Détection avancée des menaces AzureAzure advanced threat detection

Azure intègre une fonctionnalité de détection des menaces avancée via certains services, comme Azure Active Directory (Azure AD), les journaux Azure Monitor et Azure Security Center.Azure offers built in advanced threat detection functionality through services such as Azure Active Directory (Azure AD), Azure Monitor logs, and Azure Security Center. Cet ensemble de fonctionnalités et de services de sécurité fournit un moyen simple et rapide de comprendre ce qui se passe dans vos déploiements Azure.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Azure propose un large choix d’options pour configurer et personnaliser la sécurité afin de satisfaire les besoins de vos déploiements d’applications.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. Cet article mentionne comment répondre à ces exigences.This article discusses how to meet these requirements.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure AD Identity Protection est une fonctionnalité de l'édition Azure AD Premium P2 qui offre une vue d'ensemble des détections à risque et des vulnérabilités potentielles auxquelles sont exposées les identités de votre organisation.Azure AD Identity Protection is an Azure Active Directory Premium P2 edition feature that provides an overview of the risk detections and potential vulnerabilities that can affect your organization’s identities. Identity Protection tire parti des fonctionnalités existantes de détection des anomalies d'Azure AD (disponibles via les rapports d'activités anormales d'Azure AD) et introduit de nouveaux types de détections à risque capables de repérer les anomalies en temps réel.Identity Protection uses existing Azure AD anomaly-detection capabilities that are available through Azure AD Anomalous Activity Reports, and introduces new risk detection types that can detect real time anomalies.

Diagramme Azure AD Identity Protection

Identity Protection s'appuie sur des algorithmes d'apprentissage automatique adaptatif et des règles heuristiques pour détecter les anomalies et les détections à risque susceptibles d'indiquer qu'une identité a été compromise.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk detections that might indicate that an identity has been compromised. À l'aide de ces données, Identity Protection génère des rapports et des alertes qui vous permettent d'analyser ces détections à risque et de prendre les mesures de correction ou d'atténuation qui s'imposent.Using this data, Identity Protection generates reports and alerts so that you can investigate these risk detections and take appropriate remediation or mitigation action.

Mais Azure Active Directory Identity Protection est bien plus qu’un outil de surveillance et de création de rapports.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Sur la base des détections à risque, Identity Protection calcule le niveau de risque pour chaque utilisateur, ce qui vous permet de configurer des stratégies basées sur les risques afin de protéger automatiquement les identités de votre organisation.Based on risk detections, Identity Protection calculates a user risk level for each user, so that you can configure risk-based policies to automatically protect the identities of your organization.

Ces stratégies basées sur les risques, en plus des autres contrôles d’accès conditionnel fournis par Azure Active Directory et EMS, peuvent automatiquement bloquer l’accès ou appliquer des mesures de correction adaptatives qui incluent des réinitialisations de mot de passe et la mise en œuvre de l’authentification multifacteur.These risk-based policies, in addition to other Conditional Access controls that are provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Fonctionnalités d’Identity ProtectionIdentity Protection capabilities

Mais Azure Active Directory Identity Protection est bien plus qu’un outil de surveillance et de création de rapports.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Pour protéger les identités de votre organisation, vous pouvez configurer des stratégies qui répondent automatiquement aux problèmes détectés lorsqu’un niveau de risque spécifié est atteint.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Outre les autres contrôles d’accès conditionnel fournis par Azure Active Directory et EMS, ces stratégies peuvent automatiquement bloquer ou déclencher des mesures de correction adaptatives qui incluent des réinitialisations de mot de passe et la mise en œuvre de l’authentification multifacteur.These policies, in addition to other Conditional Access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Exemples de méthodes qu’utilise Azure Identity Protection pour vous aider à sécuriser vos comptes et identités :Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Repérage des détections et des comptes à risqueDetecting risk detections and risky accounts

  • Repérez six types de détections à risque à l'aide de l'apprentissage automatique et des règles heuristiques.Detect six risk detection types using machine learning and heuristic rules.
  • Calculez le niveau de risque des utilisateurs.Calculate user risk levels.
  • Fournissez des recommandations personnalisées visant à améliorer la posture de sécurité globale en mettant en évidence les vulnérabilités.Provide custom recommendations to improve overall security posture by highlighting vulnerabilities.

Examen des détections à risqueInvestigating risk detections

  • Envoyez des notifications pour les détections à risque.Send notifications for risk detections.
  • Examinez des détections à risque à l'aide d'informations contextuelles et pertinentes.Investigate risk detections using relevant and contextual information.
  • Fournissez des workflows de base pour le suivi des investigations.Provide basic workflows to track investigations.
  • Fournissez un accès rapide à des mesures de correction telles que la réinitialisation de mot de passe.Provide easy access to remediation actions such as password reset.

Stratégies d’accès conditionnel en fonction des risquesRisk-based, conditional-access policies

  • Atténuez les connexions à risque en bloquant les connexions ou en imposant des demandes d’authentification multifacteur.Mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Bloquez ou sécurisez les comptes d’utilisateurs à risque.Block or secure risky user accounts.
  • Exigez que les utilisateurs s’inscrivent à l’authentification multifacteur.Require users to register for multi-factor authentication.

Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management

Avec Azure Active Directory Privileged Identity Management (PIM), vous pouvez gérer, contrôler et surveiller l’accès au sein de votre organisation.With Azure Active Directory Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. Cette fonctionnalité inclut l’accès aux ressources dans Azure AD et d’autres services en ligne Microsoft comme Office 365 ou Microsoft Intune.This feature includes access to resources in Azure AD and other Microsoft online services, such as Office 365 or Microsoft Intune.

Diagramme Azure AD Privileged Identity Management

PIM vous permet de :PIM helps you:

  • Recevoir une alerte et un rapport sur les administrateurs Azure AD et de bénéficier d’un accès administratif « juste à temps » aux services Microsoft Online Services comme Office 365 et Intune.Get alerts and reports about Azure AD administrators and just-in-time (JIT) administrative access to Microsoft online services, such as Office 365 and Intune.

