Base de référence de sécurité Azure pour Microsoft Sentinel

Cette base de référence de sécurité applique les conseils du Benchmark de sécurité Azure version 2.0 à Microsoft Sentinel. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Microsoft Sentinel.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicable à Microsoft Sentinel, et ceux pour lesquels les conseils globaux sont recommandés textuellement, ont été exclus. Pour voir comment Microsoft Sentinel est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Microsoft Sentinel.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Aide : Non applicable. Microsoft Sentinel n’est pas conçu pour être déployé dans un réseau virtuel Azure. Toute l’infrastructure sous-jacente du service est entièrement gérée par Microsoft.

Microsoft Sentinel ne prend pas en charge le déploiement direct dans un réseau virtuel. Par conséquent, vous ne pouvez pas utiliser certaines fonctionnalités de mise en réseau avec les ressources de l’offre, telles que :

  • Groupes de sécurité réseau
  • Tables de routage
  • Autres appliances dépendantes du réseau, comme un pare-feu Azure

Responsabilité : Microsoft

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Microsoft Sentinel utilise Azure Active Directory (Azure AD) en tant que service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Ressources Microsoft Cloud. Les ressources incluent :

    • Le portail Azure

    • Stockage Azure

    • Machines virtuelles Azure Linux et Windows

    • Azure Key Vault

    • PaaS (Platform-as-a-service)

    • Applications SaaS (Software as a Service)

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d’identité sécurisée pour vous aider à évaluer la posture de sécurité de votre identité par rapport aux meilleures pratiques recommandées par Microsoft. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes, que les utilisateurs sans compte Microsoft peuvent utiliser pour se connecter à leurs applications et ressources.

Responsabilité : Partagé

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : Microsoft Sentinel utilise Azure AD pour fournir la gestion des identités et des accès pour les ressources Azure, les applications cloud et les applications locales. Les identités incluent des identités d’entreprise, telles que des employés, et des identités externes, telles que des partenaires, des fabricants et des fournisseurs. La gestion des identités et des accès Azure AD fournit une authentification unique (SSO) pour gérer et sécuriser l’accès aux données et aux ressources locales et cloud de votre organisation.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Microsoft Sentinel utilise des comptes Azure AD pour gérer ses ressources et examiner les comptes d’utilisateur. Azure AD accède régulièrement aux affectations pour s’assurer que les comptes et leurs accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour examiner les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management (PIM) pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

Vous pouvez également configurer Azure AD PIM pour vous alerter en cas de création d’un nombre excessif de comptes administrateur et pour identifier des comptes administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devrez gérer ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et Azure Bastion pour les tâches d’administration.

Utilisez Azure AD, Microsoft Defender Advanced Threat Protection (MDATP) ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Vous pouvez gérer les stations de travail sécurisées de manière centralisée pour appliquer une configuration de la sécurité qui comprend les éléments suivants :

  • Authentification renforcée

  • Lignes de base logicielles et matérielles

  • Accès logique et réseau restreints

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Microsoft Sentinel est intégré au contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez attribuer des rôles aux utilisateurs, groupes, principaux de service et identités managées. Certaines ressources ont des rôles prédéfinis et intégrés. Vous pouvez inventorier ou demander ces rôles à l’aide d’outils, tels qu’Azure CLI, Azure PowerShell ou le portail Azure.

Limitez aux rôles requis les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC. Cette pratique complète l’approche JAT d’Azure AD PIM. Passez régulièrement en revue les rôles et les attributions.

Utilisez les rôles intégrés pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques hors bande, telles que la capture du trafic. Utilisez le chiffrement pour vous assurer que les utilisateurs malveillants ne peuvent pas facilement lire ou modifier les données.

Azure Sentinel prend en charge le chiffrement des données en transit avec le protocole TLS v1.2 ou version ultérieure.

Ces exigences sont certes facultatives pour le trafic sur les réseaux privés, mais essentielles pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, assurez-vous que les clients qui se connectent à vos ressources Azure peuvent utiliser TLS v1.2 ou une version ultérieure.

Pour la gestion à distance, utilisez le protocole SSH (Secure Shell) pour Linux ou le protocole RDP (Remote Desktop Protocol) et TLS pour Windows. N’utilisez pas de protocole non chiffré. Désactivez les chiffrements faibles et les versions et protocoles SSL, TLS et SSH obsolètes.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseils : Pour compléter les contrôles d’accès, Azure Sentinel chiffre les données au repos pour se protéger contre les attaques hors bande qui accèdent au stockage sous-jacent. Cela vise à empêcher les attaquants de facilement lire ou modifier les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données très sensibles, vous pouvez implémenter davantage de chiffrement au repos sur les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut et fournit des options pour gérer vos propres clés. Les clés gérées par le client répondent aux exigences réglementaires de certains services Azure.

