Base de référence de sécurité Azure pour Virtual Machine Scale Sets

Cette base de référence de sécurité applique les recommandations d’Azure Security Benchmark version 1.0 à Virtual Machine Scale Sets. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par Azure Security Benchmark et les recommandations associées, applicables à Virtual Machine Scale Sets.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une section a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Virtual Machine Scale Sets, ou dont la responsabilité incombe à Microsoft, ont été exclus. Pour voir comment s’effectue le mappage intégral de Virtual Machine Scale Sets au point de référence de sécurité Azure, consultez le fichier de mappage complet de la ligne de base de sécurité Virtual Machine Scale Sets .

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Aide : Lorsque vous créez une machine virtuelle Azure, vous devez utiliser un réseau virtuel existant ou en créer un et configurer la machine virtuelle avec un sous-réseau. Veillez à ce qu’un groupe de sécurité réseau soit appliqué à tous les sous-réseaux déployés avec des contrôles d’accès réseau propres aux ports et sources approuvés de votre application.

Sinon, si vous avez un cas d’usage spécifique pour un pare-feu centralisé, Pare-feu Azure peut également être utilisé pour répondre à ces besoins.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Microsoft Defender pour le cloud analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps Un accès réseau juste-à-temps (JIT) peut être supervisé par Microsoft Defender pour le cloud dans le cadre des recommandations AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des interfaces réseau

Aide : utilisez Microsoft Defender pour le cloud afin d’identifier et de suivre les recommandations de protection du réseau dans le but de sécuriser vos ressources Machines Virtuelles dans Azure. Activez les journaux de flux NSG et transférez-les dans un compte de stockage pour l’audit du trafic des machines virtuelles afin de détecter toute activité inhabituelle.

Responsabilité : Customer

1.3 : Protéger les applications web critiques

Aide : Si vous utilisez votre groupe de machines virtuelles identiques pour héberger des applications web, utilisez un groupe de sécurité réseau (NSG) sur le sous-réseau du groupe de machines virtuelles identiques pour limiter le trafic, les ports et les protocoles autorisés à communiquer. Suivez une approche réseau de moindre privilège lors de la configuration de vos NSG pour n’autoriser que le trafic nécessaire à votre application.

Vous pouvez également déployer un pare-feu d’applications web (WAF) Azure devant les applications web stratégiques pour bénéficier d’une vérification supplémentaire du trafic entrant. Activez le paramètre de diagnostic du WAF et ingérez les journaux dans un compte de stockage, un hub d'événements ou un espace de travail Log Analytics.

Responsabilité : Customer

1.4 : Refuser les communications avec des adresses IP connues comme étant malveillantes

Aide : Activez la protection DDoS (Distributed Denial of Service) Standard sur les réseaux virtuels pour vous protéger des attaques DDoS. La fonctionnalité Threat Intelligence intégrée à Microsoft Defender pour le cloud vous permet de superviser les communications dont les adresses IP sont connues comme étant malveillantes. Configurez Pare-feu Azure sur chacun des segments de votre réseau virtuel, en activant la fonctionnalité Threat Intelligence et en la configurant sur « Alerter et refuser » en ce qui concerne le trafic malveillant.

Vous pouvez utiliser l’accès réseau juste-à-temps de Microsoft Defender pour le cloud afin de limiter l’exposition des machines virtuelles Windows aux adresses IP approuvées uniquement, pendant une période limitée. Utilisez également le renforcement du réseau adaptatif Microsoft Defender pour le cloud afin de recommander des configurations NSG qui limitent les ports et les adresses IP sources en fonction du trafic réel et du renseignement sur les menaces.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Microsoft Defender pour le cloud analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps Un accès réseau juste-à-temps (JIT) peut être supervisé par Microsoft Defender pour le cloud dans le cadre des recommandations AuditIfNotExists, Désactivé 3.0.0

1.5 : Enregistrer les paquets réseau

Aide : Vous pouvez enregistrer des journaux de flux NSG dans un compte de stockage afin de générer des enregistrements de flux pour Machines virtuelles Microsoft Azure. Lors de la recherche d’activité anormale, vous avez la possibilité d’activer la capture de paquets Network Watcher afin de détecter les activités inhabituelles et inattendues dans le trafic réseau.