  • Obtenir des rapports sur l'historique des accès administrateur et sur les modifications apportées aux affectations de l'administrateur.Get reports about administrator access history and changes in administrator assignments.

  • Recevoir des alertes sur l'accès à un rôle privilégié.Get alerts about access to a privileged role.

Journaux d’activité Azure MonitorAzure Monitor logs

Les journaux Azure Monitor sont une solution Microsoft de gestion informatique basée sur le cloud qui vous permet de gérer et protéger votre infrastructure locale et cloud.Azure Monitor logs is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Les journaux Azure Monitor étant implémentés sous la forme d’un service informatique, ils peuvent être opérationnels rapidement, avec un investissement minimal en services d’infrastructure.Because Azure Monitor logs is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. Les nouvelles fonctionnalités de sécurité sont fournies automatiquement, ce qui vous permet d’économiser sur les coûts de mise à niveau et de maintenance.New security features are delivered automatically, saving ongoing maintenance and upgrade costs.

En plus de fournir de précieux services de manière autonome, les journaux Azure Monitor peuvent s’intégrer à des composants System Center tels que System Center Operations Manager, afin d’étendre dans le cloud vos investissements existants en matière de gestion de la sécurité.In addition to providing valuable services on its own, Azure Monitor logs can integrate with System Center components, such as System Center Operations Manager, to extend your existing security management investments into the cloud. System Center et les journaux Azure Monitor peuvent fonctionner ensemble pour fournir une expérience de gestion hybride.System Center and Azure Monitor logs can work together to provide a full hybrid management experience.

Approche globale de la sécurité et de la conformitéHolistic security and compliance posture

Le tableau de bord Log Analytics Security and Audit offre une vue détaillée de la sécurité informatique de votre organisation. Elle fournit des requêtes de recherche intégrées pour détecter les problèmes importants qui requièrent votre attention.The Log Analytics Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture, with built-in search queries for notable issues that require your attention. Le tableau de bord Security and Audit est l’écran d’accueil pour tout ce qui se rapporte à la sécurité dans les journaux Azure Monitor.The Security and Audit dashboard is the home screen for everything related to security in Azure Monitor logs. Il fournit un aperçu global de l’état de sécurité de vos ordinateurs.It provides high-level insight into the security state of your computers. Vous pouvez également voir tous les événements des dernières 24 heures, des 7 derniers jours ou de n’importe quel intervalle de temps personnalisé.You can also view all events from the past 24 hours, 7 days, or any other custom timeframe.

Les journaux Azure Monitor vous permettent de comprendre rapidement et facilement les conditions de sécurité globales de n’importe quel environnement, dans le contexte des opérations informatiques, notamment : évaluation des mises à jour logicielles, évaluation des logiciels anti-programmes malveillants et référentiels de configuration.Azure Monitor logs help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including software update assessment, antimalware assessment, and configuration baselines. Les données des journaux de sécurité sont facilement accessibles afin de rationaliser les processus d’audit de sécurité et de conformité.Security log data is readily accessible to streamline the security and compliance audit processes.

Tableau de bord Log Analytics Security and Audit

Le tableau de bord Log Analytics Security and Audit est organisé en quatre catégories principales :The Log Analytics Security and Audit dashboard is organized into four major categories:

  • Domaines de sécurité : vous permet d’explorer plus en détail les enregistrements de sécurité au fil du temps, d’accéder à l’évaluation des programmes malveillants, de mettre à jour les évaluations, d’afficher la sécurité du réseau ainsi que les informations d’identité et d’accès, de consulter les ordinateurs présentant des événements de sécurité et d’accéder rapidement au tableau de bord d’Azure Security Center.Security Domains: Lets you further explore security records over time; access malware assessments; update assessments; view network security, identity, and access information; view computers with security events; and quickly access the Azure Security Center dashboard.

  • Problèmes importants : vous permet d’identifier rapidement le nombre de problèmes actifs et leur gravité.Notable Issues: Lets you quickly identify the number of active issues and the severity of the issues.

  • Détections (préversion)  : vous permet d’identifier les modèles d’attaques en affichant les alertes de sécurité au fur et à mesure qu’elles affectent vos ressources.Detections (Preview): Lets you identify attack patterns by displaying security alerts as they occur against your resources.

  • Informations sur les menaces : vous permet d’identifier les modèles d’attaques en affichant le nombre total de serveurs présentant un trafic IP sortant malveillant, le type de menace malveillante et une carte indiquant l’emplacement de ces adresses IP.Threat Intelligence: Lets you identify attack patterns by displaying the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map of the IPs locations.

  • Requêtes de sécurité courantes : liste les requêtes de sécurité les plus courantes que vous pouvez utiliser pour superviser votre environnement.Common security queries: Lists the most common security queries that you can use to monitor your environment. Lorsque vous sélectionnez une requête, le volet Recherche s’ouvre et affiche les résultats de cette requête.When you select any query, the Search pane opens and displays the results for that query.

Avis et analysesInsight and analytics

Au cœur des journaux Azure Monitor se trouve le référentiel qui est hébergé par Azure.At the center of Azure Monitor logs is the repository, which is hosted by Azure.

Diagramme Insight et Analytics

Vous collectez des données dans le référentiel à partir de sources connectées en configurant des sources de données et en ajoutant des solutions à votre abonnement.You collect data into the repository from connected sources by configuring data sources and adding solutions to your subscription.

Tableau de bord des journaux Azure Monitor

Les sources de données et les solutions créent chacune différents types d'enregistrements avec leur propre jeu de propriétés, mais vous pouvez toujours les analyser ensemble dans des requêtes vers le référentiel.Data sources and solutions each create separate record types with their own set of properties, but you can still analyze them together in queries to the repository. Vous pouvez utiliser les mêmes outils et méthodes pour utiliser diverses données collectées par différentes sources.You can use the same tools and methods to work with a variety of data that's collected by various sources.

