Protéger vos applications web et vos API

Prérequis

Security Center étant intégré en mode natif avec App Service, aucun déploiement ou intégration ne sont nécessaires. L’intégration est transparente.

Pour protéger votre plan Azure App Service avec Azure Defender pour App Service, vous aurez besoin des éléments suivants :

  • Un plan App Service pris en charge associé aux ordinateurs dédiés. Les plans pris en charge sont répertoriés dans la section Disponibilité.

  • Azure Defender activé sur votre abonnement, comme décrit dans Démarrage rapide : Activer Azure Defender.

    Conseil

    Si vous le souhaitez, vous pouvez activer plusieurs plans dans Azure Defender (comme Azure Defender pour App Service).

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale (GA)
Prix : Azure Defender pour App Service est facturé conformément à la tarification de Security Center
La facturation se fait en fonction du nombre total d’instances de calcul dans tous les plans
Plans App Service pris en charge : Tous les plans App service sont pris en charge, à l’exception d’Azure Functions sur le plan de consommation.
Clouds : Oui Clouds commerciaux
Non National/souverain (US Gov, Azure Chine)

Quels sont les avantages d’Azure Defender pour App Service ?

Azure App Service est une plateforme complètement managée qui permet de créer et d’héberger vos applications web et vos API. Étant donné que la plateforme est complètement managée, vous n’avez pas à vous soucier de l’infrastructure. Elle fournit des informations sur la gestion, la surveillance et l’exploitation afin de répondre à des exigences en matière de performances, de sécurité et de conformité de classe entreprise. Pour en savoir plus, consultez Azure App Service.

Azure Defender pour App Service utilise l’échelle du cloud pour identifier les attaques ciblant les applications exécutées sur App Service. Les attaquants sondent les applications web pour trouver et exploiter les faiblesses. Avant d’être routées vers des environnements spécifiques, les demandes adressées aux applications s’exécutant dans Azure passent par plusieurs passerelles, où elles sont inspectées et journalisées. Ces données sont ensuite utilisées pour identifier les codes malveillants exploitant une faille de sécurité ainsi que les attaquants, et pour découvrir de nouveaux modèles qui seront utilisés ultérieurement.

Quand vous activez Azure Defender pour App Service, vous bénéficiez immédiatement des services suivants proposés par ce plan Azure Defender :

  • Sécurisation : Security Center évalue les ressources couvertes par votre plan App Service et génère des suggestions de sécurité en fonction de ses résultats. Utilisez les instructions détaillées de ces recommandations pour durcir la sécurité de vos ressources App Service.

  • Détection : Azure Defender détecte une multitude de menaces pour vos ressources App Service en supervisant les éléments suivants :

    • L’instance de machine virtuelle dans laquelle App Service s’exécute et son interface de gestion
    • Les requêtes et les réponses échangées avec vos applications App Service
    • Les bacs à sable et les machines virtuelles sous-jacents
    • Journaux internes App Service : disponibles grâce à la visibilité dont bénéficie Azure en tant que fournisseur de cloud

En tant que solution native Cloud, Azure Defender peut identifier les méthodologies d’attaque qui s’appliquent à plusieurs cibles. Par exemple, il serait difficile, à partir d’un seul hôte, d’identifier une attaque distribuée en se basant sur un petit sous-ensemble d’adresses IP et en analysant des points de terminaison similaires sur plusieurs hôtes.

Ensemble, les données des journaux et l’infrastructure peuvent expliquer ce qui s’est passé, depuis la circulation d’une nouvelle attaque à la compromission des machines clients. Par conséquent, même si Security Center est déployé après qu’une application web a été attaquée, il est capable de détecter les attaques en cours.

Quelles sont les menaces qui peuvent être détectées par Azure Defender pour App Service ?

Menaces émanant des tactiques MITRE ATT&CK

Azure Defender recherche de nombreuses menaces sur vos ressources App Service. Les alertes couvrent la quasi totalité des tactiques MITRE ATT&CK, de la pré-attaque jusqu’à l’attaque « commande et contrôle ». Azure Defender peut détecter les menaces suivantes :

  • Menaces de pré-attaque : Defender peut détecter plusieurs types d’analyseurs de vulnérabilité que les attaquants utilisent fréquemment pour sonder les failles des applications.

  • Menaces d’accès initial - Microsoft Threat Intelligence génère ces alertes, notamment lorsqu’une adresse IP malveillante connue se connecte à votre interface FTP Azure App Service.

  • Menaces d’exécution : Defender peut détecter les tentatives d’exécution de commandes à privilèges élevés et de commandes Linux sur App Service Windows, mais également les comportements d’attaque sans fichier, les outils d’exploration de données monétaires numériques et de nombreuses autres activités d’exécution de code suspect et malveillant.

Détection des entrées DNS non résolues

Azure Defender pour App Service identifie également les entrées DNS restantes dans votre bureau d’enregistrement DNS lors de la mise hors service d’un site web App Service. Ces entrées DNS sont appelées « entrées non résolues ». Lorsque vous supprimez un site web sans supprimer son domaine personnalisé de votre bureau d’enregistrement DNS, l’entrée DNS pointe vers une ressource inexistante, ce qui rend votre sous-domaine vulnérable aux prises de contrôle. Azure Defender ne recherche pas les entrées DNS non résolues existantes dans votre bureau d’enregistrement DNS. Il vous avertit quand un site web App Service a été désactivé, mais que son domaine personnalisé (entrée DNS) n’a pas été supprimé.

La prise de contrôle des sous-domaines constitue une menace grave et courante pour les organisations. Lorsqu’un acteur de menace détecte une entrée DNS non résolue, il crée son propre site à l’adresse de destination. Le trafic destiné au domaine de l’organisation est ensuite dirigé vers le site de l’acteur de menace, qui peut utiliser ce trafic pour un large éventail d’activités malveillantes.

La protection des entrées DNS non résolues est disponible pour les domaines gérés par Azure DNS et pour ceux gérés par un bureau d’enregistrement de domaines externes. En outre, elle s’applique aussi bien à App Service sur Windows qu’à App Service sur Linux.

Exemple d’alerte Azure Defender concernant la détection d’une entrée DNS non résolue. Activez Azure Defender pour App Service afin de recevoir ce message et d’autres alertes concernant votre environnement.

Pour plus d’informations sur la prise de sous-domaine et les entrées DNS non résolues, consultez Empêcher les entrées DNS non résolues et la prise de contrôle des sous-domaines.

Pour obtenir la liste complète des alertes Azure App Service, consultez la table de référence des alertes.

Notes

Defender peut ne pas déclencher d’alertes concernant des entrées DNS non résolues si votre domaine personnalisé ne pointe pas directement vers une ressource App Service, ou si Defender n’a pas supervisé le trafic vers votre site web depuis l’activation de la protection des entrées DNS non résolues (car il n’y a pas de journaux pour faciliter l’identification du domaine personnalisé).

Étapes suivantes

Dans cet article, vous avez découvert Azure Defender pour App Service.

Pour des informations connexes, consultez les articles suivants :