Base de référence de sécurité Azure pour Azure Monitor

Cette base de référence de sécurité applique le Point de référence de sécurité Azure version 2.0 à Azure Monitor. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Monitor.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Monitor et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir la façon dont Azure Monitor est entièrement mappé au Point de référence de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité pour Azure Monitor.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseil : Lorsque vous déployez des ressources Microsoft Azure Monitor, créez un réseau virtuel ou utilisez un réseau virtuel existant. Vérifiez que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise en adéquation avec les risques métier. Si l’un de vos systèmes est susceptible de présenter un risque plus élevé pour l’organisation, alors isolez ce système au sein de son propre réseau virtuel et sécurisez-le suffisamment à l’aide d’un groupe de sécurité réseau (NSG) ou de Pare-feu Azure.

En utilisant le renforcement du réseau adaptatif de Microsoft Defender pour le cloud, recommandez des configurations NSG qui limitent les ports et les adresses IP sources. Basez les configurations sur les règles de trafic externe.

Configurez Monitor pour qu’il utilise le protocole TLS 1.2. Vous pouvez paramétrer cette configuration sur les déploiements de ressources de Monitor par le biais de modèles Azure Resource Manager (modèles ARM). Appliquez la configuration par l’intermédiaire d’Azure Policy. Toutefois, si vous désactivez les protocoles hérités, cela peut avoir un impact sur la compatibilité descendante de votre service ou de votre application.

Pour communiquer avec vos espaces de travail Log Analytics et vos composants Application Insights, le trafic sortant de votre réseau doit avoir accès à une liste de points de terminaison. En règle générale, la communication passe par le port 443 ou le port 80. Certaines fonctionnalités d’Application Insights, telles que les tests de disponibilité, nécessitent un trafic entrant sur votre réseau.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Aide : Avec Azure ExpressRoute ou le réseau privé virtuel (VPN, Virtual Private Network) Azure, créez des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne passent pas par l’Internet public. Par rapport à des connexions Internet classiques, les connexions ExpressRoute offrent les avantages suivants :

  • Une plus grande fiabilité
  • Des vitesses supérieures
  • Des latences plus faibles

Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel. Utilisez n’importe quelle combinaison de ces options de VPN et d’ExpressRoute.

Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic qui se produit entre des réseaux virtuels appairés est privé. Ce trafic est conservé sur le réseau dorsal d’Azure.

Une fois que vos réseaux sont appairés, nous vous recommandons d’utiliser une liaison privée pour communiquer en privé avec vos ressources Monitor. Consultez « Conception de votre configuration Private Link » pour planifier son application à votre topologie de réseau.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseil : Activez Private Link pour permettre l’accès aux services PaaS Azure (par exemple, Monitor) et aux services de partenaires ou de clients hébergés par Azure sur un point de terminaison privé de votre réseau virtuel. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft, ce qui élimine toute exposition sur l’Internet public.

Voici quelques conseils pour gérer l’accès :

  • Pour permettre au trafic d’atteindre Monitor, utilisez les étiquettes de service « AzureMonitor » pour autoriser les trafic entrant et sortant via des groupes de sécurité réseau.
  • Pour permettre au trafic de test de la surveillance des disponibilités d’atteindre Monitor, utilisez l’étiquette de service « ApplicationInsightsAvailability » pour tout le trafic entrant via des groupes de sécurité réseau.
  • Pour permettre aux notifications d’alerte d’atteindre les points de terminaison des clients, utilisez l’étiquette de service « ActionGroup » pour autoriser le trafic entrant via les groupes de sécurité réseau.

À l’aide de règles de réseau virtuel, vous pouvez configurer Monitor pour qu’il ne reçoive des communications que de certains sous-réseaux au sein d’un réseau virtuel.