La plupart de vos interactions avec les journaux Azure Monitor s’effectuent via le portail Azure qui s’exécute dans un navigateur et vous fournit un accès aux paramètres de configuration et à plusieurs outils pour analyser les données collectées et agir sur celles-ci.Most of your interaction with Azure Monitor logs is through the Azure portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. À partir du portail, vous pouvez utiliser :From the portal, you can use:

  • Recherche dans les journaux où vous avez élaboré des requêtes pour analyser des données collectées.Log searches where you construct queries to analyze collected data.
  • Tableaux de bord, que vous pouvez personnaliser avec des vues graphiques de vos recherches les plus précieuses.Dashboards, which you can customize with graphical views of your most valuable searches.
  • Solutions, qui fournissent des outils d’analyse et des fonctionnalités supplémentaires.Solutions, which provide additional functionality and analysis tools.

Outils d’analyse

Les solutions permettent d’ajouter des fonctionnalités aux journaux Azure Monitor.Solutions add functionality to Azure Monitor logs. Elles s’exécutent principalement dans le cloud et fournissent une analyse des données collectées dans le référentiel Log Analytics.They primarily run in the cloud and provide analysis of data that's collected in the log analytics repository. Ces solutions peuvent également définir de nouveaux types d’enregistrements à collecter qui peuvent être analysés avec des recherches de journaux ou via une interface utilisateur supplémentaire fournie par la solution dans le tableau de bord Log Analytics.Solutions might also define new record types to be collected that can be analyzed with log searches or by using an additional user interface that the solution provides in the log analytics dashboard.

Le tableau de bord Sécurité et Audit est un exemple de ces types de solutions.The Security and Audit dashboard is an example of these types of solutions.

Automation and Control : alerte sur les anomalies de configuration de la sécuritéAutomation and control: Alert on security configuration drifts

Azure Automation automatise les processus administratifs grâce à des runbooks basés sur PowerShell et exécutés dans le cloud.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the cloud. Les Runbooks peuvent également être exécutés sur un serveur de votre centre de données local pour gérer des ressources locales.Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation assure la gestion de la configuration avec PowerShell DSC (Desired State Configuration).Azure Automation provides configuration management with PowerShell Desired State Configuration (DSC).

Diagramme Azure Automation

Vous pouvez créer et gérer les ressources DSC hébergées dans Azure et les appliquer à des systèmes de cloud et locaux.You can create and manage DSC resources that are hosted in Azure and apply them to cloud and on-premises systems. Ce faisant, vous pouvez définir et appliquez automatiquement leur configuration ou obtenir des rapports pour aider à s’assurer que les configurations de sécurité restent au sein de la stratégie.By doing so, you can define and automatically enforce their configuration or get reports on drift to help ensure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center vous permet de protéger vos ressources Azure.Azure Security Center helps protect your Azure resources. Il fournit des fonctions intégrées de surveillance de la sécurité et de gestion des stratégies sur vos abonnements Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. Dans le service, vous pouvez définir des stratégies contre vos abonnements Azure et vos groupes de ressources pour une granularité supérieure.Within the service, you can define polices against both your Azure subscriptions and resource groups for greater granularity.

Diagramme Azure Security Center

Les chercheurs en sécurité de Microsoft sont constamment à l’affût des nouvelles menaces.Microsoft security researchers are constantly on the lookout for threats. Ils ont accès à un vaste jeu de télémétrie acquis grâce à la présence globale de Microsoft sur le cloud et localement.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. Cette collection diverse et étendue de jeux de données permet à Microsoft de détecter de nouveaux modèles et de nouvelles tendances d’attaques dans ses produits locaux destinés au consommateur et aux entreprises, ainsi que dans ses services en ligne.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Azure Security Center peut donc rapidement mettre à jour ses algorithmes de détection, puisque les pirates sont à l’origine d’attaques innovantes de plus en plus sophistiquées.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Cette approche permet de faire face à des menaces en pleine mutation.This approach helps you keep pace with a fast-moving threat environment.

Centre de sécurité - Détection de menaces

La détection des menaces d’Azure Security Center fonctionne en collectant automatiquement les informations de sécurité à partir de vos ressources Azure, du réseau et des solutions de partenaires connectées.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Elle analyse ces informations, en corrélant les données issues de plusieurs sources, pour identifier les menaces.It analyzes this information, correlating information from multiple sources, to identify threats.

Les alertes de sécurité, ainsi que les recommandations sur la façon de répondre à la menace, sont hiérarchisées dans Azure Security Center.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Azure Security Center emploie des analyses de sécurité avancées allant bien au-delà des approches simplement basées sur la signature.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Les avancées des technologies de big data et d’apprentissage automatique sont utilisées pour évaluer les événements de toute la structure fabric cloud.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric. Les fonctions d’analyse avancées peuvent détecter les menaces qui seraient impossibles à identifier avec des approches manuelles et peuvent prévoir l’évolution des attaques.Advanced analytics can detect threats that would be impossible to identify through manual approaches and predicting the evolution of attacks. Ces types d’analyses de sécurité sont mentionnés dans les prochaines sections.These security analytics types are covered in the next sections.

Informations sur les menacesThreat intelligence

Microsoft dispose d’une multitude d’informations en matière de menaces à l’échelle mondiale.Microsoft has access to an immense amount of global threat intelligence.

La télémétrie provient de plusieurs sources, telles qu’Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) et Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Découvertes d’informations sur les menaces

Les chercheurs reçoivent également les informations sur les menaces partagées par les principaux fournisseurs de services cloud et s’abonnent aux flux d’informations sur les menaces provenant de tiers.Researchers also receive threat intelligence information that is shared among major cloud service providers, and they subscribe to threat intelligence feeds from third parties. Azure Security Center peut utiliser ces informations pour vous alerter en cas de menaces provenant d’éléments malveillants connus.Azure Security Center can use this information to alert you to threats from known bad actors. Voici quelques exemples :Some examples include:

  • Exploitation de la puissance du machine learning : Azure Security Center a accès à une grande quantité de données sur l’activité réseau cloud, qui peuvent être utilisées pour détecter les menaces ciblant vos déploiements Azure.Harnessing the power of machine learning: Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments.