Responsabilité : Customer

1.6 : Déployer des systèmes de détection et de prévention d’intrusion (IDS/IPS) basés sur le réseau

Aide : L’association des captures de paquets fournies par Network Watcher et d’un outil open source de systèmes de détection d’intrusions vous permet de détecter des intrusions sur le réseau pour un large éventail de menaces. Vous avez également la possibilité de déployer Pare-feu Azure sur les segments concernés du réseau virtuel, en activant la fonctionnalité Threat Intelligence et en la configurant sur « Alerter et refuser » en ce qui concerne le trafic malveillant.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Aide : Si vous utilisez un groupe de machines virtuelles identiques pour héberger des applications web, vous pouvez déployer Azure Application Gateway pour les applications web en activant le protocole HTTPS/SSL pour les certificats approuvés. Grâce à Azure Application Gateway, vous dirigez le trafic web de votre application vers des ressources spécifiques en assignant des écouteurs à des ports, en créant des règles et en ajoutant des ressources à un pool principal comme VMSS, etc.

Responsabilité : Customer

1.8 : Réduire la complexité et les frais administratifs liés aux règles de sécurité réseau

Conseils : Utilisez des balises de service de réseau virtuel pour définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le compte Pare-feu Azure configurés pour vos machines virtuelles Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de la balise de service (par exemple, ApiManagement) dans le champ Source ou Destination approprié d'une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Aide : Définissez et implémentez des configurations de sécurité standard pour des groupes de machines virtuelles identiques Azure à l’aide d’Azure Policy. Vous pouvez également utiliser Azure Blueprints pour simplifier les déploiements de machines virtuelles Azure à grande échelle en regroupant les artefacts d’environnement clés, tels que les modèles Resource Manager, les attributions de rôle et les affectations Azure Policy, au sein d’une seule définition de blueprint. Vous pouvez appliquer le blueprint aux abonnements et activer la gestion des ressources par le biais du contrôle de version des blueprints.

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Aide : Vous pouvez utiliser des balises pour les groupes de sécurité réseau (NSG) et d’autres ressources relatives à la sécurité réseau et au flux de trafic configurées pour vos machines virtuelles Windows. Concernant les règles NSG individuelles, utilisez le champ « Description » afin de spécifier le besoin métier ou la durée pour toutes les règles qui autorisent le trafic vers/depuis un réseau.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Aide : Utilisez le journal d’activité Azure pour surveiller les modifications apportées aux configurations de ressources réseau associées à votre groupe de machines virtuelles identiques Azure. Créez des alertes dans Azure Monitor qui se déclenchent lorsque des modifications sont apportées à des paramètres ou ressources réseau critiques.

Utilisez Azure Policy pour valider (ou corriger) des configurations de ressources réseau relatives à un groupe de machines virtuelles identiques.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.0.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.0.1
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 2.0.0

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.1 : Utiliser des sources de synchronisation date/heure approuvées

Aide : Microsoft gère les sources temporelles pour les ressources Azure. Toutefois, vous avez la possibilité de gérer les paramètres de synchronisation date/heure pour vos machines virtuelles.

Responsabilité : Partagé

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : Les journaux d’activité peuvent être utilisés pour auditer les opérations et les actions effectuées sur des ressources de groupes de machines virtuelles identiques. Le journal d’activité contient toutes les opérations d’écriture (PUT, POST, DELETE) de vos ressources, à l’exception des opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Vous pouvez activer des données de journal produites à partir de journaux d’activité Azure ou de ressources de machines virtuelles, et les intégrer à Microsoft Sentinel ou à un outil SIEM tiers pour la gestion centralisée des journaux de sécurité.

Utilisez Microsoft Defender pour le cloud afin d’effectuer le monitoring des journaux des événements de sécurité pour les machines virtuelles Azure. Compte tenu du volume de données généré par le journal des événements de sécurité, elles ne sont pas stockées par défaut.

