Base de référence de sécurité Azure pour Microsoft Defender pour Cloud Apps

Cette base de référence de sécurité applique Azure Security Benchmark version 2.0 à Microsoft Defender pour Cloud Apps. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par Azure Security Benchmark et les recommandations applicables à Microsoft Defender pour Cloud Apps.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Microsoft Defender pour Cloud Apps, et ceux pour lesquels l’aide globale est textuellement recommandée, ont été exclus. Pour voir la façon dont Microsoft Defender pour Cloud Apps est entièrement mappé à Azure Security Benchmark, consultez le fichier de mappage complet de la base de référence de sécurité de Microsoft Defender pour Cloud Apps.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-6 : Simplifier les règles de sécurité réseau

Conseil : Utilisez les étiquettes de service Réseau virtuel Azure afin de définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le Pare-feu Azure configurés pour vos ressources Microsoft Defender pour Cloud Apps. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (par exemple, « MicrosoftCloudAppSecurity ») dans le champ source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Microsoft Defender pour Cloud Apps utilise Azure Active Directory (Azure AD) en tant que service de gestion des identités et des accès par défaut. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d'identité sécurisée pour vous aider à évaluer la sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge l’identité externe, ce qui permet aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Microsoft Defender pour Cloud Apps utilise Azure Active Directory (Azure AD) afin de fournir la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Cela inclut les identités d’entreprise, comme les employés, ainsi que les identités externes, comme les partenaires et les fournisseurs. Cela permet à l’authentification unique de gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseil : Microsoft Defender pour Cloud Apps comprend les comptes à privilèges élevés suivants :

  • Administrateur général et administrateur de sécurité : les administrateurs disposant d’un accès complet disposent d’autorisations complètes dans Microsoft Defender pour Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance.

  • Administrateur de conformité : dispose d’autorisations en lecture seule et peut gérer les alertes. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud. Peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichier et afficher tous les rapports intégrés sous Gestion des données.

  • Administrateur des données de conformité : il dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichiers et afficher tous les rapports de découverte. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud.

  • Opérateur de sécurité : il dispose d'autorisations en lecture seule et peut gérer les alertes.

  • Lecteur Sécurité : dispose d’autorisations en lecture seule et peut gérer les alertes. Le Lecteur Sécurité ne peut pas effectuer les actions suivantes :

  • Créer des stratégies ou modifier et changer des stratégies existantes

  • Effectuer des actions de gouvernance

  • Charger des journaux de découverte

  • Interdire ou approuver des applications tierces

  • Accéder à la page de paramètres de la plage d’adresses IP

  • Accès et affichage des pages de paramètres système

  • Accéder aux paramètres de découverte

  • Accéder à la page de connecteurs d’application

  • Accéder au journal de gouvernance

  • Accéder à la page Gérer des rapports d’instantanés

  • Accès et modification de l’agent SIEM

  • Lecteur général : il dispose d’un accès complet en lecture seule à tous les aspects de Microsoft Defender pour Cloud Apps. Impossible de modifier des paramètres ou d’effectuer des actions.

Limitez le nombre de comptes ou rôles très privilégiés et protégez ces comptes à un niveau élevé, car les utilisateurs disposant de ces privilèges peuvent lire et modifier, directement ou non, toutes les ressources de votre environnement Azure.

Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et Azure Active Directory (Azure AD) en utilisant Azure AD Privileged Identity Management (PIM). JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Microsoft Defender pour Cloud Apps utilise des comptes Azure Active Directory (Azure AD) pour gérer ses ressources, passer en revue les comptes d’utilisateur et accéder régulièrement aux affectations afin de vérifier la validité des comptes et des accès correspondants. Vous pouvez utiliser les révisions d’accès Azure AD pour réviser les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

En outre, Azure Privileged Identity Management peut être configuré pour déclencher des alertes lorsqu'un nombre excessif de comptes d'administrateur est créé, et pour identifier les comptes d'administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et des rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devrez gérer ces utilisateurs séparément.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseil : Microsoft Defender pour Cloud Apps est intégré au contrôle d'accès en fonction du rôle Azure (Azure RBAC) pour la gestion de ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs et regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell ou le portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Cette stratégie complète l’approche juste-à-temps (JIT, Just In Time) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et doit être passée en revue régulièrement.

Utilisez des rôles intégrés pour allouer les autorisations. Ne créez des rôles personnalisés que si nécessaire.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-1 : Découvrir, classifier et étiqueter des données sensibles

Conseil : Microsoft Defender pour Cloud Apps gère les données sensibles. L’intégralité du flux de données est couvert par la déclaration de confidentialité Microsoft et le processus SDL. Les clients n’ont pas la possibilité de contrôler les données.

Responsabilité : Microsoft

DP-2 : Protection des données sensibles

Conseil : Microsoft Defender pour Cloud Apps gère les données sensibles et utilise des rôles Azure Active Directory (Azure AD) afin de contrôler les autorisations pour différents types de données.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseil : Microsoft Defender pour Cloud Apps prend en charge le chiffrement des données en transit avec TLS v1.2 ou version ultérieure.

C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseil : Microsoft Defender pour Cloud Apps chiffre les données au repos afin d’obtenir une protection contre les attaques « hors-bande » (comme l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher que les attaquants puissent facilement lire ou modifier les données.

Responsabilité : Microsoft

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Transférez tous les journaux de Microsoft Defender pour Cloud Apps vers votre outil SIEM, qui peut être utilisé pour configurer des détections de menaces personnalisées. Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil:  Non applicable. Microsoft Defender pour Cloud Apps ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service Microsoft Defender pour Cloud Apps s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Conseil : Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Microsoft Defender pour Cloud Apps.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes