Sentinel
- Intégration du renseignement sur les menaces dans Microsoft Sentinel
- Identifier les menaces avancées avec l’analyse du comportement des utilisateurs et des entités (User and Entity Behavior Analytics, UEBA) dans Microsoft Sentinel
- Tutoriel : Journaliser le trafic réseau vers et depuis une machine virtuelle à l'aide du portail Azure
- Capture de paquet
- Surveiller les réseaux de manière proactive avec des alertes et des fonctions Azure à l’aide de la capture de paquets
- Qu’est-ce qu’Identity Protection ?
- Identity Protection
- riskDetection
- riskyUser
- Découvrez comment ajouter la validation de sécurité continue à votre pipeline CI/CD
Liste de contrôle de sécurité
Reportez-vous à l’ensemble complet de recommandations.