Si votre organisation souhaite conserver les données du journal des événements de sécurité de la machine virtuelle, elle peut les stocker dans un espace de travail Log Analytics au niveau de collecte de données souhaité, configuré dans Microsoft Defender pour le cloud.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 1.0.0
L’agent Log Analytics doit être installé sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques (Windows/Linux) si l’agent Log Analytics n’est pas installé. AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur les machines virtuelles Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics n’est pas installé. AuditIfNotExists, Désactivé 1.0.0

2.3 : Activer la journalisation d’audit pour les ressources Azure

Aide : Les journaux d’activité peuvent être utilisés pour auditer les opérations et les actions effectuées sur des ressources de groupes de machines virtuelles identiques. Le journal d’activité contient toutes les opérations d’écriture (PUT, POST, DELETE) de vos ressources, à l’exception des opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez la collecte des données de diagnostic du système d’exploitation invité en déployant l’extension de diagnostic sur vos machines virtuelles. Vous pouvez utiliser l’extension de diagnostic pour collecter des données de diagnostic telles que les journaux des applications ou les compteurs de performances à partir d’une machine virtuelle Azure.

Pour une visibilité avancée des applications et services pris en charge par le groupe de machines virtuelles identiques Azure, vous pouvez activer à la fois Azure Monitor pour machines virtuelles et Application Insights. Avec Application Insights, vous pouvez surveiller votre application et capturer de la télémétrie (requêtes HTTP, exceptions, etc.) pour pouvoir mettre en corrélation des problèmes entre les machines virtuelles et votre application.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Virtual Machine Scale Sets doivent être activés Il est recommandé d’activer les journaux d’activité pour permettre le traçage de l’activité lors des enquêtes requises en cas d’incident ou de compromission. AuditIfNotExists, Désactivé 2.0.1

2.4 : Collecter les journaux de sécurité des systèmes d’exploitation

Aide : utilisez Microsoft Defender pour le cloud afin d’effectuer le monitoring des journaux des événements de sécurité pour les machines virtuelles Azure. Compte tenu du volume de données généré par le journal des événements de sécurité, elles ne sont pas stockées par défaut.

Si votre organisation souhaite conserver les données du journal des événements de sécurité de la machine virtuelle, elle peut les stocker dans un espace de travail Log Analytics au niveau de collecte de données souhaité, configuré dans Microsoft Defender pour le cloud.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 1.0.0
L’agent Log Analytics doit être installé sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques (Windows/Linux) si l’agent Log Analytics n’est pas installé. AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur les machines virtuelles Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics n’est pas installé. AuditIfNotExists, Désactivé 1.0.0

2.5 : Configurer la conservation du stockage des journaux de sécurité

Aide : Vérifiez que la période de conservation des journaux définie dans les comptes de stockage ou les espaces de travail Log Analytics utilisés pour le stockage des journaux des machines virtuelles est conforme aux obligations réglementaires de votre organisation.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Analysez et supervisez les journaux pour détecter les comportements anormaux et examinez régulièrement les résultats. Utilisez Azure Monitor pour examiner les journaux et effectuer des requêtes sur leurs données.

Vous pouvez également activer et intégrer les données dans Microsoft Sentinel ou un outil SIEM tiers pour monitorer et examiner vos journaux.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Aide : configurez Microsoft Defender pour le cloud avec un espace de travail Log Analytics afin d’effectuer le monitoring des activités anormales détectées dans les journaux de sécurité et les événements de vos machines virtuelles Azure et générer des alertes s’y rapportant.

Vous pouvez également activer et intégrer les données dans Microsoft Sentinel ou un outil SIEM tiers pour configurer les alertes relatives à une activité anormale.

Responsabilité : Customer

2.8 : Centraliser la journalisation anti-programme malveillant

Aide : Vous pouvez utiliser Microsoft Antimalware pour Azure Cloud Services et Machines Virtuelles et configurer vos machines virtuelles Windows de manière à consigner les événements dans un compte de stockage Azure. Configurez un espace de travail Log Analytics de sorte qu’il ingère les événements des comptes de stockage et crée des alertes si nécessaire. Suivez les recommandations dans Microsoft Defender pour le cloud : « Calcul et applications ». Pour les machines virtuelles Linux, vous aurez besoin d’un outil tiers pour la détection des vulnérabilités anti-programme malveillant.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
Superviser la solution Endpoint Protection manquante dans Microsoft Defender pour le cloud Les serveurs sur lesquels l’agent Endpoint Protection n’est pas installé sont supervisés par Microsoft Defender pour le cloud dans le cadre des recommandations AuditIfNotExists, Désactivé 3.0.0

2.9 : Activer la journalisation des requêtes DNS

Conseils : Implémentez une solution tierce de journalisation DNS à partir de la Place de marché Azure en fonction des besoins de votre organisation.