Si vous avez des ordinateurs qui ne peuvent pas se connecter directement à Internet, alors utilisez la passerelle Log Analytics, qui peut envoyer des données à un espace de travail Log Analytics dans Monitor. Cette pratique signifie que vous n’avez pas besoin de connecter ces ordinateurs à Internet.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseil : Monitor peut surveiller les ressources déployées sur votre réseau. Votre réseau doit donc autoriser le trafic sortant vers les points de terminaison de Monitor (comme l’ingestion de journaux). Nous vous recommandons d’utiliser une liaison privée entre votre réseau et vos ressources Monitor. Si vous ne souhaitez pas utiliser une liaison privée, vous pouvez toujours limiter le trafic sortant de votre réseau vers les points de terminaison de Monitor. Il suffit d’utiliser les étiquettes de service du réseau virtuel Azure sur les groupes de sécurité réseau ou Pare-feu Azure.

Lorsque vous créez des règles de sécurité, utilisez des étiquettes de service à la place d’adresses IP spécifiques. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination de la règle appropriée, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse que l’étiquette de service englobe. Il met automatiquement à jour l’étiquette de service lorsque les adresses changent.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseil : Suivez les meilleures pratiques en matière de sécurité DNS (Domain Name System) afin d’atténuer les attaques courantes telles que :

  • Entrées DNS non résolues
  • Attaques d’amplifications DNS
  • Empoisonnement et usurpation de DNS

En général, Monitor ne vous demande pas de configurer votre DNS ni de le gérer d’une manière spécifique. Toutefois, si vous utilisez des liaisons privées Monitor, vous devez mettre à jour votre DNS. Les zones DNS mappent ensuite les points de terminaison de Monitor à vos adresses IP privées.

Lorsqu’Azure DNS est utilisé comme service DNS faisant autorité, protégez les zones et les enregistrements DNS contre toute modification accidentelle ou malveillante. Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC Azure) et les verrous de ressources pour appliquer la protection.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Monitor utilise Azure Active Directory (Azure AD) comme service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources Microsoft Cloud, telles que :
    • Portail Azure
    • Stockage Azure
    • Machines virtuelles Azure (Linux et Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • Applications SaaS (software as a Service)
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Faites de la sécurisation d’Azure AD une priorité absolue dans le cadre des pratiques de votre organisation en matière de sécurité cloud. Azure AD fournit un score d’identité sécurisée. Ce score vous aide à évaluer votre posture en matière de sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez ce score pour évaluer dans quelle mesure votre configuration correspond aux meilleures pratiques recommandées. Améliorez ensuite votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes. Les utilisateurs sans compte Microsoft peuvent se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : Monitor prend en charge les identités managées pour ses ressources Azure. Au lieu de créer des principaux de service pour accéder à d’autres ressources, utilisez des identités managées avec Monitor. Monitor peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. L’authentification s’effectue par le biais d’une règle prédéfinie d’octroi d’accès. Elle n’utilise pas d’informations d’identification codées en dur dans le code source ou les fichiers config.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Monitor utilise Azure AD pour fournir une gestion des identités et des accès aux éléments suivants :

  • Ressources Azure
  • Applications cloud
  • Applications locales

La gestion des identités et des accès comprend les identités d’entreprise, telles que les employés. Elle inclut également les identités externes, telles que :

  • Partenaires
  • Fournisseurs
  • Fournisseurs

Ce dispositif permet une authentification unique (SSO) pour gérer et sécuriser l’accès aux données et aux ressources de votre organisation. La SSO fonctionne localement et dans le cloud. Pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus, connectez à Azure AD tous vos :

  • Utilisateurs
  • Applications
  • Périphériques

Pour plus d’informations, lisez l’article suivant :

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseil : Déployez Monitor avec des modèles ARM qui peuvent avoir des secrets définis dans le code. Pour identifier les informations d’identification dans votre infrastructure Monitor en tant que modèles de code, implémentez Credential Scanner. Credential Scanner encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels que Key Vault.

Dans le cas de GitHub, vous pouvez utiliser la fonctionnalité native d’analyse des secrets. Cette fonctionnalité repère les informations d’identification et toute autre forme de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseil : Les rôles intégrés les plus critiques dans Azure AD sont l’administrateur général et l’administrateur de rôle privilégié. Les utilisateurs qui ont ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général ou Administrateur d’entreprise. Les utilisateurs dotés de ce rôle ont accès à toutes les fonctionnalités administratives d’Azure AD, ainsi qu’aux services qui utilisent les identités Azure AD.