  • Détection des attaques par force brute : Le machine learning permet de créer un modèle historique des tentatives d’accès à distance, qui facilite la détection des attaques par force brute sur les ports SQL, RDP (Remote Desktop Protocole) et SSH (Secure Shell).Brute force detection: Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against Secure Shell (SSH), Remote Desktop Protocol (RDP), and SQL ports.

  • Détection des attaques DDoS sortantes et des botnets : les attaques ciblant les ressources cloud visent généralement à utiliser la puissance de calcul de ces ressources pour exécuter d’autres attaques.Outbound DDoS and botnet detection: A common objective of attacks that target cloud resources is to use the compute power of these resources to execute other attacks.

  • Nouveaux serveurs d’analyse comportementale et machines virtuelles : dès lors qu’un serveur ou qu’une machine virtuelle est attaqué(e), les pirates utilisent diverses techniques pour exécuter du code malveillant sur le système ciblé, en évitant la détection, en assurant la persistance des attaques et en contournant les contrôles de sécurité.New behavioral analytics servers and VMs: After a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Détection des menaces sur Azure SQL Database : la détection des menaces pour Azure SQL Database identifie les activités de base de données anormales qui indiquent les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données.Azure SQL Database Threat Detection: Threat detection for Azure SQL Database, which identifies anomalous database activities that indicate unusual and potentially harmful attempts to access or exploit databases.

Analyse comportementaleBehavioral analytics

L’analyse comportementale est une technique qui analyse et compare les données à une collection de modèles connus.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. Toutefois, ces modèles ne sont pas de simples signatures.However, these patterns are not simple signatures. Ils sont déterminés par le biais d’algorithmes d’apprentissage automatique appliqués aux ensembles de données massifs.They are determined through complex machine learning algorithms that are applied to massive datasets.

Découvrtes sur l’analyse comportementale

Ils sont également déterminés à travers une analyse minutieuse des comportements malveillants par des experts.The patterns are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center peut utiliser l’analyse comportementale pour identifier les ressources compromises en se basant sur l’analyse des journaux d’activité de la machine virtuelle, des journaux d’activité du périphérique réseau virtuel, des journaux d’activité Service Fabric, des vidages sur incident et d’autres sources.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

En outre, il existe une corrélation entre les modèles et les autres signaux pour rechercher les preuves d’une campagne généralisée.In addition, patterns are correlated with other signals to check for supporting evidence of a widespread campaign. Ce rapprochement permet d’identifier les événements qui sont cohérents avec les indicateurs de compromission établis.This correlation helps to identify events that are consistent with established indicators of compromise.

Voici quelques exemples :Some examples include:

  • Exécution de processus suspect : les attaquants utilisent diverses techniques pour exécuter des logiciels malveillants en l’absence de détection.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Par exemple, un pirate peut donner au programme malveillant le même nom que celui utilisé pour des fichiers système légitimes, mais placer ces fichiers à un autre emplacement, utiliser un nom similaire à un fichier anodin ou masquer la véritable extension du fichier.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is similar to that of a benign file, or mask the file’s true extension. Security Center modélise les comportements et surveille les exécutions du processus pour détecter les valeurs aberrantes telles que celles-ci.Security Center models process behaviors and monitor process executions to detect outliers such as these.

  • Programmes malveillants masqués et tentatives d’exploitation : des programmes malveillants sophistiqués peuvent échapper aux produits anti-programme malveillant traditionnels en choisissant de ne jamais écrire sur le disque ou en chiffrant des composants logiciels stockés sur le disque.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Toutefois, ces logiciels malveillants peuvent être détectés à l’aide de l’analyse de mémoire, car le programme malveillant laisse des traces en mémoire pour pouvoir fonctionner.However, such malware can be detected by using memory analysis, because the malware must leave traces in memory to function. Lorsque le logiciel se bloque, un vidage sur incident capture une partie de la mémoire au moment de l’incident.When software crashes, a crash dump captures a portion of memory at the time of the crash. En analysant la mémoire dans le vidage sur incident, Azure Security Center peut détecter les techniques utilisées pour exploiter la vulnérabilité des logiciels, accéder aux données confidentielles et persister subrepticement au sein d’un ordinateur compromis sans affecter les performances de votre machine.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without affecting the performance of your machine.

  • Mouvement latéral et reconnaissance interne : afin de persister dans un réseau compromis et de localiser/récolter des données précieuses, les attaquants tentent souvent de se déplacer latéralement à partir de l’ordinateur compromis vers d’autres ordinateurs au sein du même réseau.Lateral movement and internal reconnaissance: To persist in a compromised network and locate and harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Azure Security Center surveille les activités de processus et de connexion afin de détecter les tentatives de développement du pirate au sein du réseau, telles que l’exécution de commande à distance, la détection de réseau et l’énumération de compte.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Scripts PowerShell malveillants : les pirates peuvent utiliser PowerShell pour exécuter du code malveillant sur des machines virtuelles cibles à des fins diverses.Malicious PowerShell scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for various purposes. Azure Security Center inspecte l’activité PowerShell à la recherche d’activité suspecte.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Attaques sortantes : les pirates ciblent souvent les ressources cloud en vue d’utiliser ces ressources pour lancer d’autres attaques.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Les machines virtuelles compromises peuvent, par exemple, servir à lancer des attaques par force brute contre d’autres machines virtuelles, envoyer du courrier indésirable, ou analyser les ports ouverts et autres appareils sur Internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send spam, or scan open ports and other devices on the internet. En appliquant l’apprentissage automatique au trafic réseau, Azure Security Center peut détecter lorsque les communications réseau sortantes dépassent la norme.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Lorsque du courrier indésirable est détecté, Azure Security Center met également en corrélation le trafic de messagerie inhabituel avec l’intelligence issue d’Office 365 pour déterminer si le courrier est susceptible d’être mal intentionné ou est le résultat d’une campagne de courrier électronique légitime.When spam is detected, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Détection des anomaliesAnomaly detection

