Gérer la sécurité de l'infrastructure à l'aide de Defender pour le cloud
Étant donné que votre entreprise est une organisation financière, elle doit répondre aux normes de sécurité les plus strictes. Chaque transaction avec un client ou un partenaire doit être totalement protégée contre les menaces, et vous devez également répondre efficacement aux menaces potentielles. Par exemple, si une machine virtuelle (VM) est compromise, vous devez agir rapidement et traiter le problème.
Cette unité explique comment protéger les ressources et répondre aux menaces à l'aide de Microsoft Defender pour le cloud. Defender pour le cloud vous permet de vous assurer que la configuration de sécurité de votre infrastructure est aussi sûre que possible.
Vous pouvez utiliser Defender pour le cloud pour :
- Comprendre la posture de sécurité de votre architecture.
- Identifier et traiter les risques et les menaces qui pèsent sur votre infrastructure.
- Sécurisez une infrastructure complexe en utilisant les compétences et les capitaux internes classiques.
- Sécuriser une infrastructure composée de ressources locales et sur le Cloud.
Comprendre votre posture de sécurité
Vous devez comprendre la posture de sécurité de votre architecture pour vous aider à générer et à maintenir de meilleures infrastructures. Defender pour le cloud vous aide à comprendre la sécurité de votre architecture en vous donnant des analyses détaillées des différents composants de votre environnement, y compris :
- Sécurité des données
- Sécurité du réseau
- Identités et accès
- Sécurité des applications
Defender pour le cloud utilise les journaux Azure Monitor pour collecter des données à partir de vos machines virtuelles afin d'analyser les vulnérabilités et les menaces de sécurité. Un agent lit les différentes configurations liées à la sécurité et les journaux d'événements des machines virtuelles. Il copie les données dans votre espace de travail Log Analytics pour les analyser.
Defender pour le cloud recommande des solutions pour résoudre les problèmes et les risques qu'il met en évidence. Vous pouvez utiliser les recommandations pour améliorer la sécurité et la conformité de votre architecture.
Se protéger contre les menaces
Vous pouvez utiliser Defender pour le cloud pour l'accès juste à temps (JIT) aux machines virtuelles et les contrôles d'application adaptatifs afin de bloquer les activités suspectes et de protéger vos ressources. Pour accéder à ces contrôles, sélectionnez Protections de charge de travail dans la section Sécurité du cloud de la navigation à gauche de Defender pour le cloud.
Accès JIT à la machine virtuelle
Vous pouvez protéger vos machines virtuelles en utilisant la fonctionnalité d'accès aux machines virtuelles JIT pour bloquer l'accès aux machines virtuelles persistantes. Vos machines virtuelles sont accessibles uniquement en fonction de l'accès audité que vous configurez.
Pour activer JIT, sélectionnez Accès JIT aux machines virtuelles à l'écran Protections de charge de travail sous Protection avancée. À la page Accès JIT aux machines virtuelles, cochez les cases en regard d'une ou de plusieurs machines virtuelles de la liste Non configurée, puis sélectionnez Activer JIT sur (nombre) machines virtuelles pour configurer JIT pour les machines virtuelles.
Defender pour le cloud présente une liste de ports par défaut que JIT cible, ou vous pouvez configurer vos propres ports.
Contrôles d’application adaptative
Vous pouvez utiliser des contrôles d'application adaptatifs pour contrôler les applications autorisées à s'exécuter sur vos machines virtuelles. Defender pour le cloud utilise l'apprentissage automatique pour examiner les processus exécutés sur vos machines virtuelles, créer des règles d'exception pour chaque groupe de ressources contenant vos machines virtuelles et formuler des recommandations.
Pour configurer des contrôles adaptatifs, sélectionnez Contrôle d'application adaptatifà l'écran Protections de charge de travail sous Protection avancée. L'écran Contrôles d'application adaptatifs présente une liste de groupes de ressources qui contiennent vos machines virtuelles. L'onglet Recommandé répertorie les groupes de ressources recommandés par Defender pour le cloud pour les contrôles d'application adaptatifs.
Sélectionnez un groupe de ressources et utilisez l'écran Configurer les règles de contrôle d'application pour cibler les machines virtuelles et les applications qui doivent appliquer les règles de contrôle.
Répondre aux menaces
Defender pour le cloud vous donne une vue centralisée de toutes vos alertes de sécurité, classées par gravité. Vous pouvez afficher vos alertes de sécurité en sélectionnant Alertes de sécurité dans le volet de navigation gauche de Defender pour le cloud.
Defender pour le cloud regroupe autant que possible les alertes connexes en un seul incident de sécurité. Sélectionnez un incident pour afficher les alertes de sécurité spécifiques que l'incident contient.
Explorez au niveau du détail une alerte en sélectionnant l'alerte, puis en sélectionnant Afficher les détails complets.
Defender pour le cloud vous aide à répondre aux menaces de façon rapide et automatisée par le biais d'actions. Sélectionnez Suivant : Prenez des mesures pour agir sur l'alerte.
Développez l'une des sections suivantes pour agir sur l'alerte :
- inspecter le contexte de ressource pour examiner les journaux de ressources autour du moment de l'alerte.
- atténuer la menace pour voir les suggestions de réduction ou de correction de la menace.
- prévenir les attaques futures en mettant en œuvre les recommandations en matière de sécurité.
- déclencher une réponse automatisée pour déclencher une application logique en tant que réponse automatisée à cette alerte de sécurité.
- supprimer des alertes similaires en créant une règle de suppression avec des conditions prédéfinies.
- configurer les paramètres de notification par e-mail pour sélectionner les personnes à notifier à propos de l'alerte et dans quelles conditions.
Dans les détails de l'alerte, vous devez ignorer les alertes si aucune action n'est requise, par exemple s'il existe des faux positifs. Vous devez agir pour faire face aux attaques connues, par exemple en bloquant les adresses IP malveillantes connues. Vous devez également décider quelles alertes nécessitent un examen plus approfondi.