  • Administrateur de rôle privilégié. Les utilisateurs dotés de ce rôle peuvent gérer les attributions de rôle dans Azure AD et au sein d’Azure AD Privileged Identity Management (PIM). Ce rôle permet également de gérer tous les aspects de PIM et des unités administratives.

Remarque : Il est possible que vous disposiez d’autres rôles critiques devant être régis si vous utilisez des rôles personnalisés auxquels sont attribuées certaines autorisations privilégiées. Vous pouvez également choisir d’appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Limitez le nombre de comptes ou de rôles à privilèges élevés. Protégez ces comptes à un haut niveau. Les utilisateurs qui disposent de ce privilège peuvent lire et modifier directement ou indirectement chaque ressource de votre environnement Azure.

Activez l’accès privilégié juste-à-temps (JAT) aux ressources Azure et à Azure AD en utilisant Azure AD PIM. L’accès JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité s’il détecte des activités suspectes ou dangereuses dans votre organisation Azure AD.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Pour s’assurer que les comptes d’utilisateurs et leur accès sont valides, Monitor utilise régulièrement les comptes Azure AD pour :

  • Gérer ses ressources.
  • réviser les comptes d’utilisateur ;
  • Accéder aux attributions.

Utilisez les révisions d’accès Azure AD pour vérifier les éléments suivants :

  • Appartenances aux groupes
  • Accès aux applications d’entreprise
  • Affectations de rôles

Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Pour faciliter le processus de révision, utilisez également Azure AD PIM pour créer un flux de travail de rapport des révisions d’accès.

Vous pouvez également configurer Azure PIM de sorte qu’il déclenche des alertes lorsqu’un nombre excessif de comptes Administrateur est créé, ou le configurer pour identifier les comptes Administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Gérez ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont d’une importance capitale pour la sécurité des rôles sensibles, par exemple :

  • Administrateurs
  • Développeurs
  • Opérateurs de services critiques

Utilisez des stations de travail utilisateur hautement sécurisées ou Azure Bastion pour les tâches d’administration. Pour déployer une station de travail utilisateur sécurisée et gérée, utilisez un ou plusieurs des éléments suivants :

  • Azure AD
  • Microsoft Defender - Protection avancée contre les menaces (ATP)
  • Microsoft Intune

Vous pouvez gérer les stations de travail sécurisées de manière centralisée pour appliquer une configuration sécurisée, notamment :

  • Authentification renforcée
  • Lignes de base logicielles et matérielles
  • Accès logique et réseau restreints

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseil : Protégez les données sensibles en limitant l’accès, en utilisant :

  • Azure RBAC
  • Contrôles d’accès réseau
  • Contrôles RBAC basés sur des tables Azure Monitor

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès à la stratégie de segmentation de votre entreprise. Orientez cette stratégie en fonction de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente (gérée par Microsoft), Microsoft traite tout le contenu client comme sensible. Il le protège contre la perte et l’exposition des données client. Pour assurer la sécurité des données des clients dans Azure, Microsoft implémente quelques contrôles et capacités de protection des données par défaut.

Responsabilité : Customer

DP-3 : Détection des transferts non autorisés de données sensibles

Conseil : Sans objet. Pour la plateforme sous-jacente gérée par Microsoft, Microsoft considère tout le contenu des clients comme sensible. Il déploie d’importants efforts pour se prémunir contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft implémente et gère une suite de contrôles et de fonctionnalités robustes de protection des données.

Responsabilité : Partagé

DP-4 : Chiffrement des informations sensibles en transit

Conseil : Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques « hors bande » (par exemple, la capture du trafic) à l’aide du chiffrement. Les attaquants ne peuvent alors pas facilement lire ou modifier les données.