Azure Security Center utilise également la détection des anomalies pour identifier les menaces.Azure Security Center also uses anomaly detection to identify threats. Contrairement à l’analyse comportementale (qui dépend des modèles connus dérivés de grands jeux de données), la détection des anomalies est plus « personnalisée » et se concentre sur les lignes de base propres à vos déploiements.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. L’apprentissage automatique est appliqué pour déterminer l’activité normale de vos déploiements et les règles sont générées pour définir les conditions de valeurs aberrantes pouvant signaler un événement de sécurité.Machine learning is applied to determine normal activity for your deployments, and then rules are generated to define outlier conditions that could represent a security event. Voici un exemple :Here’s an example:

  • Attaques par force brute RDP/SSH entrantes : vos déploiements peuvent comporter des machines virtuelles occupées par un nombre plus ou moins important de connexions quotidiennes.Inbound RDP/SSH brute force attacks: Your deployments might have busy virtual machines with many logins each day and other virtual machines that have few, if any, logins. Azure Security Center peut déterminer l’activité de connexion de base de ces machines virtuelles et utiliser l’apprentissage automatique pour définir ce qui correspond à des activités normales.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. Une alerte peut être générée en cas d’écart par rapport à la référence définie pour les caractéristiques de connexion.If there is any discrepancy with the baseline defined for login related characteristics, an alert might be generated. Là encore, l’apprentissage automatique détermine ce qui est significatif.Again, machine learning determines what is significant.

Analyse continue des informations sur les menacesContinuous threat intelligence monitoring

Azure Security Center s’appuie sur des équipes de recherche de sécurité et de sciences des données implantées dans le monde entier, qui surveillent en continu les évolutions en matière de menaces.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Cela inclut les initiatives suivantes :This includes the following initiatives:

  • Analyse des informations sur les menaces : les informations sur les menaces incluent des mécanismes, des indicateurs, des implications et des conseils pratiques sur les menaces, nouvelles ou existantes.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Ces informations sont partagées avec la communauté dédiée à la sécurité, et Microsoft surveille en permanence le flux des informations sur les menaces provenant de sources internes et externes.This information is shared in the security community, and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Partage de signal : les insights fournis par les équipes de sécurité sur le portefeuille complet de services cloud et locaux, de serveurs et d’appareils de point de terminaison client de Microsoft sont partagés et analysés.Signal sharing: Insights from security teams across the broad Microsoft portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Spécialistes de la sécurité Microsoft : engagement continu avec les équipes Microsoft travaillant dans des domaines de la sécurité spécialisés, tels que la forensique et la détection d’attaques web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, such as forensics and web attack detection.

  • Réglage de la détection : des algorithmes sont exécutés sur les jeux de données client réels, et les chercheurs en sécurité collaborent avec les clients pour valider les résultats.Detection tuning: Algorithms are run against real customer data sets, and security researchers work with customers to validate the results. Les vrais et les faux positifs sont utilisés pour affiner les algorithmes d’apprentissage automatique.True and false positives are used to refine machine learning algorithms.

Ces efforts combinés aboutissent à des détections nouvelles et améliorées, dont vous pouvez bénéficier instantanément.These combined efforts culminate in new and improved detections, which you can benefit from instantly. Aucune action de votre part n’est requise.There’s no action for you to take.

Fonctionnalités de détection de menaces avancées : Autres services AzureAdvanced threat detection features: Other Azure services

Machines virtuelles : Microsoft AntimalwareVirtual machines: Microsoft antimalware

Microsoft Antimalware est une solution d’agent unique pour les applications et les environnements client, conçue pour s’exécuter en arrière-plan sans intervention humaine.Microsoft antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. Vous pouvez déployer la protection en fonction des besoins de vos charges de travail d’application, avec une configuration de base sécurisée par défaut ou une configuration personnalisée avancée, y compris pour la surveillance anti-programmes malveillants.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure Antimalware est une option de sécurité dédiée aux machines virtuelles Azure qui est automatiquement installée sur toutes les machines virtuelles PaaS Azure.Azure antimalware is a security option for Azure virtual machines that's automatically installed on all Azure PaaS virtual machines.

Principales fonctionnalités de Microsoft AntimalwareMicrosoft antimalware core features

Voici les fonctionnalités d’Azure permettant de déployer et activer Microsoft Antimalware pour vos applications :Here are the features of Azure that deploy and enable Microsoft antimalware for your applications:

  • Protection en temps réel : supervise l’activité dans les services cloud et sur les machines virtuelles pour détecter et bloquer l’exécution de logiciels malveillants.Real-time protection: Monitors activity in cloud services and on virtual machines to detect and block malware execution.

  • Analyse planifiée : Effectue périodiquement une analyse ciblée pour détecter les logiciels malveillants, notamment les programmes en cours d’exécution.Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.

  • Correction de logiciels malveillants : prend automatiquement des mesures sur les programmes malveillants détectés, notamment la suppression ou la mise en quarantaine des fichiers malveillants et le nettoyage des entrées de Registre malveillantes.Malware remediation: Automatically acts on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Mises à jour de signatures : installe automatiquement les dernières signatures de protection (définitions de virus) pour garantir que la protection est à jour d’après une fréquence prédéfinie.Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up to date on a pre-determined frequency.

  • Mises à jour du moteur Antimalware : met automatiquement à jour le moteur Microsoft Antimalware.Antimalware Engine updates: Automatically updates the Microsoft Antimalware Engine.

  • Mises à jour du logiciel anti-programme malveillant pour la plateforme : met automatiquement à jour la plateforme Microsoft Antimalware.Antimalware platform updates: Automatically updates the Microsoft antimalware platform.