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Veillez à accorder les autorisations de lecteur de sécurité aux équipes de sécurité dans votre locataire Azure et vos abonnements afin qu’elles puissent surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la structuration des responsabilités de l’équipe de sécurité, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Regroupez toujours les insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez globalement appliquer des autorisations de lecteur de sécurité à un groupe d’administration racine de locataire entier, ou étendre des autorisations à des groupes d’administration ou des abonnements spécifiques.

Remarque : la visibilité des charges de travail et des services peut nécessiter plus d’autorisations.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Assurez-vous que les équipes de sécurité ont accès à un inventaire des ressources continuellement mis à jour sur Azure, tel que Microsoft Sentinel. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation à des risques émergents, et en tant qu’entrée pour des améliorations de sécurité continues. Créez un groupe Azure AD pour qu’il contienne l’équipe de sécurité autorisée de votre organisation et attribuez-lui un accès en lecture à toutes les ressources Microsoft Sentinel. Vous pouvez simplifier le processus avec une seule attribution de rôle de niveau supérieur dans votre abonnement.

Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque étiquette se compose d’une paire de nom et de valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles sur le portail Azure. Pour avoir accès à la date d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité et placez les journaux des événements Windows dans un espace de travail Log Analytics.

Utilisez les contrôles d’application adaptative Microsoft Defender pour le cloud pour spécifier les types de fichiers auxquels une règle peut ou non s’appliquer.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez le service Azure Resource Graph pour interroger et découvrir les ressources dans les abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Microsoft Sentinel ne fournit pas de fonctionnalités natives pour surveiller les menaces de sécurité liées à ses ressources.

Transférez tous les journaux de Microsoft Sentinel vers votre système SIEM. Vous pouvez utiliser votre serveur SIEM pour configurer des détections de menaces personnalisées.

Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Vous pouvez sourcer les alertes à partir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure AD fournit les journaux utilisateur suivants. Vous pouvez consulter les journaux dans les rapports Azure AD. Vous pouvez intégrer Azure Monitor, Microsoft Sentinel ou d’autres outils SIEM et de surveillance pour des cas d’utilisation de surveillance et d’analyse sophistiqués :

  • Connexions : fournissent des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit : fournissent la traçabilité par le biais de journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Les journaux d’audit incluent les modifications apportées à n’importe quelle ressource dans Azure AD. Les modifications incluent l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.

  • Connexions risquées : indicateur pour les tentatives de connexion effectuées par une personne qui n’est peut-être pas le propriétaire légitime d’un compte d’utilisateur.

  • Utilisateur signalé comme présentant un risque : indique qu’un compte d’utilisateur est susceptible d’avoir été compromis.

Microsoft Defender pour le cloud peut également déclencher des alertes à propos d’activités suspectes comme un nombre excessif d’échecs d’authentification ou à propos de comptes dépréciés.

Outre le monitoring de base de l’hygiène de sécurité, le module de protection contre les menaces de Microsoft Defender pour le cloud peut collecter des alertes de sécurité plus approfondies auprès des entités suivantes :

  • Ressources de calcul Azure individuelles (machines virtuelles, conteneurs et services d’application)

  • Ressources de données (Azure SQL Database et Stockage Azure)

  • Couches de service Azure

Cette capacité vous permet d’avoir une visibilité sur les anomalies du compte au niveau de chaque ressource.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité d’Automation sont disponibles automatiquement. Les journaux contiennent toutes les opérations PUT, POST et DELETE mais pas GET, pour vos ressources Microsoft Sentinel. Vous pouvez utiliser les journaux d’activité pour rechercher des erreurs lors de la résolution des problèmes ou pour surveiller la manière dont les utilisateurs ont modifié les ressources.

Microsoft Sentinel ne produit actuellement pas de journaux des ressources Azure.

Responsabilité : Customer

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Conseils : Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Microsoft.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Procédez, en fonction de vos besoins, à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure et corrigez tous les problèmes de sécurité critiques détectés.

Suivez les règles du test d’intrusion d’engagement de Microsoft Cloud pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution Red Teaming de Microsoft. Effectuez des tests d’intrusion de sites en temps réel sur l’infrastructure, les services et les applications cloud gérées par Microsoft.

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés sauvegardées qui sont gérées par le client.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous d’avoir mis en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Étapes suivantes