Monitor prend en charge le chiffrement des données en transit avec le protocole TLS v1.2 ou une version ultérieure. Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Cette fonctionnalité est certes facultative pour le trafic sur les réseaux privés, mais essentielle pour le trafic sur les réseaux externes et publics. Dans le cas du trafic HTTP, vérifiez que les clients qui se connectent à vos ressources Azure peuvent négocier la version 1.2 ou ultérieure du protocole TLS. Pour la gestion à distance, au lieu d’un protocole non chiffré, utilisez l’un des protocoles suivants :

  • Secure Shell (SSH) pour Linux
  • Remote Desktop Protocol (RDP) et TLS pour Windows

Désactivez les chiffrements faibles, ainsi que les versions et protocoles obsolètes de :

  • SSL (Secure Sockets Layer)

  • TLS

  • SSH

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseil : Pour compléter les contrôles d’accès, Monitor chiffre les données au repos. Ce comportement protège contre les attaques « hors bande » (telles que l’accès au stockage sous-jacent) à l’aide du chiffrement. Il permet de s’assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données très sensibles, vous pouvez implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut. Il propose également des options permettant de gérer vos propres clés (clés gérées par le client) pour certains services Azure.

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Accordez aux équipes de sécurité les autorisations de lecteur de sécurité dans votre locataire Azure et vos abonnements. Elles pourront ainsi surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la structuration des responsabilités, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Mais il faut toujours regrouper les informations et les risques de sécurité de manière centralisée au sein d’une organisation.

Appliquez les autorisations Lecteur de sécurité de manière générale à l’ensemble d’un locataire (groupe d’administration racine), ou étendez les autorisations à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir de la visibilité sur les charges de travail et les services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseil : Accordez à vos équipes de sécurité l’accès à un inventaire continuellement mis à jour des ressources sur Azure, comme Monitor. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation aux risques émergents. L’inventaire est également une source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour qu’il contienne les membres de l’équipe de sécurité autorisée de votre organisation. Attribuez ensuite un accès en lecture au groupe pour toutes les ressources Monitor. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur au sein de votre abonnement.

Pour les organiser logiquement en une taxonomie, appliquez des étiquettes à vos éléments Azure suivants :

  • Ressources
  • Groupes de ressources
  • Abonnements

Chaque étiquette se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Monitor ne vous permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseil : À l’aide d’Azure Policy, auditez et limitez les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Utilisez également Monitor pour créer des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Monitor ne fournit pas de capacités natives pour surveiller les menaces de sécurité liées à ses ressources.

Transférez tous les journaux de Monitor à votre solution SIEM, que vous pouvez utiliser pour configurer des détections de menaces personnalisées. Veillez à surveiller les différents types de ressources Azure pour identifier les anomalies et menaces potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Vous pouvez obtenir des alertes à partir des éléments suivants :

  • Données de journal
  • Agents
  • Autres données

Les alertes sur ces journaux déclenchent une interrogation des journaux sensibles, un vidage des journaux ou une suppression.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseil : Azure Active Directory (Azure AD) fournit les journaux utilisateur suivants :

  • Connexions. Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit. Un journal d’audit assure la traçabilité de toutes les modifications apportées par diverses fonctionnalités dans Azure AD. Il peut s’agir, par exemple, de modifications apportées à des ressources au sein d’Azure AD, telles que l’ajout ou la suppression des éléments suivants :

    • Utilisateurs
    • Applications
    • Groupes
    • Rôles
    • Stratégies
  • Connexions risquées. Une connexion risquée indique une tentative de connexion qui a pu être effectuée par une personne autre que le propriétaire légitime du compte d’utilisateur.

  • Utilisateurs marqués d’un indicateur de risque. Un utilisateur à risque est un compte d’utilisateur susceptible d’être compromis.

Vous pouvez consulter ces journaux dans les rapports Azure AD. Pour des cas d’usage plus sophistiqués en matière de surveillance et d’analyse, vous pouvez intégrer les journaux à :

  • Superviser
  • Microsoft Sentinel
  • Autres outils SIEM et de monitoring

Microsoft Defender pour le cloud peut également déclencher des alertes lors de certaines activités suspectes. Ces activités incluent un nombre excessif de tentatives d’authentification ayant échoué ou des comptes dépréciés dans l’abonnement. Outre la surveillance de base de l’hygiène de la sécurité, le module de protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir :

  • Des ressources de calcul Azure individuelles (machines virtuelles, conteneurs et service d’applications).
  • Des ressources de données (base de données SQL et stockage).
  • Des couches de services Azure.

Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Aide : Pour l’analyse de la sécurité, activez et collectez les éléments suivants :

  • Journaux de ressources NSG
  • Journaux de flux NSG
  • Journaux d’activité de Pare-feu Azure
  • Journaux de Web Application Firewall (WAF)

Appliquez l’analyse de la sécurité pour prendre en charge les opérations suivantes :

  • Enquêtes sur les incidents
  • Chasse des menaces
  • Génération d’alertes de sécurité

Vous pouvez envoyer les journaux de flux vers un espace de travail Log Analytics Azure Monitor. Utilisez ensuite Traffic Analytics pour fournir des insights.

Monitor ne produit ni ne traite les journaux de requêtes DNS qui doivent être activés.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseil : Les journaux d’activité contiennent toutes les opérations d’écriture (PUT, POST et DELETE) pour vos ressources Monitor. Ces journaux sont disponibles automatiquement. Cependant, ils ne contiennent pas d’opérations de lecture (GET). Utilisez les journaux d’activité pour rechercher une erreur lors de la résolution des problèmes. Vous pouvez également utiliser les journaux pour superviser la manière dont un utilisateur de votre organisation a modifié une ressource.

Les groupes d’actions Monitor ne produisent actuellement pas de journaux de ressources Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - microsoft.insights :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.0.1
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, attribuez les éléments suivants :

  • Propriétaire des données
  • Directives d’accès
  • Emplacement de stockage
  • Outils utilisés pour traiter les données et y accéder
  • Exigences de conservation des données

Intégrez les journaux d’activité Azure dans votre journalisation centralisée. Ingérez les journaux par le biais de Monitor pour agréger les données de sécurité générées par les éléments suivants :

  • Appareils de point de terminaison
  • Ressources réseau
  • Autres systèmes de sécurité

Dans Monitor, utilisez des espaces de travail Log Analytics pour effectuer des requêtes et des analyses. Utilisez des comptes de stockage pour le stockage à long terme et l’archivage.

Par ailleurs, activez et intégrez les données dans Microsoft Sentinel ou un système SIEM tiers.

De nombreuses organisations choisissent Microsoft Sentinel pour les données « chaudes » souvent utilisées. Ces organisations choisissent ensuite Stockage pour les données « froides » qui sont consultées moins fréquemment.

Pour les applications qui peuvent fonctionner sur Monitor, transférez tous les journaux liés à la sécurité à votre solution SIEM pour une gestion centralisée.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseil : Avez-vous des comptes de stockage ou des espaces de travail Log Analytics qui sont utilisés pour le stockage des journaux Monitor ? Définissez la période de rétention des journaux selon les règles de conformité de votre organisation.

Dans Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics selon les règles de conformité de votre organisation. Pour le stockage à long terme et l’archivage, utilisez l’un des composants suivants :

  • Compte Azure Storage
  • Compte Azure Data Lake Storage
  • Espace de travail Log Analytics

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : Monitor ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Les services Monitor reposent sur les sources de synchronisation de l’heure de Microsoft, qui ne sont pas exposées aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseil : Avez-vous besoin d’auditer et d’appliquer les configurations de vos ressources Azure ? Monitor prend en charge les stratégies spécifiques aux services suivantes qui sont disponibles dans Microsoft Defender pour le cloud. Vous pouvez configurer ces stratégies dans les initiatives Microsoft Defender pour le cloud ou Azure Policy.

  • Un agent Log Analytics doit être installé sur vos instances de rôle Azure Cloud Services (support étendu). L’approvisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement.
  • L’approvisionnement automatique de l’agent Log Analytics par Microsoft Defender pour le cloud sur vos abonnements doit être activé avec l’espace de travail par défaut.
  • L’approvisionnement automatique de l’agent Log Analytics par Microsoft Defender pour le cloud sur vos abonnements doit être activé avec un espace de travail personnalisé.
  • L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour le monitoring de Microsoft Defender pour le cloud.
  • L’agent Log Analytics doit être installé sur votre machine virtuelle pour le monitoring de Microsoft Defender pour le cloud.
  • Les problèmes d’intégrité de l’agent Log Analytics doivent être résolus sur vos machines.
  • L’exportation vers un espace de travail Log Analytics doit être déployée pour les données de Microsoft Defender pour le cloud.