  • Protection active : signale les métadonnées de télémétrie relatives aux menaces détectées et aux ressources suspectes à Microsoft Azure afin d’assurer une réaction rapide au paysage de menaces en constante évolution, en permettant de fournir une signature synchrone en temps réel via le système MAPS (Microsoft Active Protection System).Active protection: Reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, enabling real-time synchronous signature delivery through the Microsoft active protection system.

  • Exemples de création de rapport : crée et fournit des exemples de rapports au service Microsoft Antimalware afin de contribuer à l’amélioration du service et permettre la résolution des problèmes.Samples reporting: Provides and reports samples to the Microsoft antimalware service to help refine the service and enable troubleshooting.

  • Exclusions : permet aux administrateurs d’applications et de services de configurer certains fichiers, processus et lecteurs pour les exclure de la protection et de l’analyse, entre autres pour des raisons de performances.Exclusions: Allows application and service administrators to configure certain files, processes, and drives for exclusion from protection and scanning for performance and other reasons.

  • Collecte d’événements du logiciel anti-programme malveillant : enregistre l’intégrité du service Antimalware, les activités suspectes et les mesures de correction prises dans le journal des événements du système d’exploitation et les rassemble dans le compte de stockage Azure du client.Antimalware event collection: Records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure storage account.

Détection des menaces Azure SQL DatabaseAzure SQL Database Threat Detection

Détection des menaces Azure SQL Database est une nouvelle fonctionnalité de sécurité intelligence intégrée dans le service Azure SQL Database.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Conçue pour identifier, profiler et détecter 24 heures sur 24 les activités anormales sur la base de données, la détection des menaces Azure SQL Database identifie les menaces potentielles pour la base de données.Working around the clock to learn, profile, and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

Les responsables de la sécurité ou autres administrateurs désignés peuvent obtenir une notification immédiate concernant les activités suspectes qui interviennent sur la base de données.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Chaque notification contient des détails sur l’activité suspecte et fournit des recommandations pour vous aider à étudier et corriger la menace.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

La détection des menaces Azure SQL Database détecte actuellement les vulnérabilités potentielles et les attaque par injection SQL, ainsi que les schémas d’accès anormaux à la base de données.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Lorsqu’ils reçoivent une notification de détection des menaces par e-mail, les utilisateurs sont en mesure d’accéder aux enregistrements d’audit concernés et de les consulter via un lien profond dans l’e-mail.Upon receiving a threat-detection email notification, users are able to navigate and view the relevant audit records through a deep link in the mail. Le lien ouvre une visionneuse d’audit ou un modèle Excel d’audit préconfiguré qui affiche les enregistrements d’audit concernés au moment de l’événement suspect, selon :The link opens an audit viewer or a preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event, according to the following:

  • Stockage d’audit du serveur/de la base de données, retraçant les activités anormales sur la base de donnéesAudit storage for the database/server with the anomalous database activities.

  • Table de stockage d’audit pertinente ayant été utilisée au moment de l’événement pour écrire le journal d’audit.Relevant audit storage table that was used at the time of the event to write the audit log.

  • Enregistrements d’audit de l’heure suivant immédiatement l’événement.Audit records of the hour immediately following the event occurrence.

  • Enregistrements d’audit associés à un ID d’événement similaire au moment de l’événement (facultatif pour certains détecteurs).Audit records with a similar event ID at the time of the event (optional for some detectors).

Les fonctions SQL Database Threat Detector utilisent les méthodes de détection suivantes :SQL Database threat detectors use one of the following detection methodologies:

  • Détection déterministe : détecte les séquences suspectes (à partir de règles) dans les requêtes clientes SQL qui correspondent à des attaques connues.Deterministic detection: Detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Cette méthodologie offre une haute capacité de détection et génère peu de faux positifs ; elle présente toutefois une couverture assez limitée puisqu’elle relève de la catégorie des « détections atomiques ».This methodology has high detection and low false positive, but limited coverage because it falls within the category of “atomic detections.”

  • Détection comportementale : détecte les activités anormales, autrement dit les comportements anormaux de la base de données qui n’ont pas été observés au cours des 30 derniers jours.Behavioral detection: Detects anomalous activity, which is abnormal behavior in the database that was not seen during the most recent 30 days. Dans un client SQL, une activité anormale peut, par exemple, se traduire par un pic d’échecs de connexion/requête, par un volume important de données extraites, par des requêtes canoniques inhabituelles ou encore par l’utilisation d’adresses IP inconnues pour accéder à la base de donnéesExamples of SQL client anomalous activity can be a spike of failed logins or queries, a high volume of data being extracted, unusual canonical queries, or unfamiliar IP addresses used to access the database.

Pare-feu d’applications web sur Application GatewayApplication Gateway Web Application Firewall

Le pare-feu d’applications web (WAF) est une fonction de passerelle Azure Application Gateway qui offre une protection pour les applications web qui utilisent la passerelle d’application pour les fonctions de contrôle de remise d’application standard.Web Application Firewall (WAF) is a feature of Azure Application Gateway that provides protection to web applications that use an application gateway for standard application delivery control functions. Le pare-feu d’applications web le fait en les protégeant contre la plupart des 10 plus courantes vulnérabilités web de l’OWASP (Open Web Application Security Project.Web Application Firewall does this by protecting them against most of the Open Web Application Security Project (OWASP) top 10 common web vulnerabilities.

Diagramme du Pare-feu d’applications web sur Application Gateway

Les protections sont les suivantes :Protections include:

  • Protection contre les injections de code SQL.SQL injection protection.

  • Protection de l’exécution de script de site à site.Cross site scripting protection.

  • Protection contre les attaques web courantes comme l’injection de commande, les dissimulations de requêtes HTTP, la séparation de réponse HTTP et les attaques RFI (Remote File Inclusion).Common Web Attacks Protection, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack.

  • Protection contre les violations de protocole HTTP.Protection against HTTP protocol violations.

  • Protection contre les anomalies de protocole HTTP comme un agent-utilisateur hôte manquant et les en-têtes Accept.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.

  • Protection contre les robots, les crawlers et les scanneurs.Prevention against bots, crawlers, and scanners.

  • Détection des erreurs de configuration d’application courantes (par exemple, Apache, IIS, etc.)Detection of common application misconfigurations (that is, Apache, IIS, and so on).

La configuration WAF au niveau de votre passerelle d’application vous offre plusieurs avantages :Configuring WAF at your application gateway provides the following benefits:

  • Protection de votre application web contre les vulnérabilités et les attaques web sans modification du code principal.Protects your web application from web vulnerabilities and attacks without modification of the back-end code.

  • Protection simultanée de plusieurs applications web derrière une passerelle d’application.Protects multiple web applications at the same time behind an application gateway. Prise en charge d’une passerelle d’application qui peut héberger jusqu’à 20 sites web.An application gateway supports hosting up to 20 websites.

  • Supervision des applications web contre les attaques à l’aide de rapports en temps réel générés par les journaux d’activité WAF de la passerelle d’application.Monitors web applications against attacks by using real-time reports that are generated by application gateway WAF logs.

  • Aide au respect des exigences en matière de conformité.Helps meet compliance requirements. Certains contrôles de conformité nécessitent que tous les points de terminaison qui accèdent à Internet soient protégés par une solution WAF.Certain compliance controls require all internet-facing endpoints to be protected by a WAF solution.

API Détection d’anomalies : intégrée à Azure Machine LearningAnomaly Detection API: Built with Azure Machine Learning

L’API Anomaly Detection est une API très utile pour détecter une variété de modèles d’anomalies dans les données de la série chronologique.The Anomaly Detection API is an API that's useful for detecting a variety of anomalous patterns in your time series data. L’API attribue un score d’anomalie à chaque point de données de la série chronologique, qui peut être utilisé pour générer des alertes, en établissant une surveillance via les tableaux de bord ou en créant une connexion avec vos systèmes de gestion de tickets.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards, or connecting with your ticketing systems.

L’API Anomaly Detection peut détecter les types suivants de schémas anormaux dans les données de séries chronologiques :The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Pics et creux : quand vous supervisez le nombre d’échecs de connexion pour un service ou le nombre de validations dans un site de commerce électronique, les pics ou creux d’activité inhabituels peuvent indiquer des attaques de sécurité ou des interruptions de service.Spikes and dips: When you're monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Tendances positives et négatives : quand vous supervisez l’utilisation de la mémoire en informatique, une taille de mémoire gratuite qui diminue indique une fuite de mémoire potentielle.Positive and negative trends: When you're monitoring memory usage in computing, shrinking free memory size indicates a potential memory leak. Pour la surveillance de la longueur d’une file d'attente d’un service, une tendance montante persistante pourrait indiquer un problème logiciel sous-jacent.For service queue length monitoring, a persistent upward trend might indicate an underlying software issue.

  • Changements de niveau et changements dans la plage dynamique de valeurs : il peut être intéressant de superviser les changements de niveau de latence d’un service après une mise à niveau du service, ou encore une réduction des niveaux d’exceptions après une mise à niveau.Level changes and changes in dynamic range of values: Level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

L’API de Machine Learning offre les avantages suivants :The machine learning-based API enables:

  • Détection flexible et fiable : les modèles de détection d’anomalies permettent aux utilisateurs de configurer les paramètres de sensibilité et de détecter des anomalies entre les jeux de données saisonnières et non saisonnières.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Les utilisateurs peuvent ajuster le modèle de détection d’anomalies pour rendre l’API de détection plus ou moins sensible en fonction de leurs besoins.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Cela permet de détecter les anomalies plus ou moins visibles au niveau des données, avec et sans schémas saisonniers.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Détection scalable et rapide : l’approche de supervision traditionnelle, qui repose sur les seuils actuels définis à partir des connaissances d’experts dans le domaine, est coûteuse et ne peut pas être déployée sur des millions de jeux de données qui évoluent de façon dynamique.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. Les modèles de détection d’anomalies proposés dans cette API s’appuient sur un apprentissage et sont paramétrés automatiquement à partir des données historiques et en temps réel.The anomaly detection models in this API are learned, and models are tuned automatically from both historical and real-time data.

  • Détection proactive et exploitable : il est possible d’appliquer une détection des lents changements de tendance et de niveau afin d’anticiper les anomalies.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Les équipes peuvent utiliser les signaux anormaux rapidement détectés pour étudier et agir sur les aspects problématiques.The early abnormal signals that are detected can be used to direct humans to investigate and act on the problem areas. En outre, il est possible de développer des modèles d’analyse des causes ainsi que des outils d’alerte sur ce service d’API de détection des anomalies.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly-detection API service.

L’API de détection des anomalies est une solution efficace pour un large éventail de scénarios, notamment la surveillance de l’intégrité du service et des indicateurs de performance clés, l’IoT, l’analyse des performances et l’analyse du trafic réseau.The anomaly-detection API is an effective and efficient solution for a wide range of scenarios, such as service health and KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Voici quelques scénarios courants où cette API peut se révéler utile :Here are some popular scenarios where this API can be useful:

  • Les services informatiques ont besoin d’outils pour suivre les événements, les codes d’erreur, les journaux d’utilisation et les performances (processeur, mémoire, etc.) en temps voulu.IT departments need tools to track events, error code, usage log, and performance (CPU, memory, and so on) in a timely manner.

  • Les sites de commerce en ligne ont besoin d’effectuer un suivi des activités du client, des pages consultées, du nombre de clics, etc.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • Les entreprises de services publics, quant à elles, ont besoin d’effectuer un suivi de la consommation d’eau, de gaz, d’électricité et d’autres ressources.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • Les services de gestion d’installations ou de bâtiments doivent surveiller la température, l’humidité, le trafic, etc.Facility or building management services want to monitor temperature, moisture, traffic, and so on.

  • Les entreprises IoT/fabricants veulent utiliser les données de capteur dans des séries chronologiques pour analyser le flux de travail, la qualité, etc.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Les fournisseurs de services, tels que les centres d’appel, doivent analyser les tendances de demande de service, le volume d’incidents, la durée de la file d’attente, etc.Service providers, such as call centers, need to monitor service demand trend, incident volume, wait queue length, and so on.