Monitor fournit davantage de stratégies pour sécuriser les données par le biais de l’ingestion et du stockage :

  • Les composants d’Application Insights dont la liaison privée est activée doivent utiliser des comptes BYOS (Apportez votre propre stockage) pour le profileur et le débogueur.
  • Les classeurs doivent être enregistrés dans des comptes de stockage que vous contrôlez.
  • Les requêtes enregistrées dans Monitor doivent être sauvegardées dans un compte de stockage client pour le chiffrement des journaux.
  • Le compte de stockage qui contient le conteneur avec les journaux d’activité doit être chiffré avec un protection BYOK (Bring Your Own Key).
  • Les clusters de journaux d’activité Azure Monitor doivent être chiffrés avec une clé gérée par le client.
  • Les clusters de journaux d’activité Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double).

Utilisez Azure Blueprints pour automatiser le déploiement et la configuration des services et des environnements d’application dans une seule définition de blueprint. Ces services et environnements comprennent les éléments suivants :

  • Modèles ARM
  • Contrôles RBAC Azure
  • Stratégies

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseil : Utilisez Microsoft Defender pour le cloud pour surveiller votre base de référence de configuration. Utilisez les définitions de stratégie Deny et DeployIfNotExists d’Azure Policy pour appliquer une configuration sécurisée à toutes les ressources de calcul Azure, notamment :

  • Machines virtuelles
  • Conteneurs
  • Autres

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PV-4 : Supporter des configurations sécurisées pour des ressources de calcul

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Customer

PV-6 : Effectuer des évaluations des vulnérabilités logicielles

Conseil : Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Monitor.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseil : Les clients peuvent activer Azure Monitor dans les machines virtuelles Azure et non Azure en installant un agent. Pour corriger toutes les vulnérabilités possibles de l’agent qui s’exécute dans votre système d’exploitation, mettez régulièrement à niveau votre agent.

Microsoft vous recommande de toujours sélectionner la mise à jour automatique dans vos déploiements d’extension. Vous ne pouvez pas refuser les mises à jour de type correctif logiciel qui comportent des correctifs de sécurité ou des corrections de bogues importants.

Configurez l’agent Log Analytics pour Windows et Linux dans les machines virtuelles Azure pour qu’il soit mis à niveau par défaut. Ensuite, toutes les mises à jour qui comportent des correctifs de sécurité ou des corrections de bogues importants sont déployées rapidement.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseil : Le cas échéant, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Corrigez tous les problèmes de sécurité critiques détectés. Pour vous assurer que vos tests d’intrusion ne violent pas les stratégies de Microsoft, suivez les règles d’engagement relatives aux tests d’intrusion de Microsoft Cloud. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft et des tests d’intrusion de site actif sur les ressources gérées par Microsoft :

  • Infrastructure cloud
  • Services
  • Applications

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseil : Utilisez Azure Resource Manager pour exporter Monitor et les ressources associées dans un modèle JavaScript Object Notation (JSON). Vous pouvez utiliser ce modèle ARM pour sauvegarder Monitor et les configurations associées. Utilisez Azure Automation pour exécuter automatiquement les scripts de sauvegarde.

Monitor dispose de sauvegardes internes pour toutes les données client. Aucune action n’est nécessaire pour les clients, à l’exception des données de journal qui sont stockées dans les espaces de travail Log Analytics. Vous pouvez utiliser la fonctionnalité d’exportation pour sauvegarder ces données, y compris le contenu d’Application Insights qui stocke les données dans un espace de travail Log Analytics.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseil : Assurez-vous régulièrement que vous pouvez restaurer les fichiers de modèles sauvegardés par Azure Resource Manager. Testez la restauration des clés gérées par le client qui ont été sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Mettez en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Pour protéger les clés contre les suppressions accidentelles ou malveillantes, activez la suppression réversible et la protection contre la suppression définitive dans Key Vault.

Responsabilité : Customer

Étapes suivantes