  • Les groupes d’analyse marketing doivent surveiller en temps réel les changements anormaux des KPI commerciaux (par exemple, le volume des ventes, les sentiments du client, les prix).Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, or pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security est un composant essentiel de la pile de sécurité de Microsoft Cloud.Cloud App Security is a critical component of the Microsoft Cloud Security stack. Cette solution complète peut aider votre organisation lorsque vous cherchez à tirer pleinement parti des promesses des applications cloud.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications. Elle vous laisse le contrôle grâce à une meilleure visibilité dans l’activité.It keeps you in control, through improved visibility into activity. Elle vous permet également de renforcer la protection des données critiques dans les applications cloud.It also helps increase the protection of critical data across cloud applications.

Grâce à des outils qui vous permettent de détecter le Shadow IT, d’évaluer les risques, d’appliquer des stratégies, d’examiner les activités et d’arrêter les menaces, votre organisation est en mesure de migrer en toute sécurité vers le cloud tout en conservant le contrôle sur ses données critiques.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

CategoryCategory DescriptionDescription
DécouvrezDiscover Découvrez le Shadow IT grâce à Cloud App Security.Uncover shadow IT with Cloud App Security. Bénéficiez d’une meilleure visibilité grâce à une détection des applications, des activités, des utilisateurs, des données et des fichiers dans votre environnement cloud.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Détectez les applications tierces connectées à votre cloud.Discover third-party apps that are connected to your cloud.
ExaminerInvestigate Examinez vos applications cloud à l’aide d’outils d’investigation cloud conçus pour explorer en profondeur les applications à risque, les utilisateurs spécifiques et les fichiers de votre réseau.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Recherchez des modèles parmi les données collectées à partir de votre cloud.Find patterns in the data collected from your cloud. Générez des rapports pour surveiller votre cloud.Generate reports to monitor your cloud.
ControlControl Limitez les risques en définissant des stratégies et des alertes de manière à accentuer le contrôle sur le trafic réseau cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Utilisez Cloud App Security pour migrer vos utilisateurs vers d’autres solutions cloud sécurisées et approuvées.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
ProtégerProtect Utilisez Cloud App Security pour approuver ou interdire des applications, appliquer des mesures de prévention des fuites de données, contrôler les autorisations et le partage, et générer des alertes et des rapports personnalisés.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
ControlControl Limitez les risques en définissant des stratégies et des alertes de manière à accentuer le contrôle sur le trafic réseau cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Utilisez Cloud App Security pour migrer vos utilisateurs vers d’autres solutions cloud sécurisées et approuvées.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Diagramme Cloud App Security

Cloud App Security intègre la visibilité à votre cloud :Cloud App Security integrates visibility with your cloud by:

  • Utilisation de Cloud Discovery pour mapper et identifier votre environnement cloud et les applications cloud utilisées par votre organisation.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • en approuvant et en interdisant les applications dans votre cloud ;Sanctioning and prohibiting apps in your cloud.

  • en utilisant des connecteurs faciles à déployer qui tirent parti des API de fournisseurs pour améliorer la visibilité et la gouvernance des applications auxquelles vous vous connectez ;Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • en vous aidant à préserver le contrôle grâce à la définition et à l’optimisation de stratégies.Helping you have continuous control by setting, and then continually fine-tuning, policies.

Cloud App Security exécute une analyse complexe sur les données recueillies auprès de ces sources.On collecting data from these sources, Cloud App Security runs sophisticated analysis on it. Cette solution vous alerte immédiatement en cas d’activités anormales et vous procure une visibilité totale sur votre environnement cloud.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Vous pouvez configurer une stratégie dans Cloud App Security et l’utiliser pour protéger tous les éléments de votre environnement cloud.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Fonctionnalités tierces avancées de détection des menaces via la Place de marché AzureThird-party Advanced Threat Detection capabilities through the Azure Marketplace

Pare-feu d’applications webWeb Application Firewall

Le pare-feu d’applications web inspecte le trafic web entrant et bloque les injections SQL, les attaques XSS, les téléchargements de programmes malveillants, les attaques DDoS, ainsi que les autres attaques ciblées sur vos applications web.Web Application Firewall inspects inbound web traffic and blocks SQL injections, cross-site scripting, malware uploads, application DDoS attacks, and other attacks targeted at your web applications. Ce type de pare-feu inspecte également les réponses des serveurs Web principaux pour prévention de perte de données (DLP).It also inspects the responses from the back-end web servers for data loss prevention (DLP). Le moteur de contrôle d’accès intégré permet aux administrateurs de créer des stratégies de contrôle d’accès granulaire pour l’authentification, l’autorisation et la traçabilité (AAA), qui offre aux organisations une authentification renforcée et un meilleur contrôle des utilisateurs.The integrated access control engine enables administrators to create granular access control policies for authentication, authorization, and accounting (AAA), which gives organizations strong authentication and user control.

Le pare-feu d’applications Web offre les avantages suivants :Web Application Firewall provides the following benefits:

  • Détecte et bloque les injections SQL, les attaques XSS, les téléchargements de logiciels malveillants, les attaques DDoS d’application ou toute autre attaque dirigée contre votre application.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Authentification et contrôle d’accès.Authentication and access control.

  • Analyse le trafic sortant pour détecter les données sensibles, avec la possibilité de masquer ou bloquer la fuite d’informations.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Accélère la distribution de contenus d’application web, à l’aide de fonctionnalités telles que la mise en cache, la compression et d’autres optimisations du trafic.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Pour obtenir des exemples de pare-feu d’applications web disponibles sur la Place de marché Azure, consultez Pare-feu d'applications web Barracuda, pare-feu d'applications web virtuel Brocade (vWAF), Imperva SecureSphere et le pare-feu ThreatSTOP IP.For examples of web application firewalls that are available in the Azure Marketplace, see Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall.

Étapes suivantesNext steps