Responsabilité : Customer

2.10 : Activer l’enregistrement d’audit en ligne de commande

Conseil : Microsoft Defender pour le cloud permet d’effectuer le monitoring des journaux des événements de sécurité pour les machines virtuelles Azure. Microsoft Defender pour le cloud provisionne Microsoft Monitoring Agent sur toutes les machines virtuelles Azure prises en charge, et toutes celles nouvellement créées lorsque le provisionnement automatique est activé. Vous pouvez également installer l’agent manuellement. L’agent active l’événement de création de processus 4688 et le champ CommandLine à l’intérieur de l’événement 4688. Les processus créés sur la machine virtuelle sont enregistrés par le journal des événements et monitorés par les services de détection de Microsoft Defender pour le cloud.

En ce qui concerne les machines virtuelles Linux, vous pouvez configurer manuellement la journalisation de la console au niveau de chaque nœud et utiliser Syslog pour stocker les données. Exploitez également l’espace de travail Log Analytics d’Azure Monitor pour examiner les journaux et effectuer des requêtes sur les données Syslog des machines virtuelles Azure.

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Conseil : Si Azure Active Directory (Azure AD) est la méthode recommandée pour gérer l’accès des utilisateurs, les machines virtuelles Azure peuvent avoir des comptes locaux. Les comptes locaux et de domaine doivent être revus et gérés, normalement avec un encombrement minimal. Tirez également parti d’Azure AD Privileged Identity Management pour les comptes d’administration utilisés pour accéder aux ressources des machines virtuelles.

Responsabilité : Customer

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Conseils : Azure Virtual Machine Scale Sets et Azure Active Directory (Azure AD) n’ont pas le concept de mots de passe par défaut. Le client est responsable des applications tierces et des services de marketplace susceptibles d’utiliser des mots de passe par défaut.

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Aide : Créez des procédures de fonctionnement standard autour de l’utilisation de comptes d’administration dédiés ayant accès à vos machines virtuelles. Utilisez la gestion des identités et des accès de Microsoft Defender pour le cloud pour superviser le nombre de comptes d’administration. Les comptes Administrateur utilisés pour accéder aux ressources des machines virtuelles Azure peuvent également être gérés par Azure AD Privileged Identity Management (PIM). Azure AD Privileged Identity Management fournit plusieurs options, telles que l’élévation juste-à-temps, la nécessité d’une authentification multifacteur avant de recevoir un rôle et des options de délégation, pour que les autorisations soient disponibles uniquement pendant des périodes spécifiques et nécessitent l’accord d’un approbateur.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 1.0.0
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. auditIfNotExists 1.0.0
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 1.0.0

3.4 : Utiliser l’authentification unique (SSO) Azure Active Directory

Conseils : Dans la mesure du possible, utilisez l’authentification SSO avec Azure Active Directory (Azure AD) plutôt que de configurer des informations d’identification autonomes individuelles par service. Utilisez les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Conseils : Activez l’authentification multifacteur Azure Active Directory (Azure AD) et suivez les recommandations relatives à la gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.6 : Utiliser des stations de travail sécurisées et gérées par Azure pour les tâches administratives

Conseil : utilisez des stations de travail disposant d’un accès privilégié (PAW) avec l’authentification multifacteur configurée pour vous connecter aux ressources Azure et les configurer.

Responsabilité : Customer

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Aide : Utilisez Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pour générer des journaux et des alertes quand des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement. Utilisez les détections de risque Azure AD pour visualiser les alertes et des rapports sur les comportements à risque des utilisateurs. S’il le souhaite, le client peut ingérer les alertes de détection de risque Microsoft Defender pour le cloud dans Azure Monitor, et configurer des alertes et des notifications personnalisées à l’aide de groupes d’actions.

Responsabilité : Customer

3.8 : Gérer les ressources Azure à partir des emplacements approuvés uniquement

Conseil : Utilisez des emplacements nommés et des stratégies d’accès conditionnel Azure Active Directory (Azure AD) pour autoriser l’accès uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utiliser Azure Active Directory (Azure AD) comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur. Vous pouvez utiliser des identités managées pour vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, notamment Key Vault, sans informations d’identification dans votre code. Votre code, qui s’exécute sur une machine virtuelle, peut utiliser son identité managée pour faire une demande de jetons d’accès pour les services qui prennent en charge l’authentification Azure AD.

Responsabilité : Customer

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Aide : Azure Active Directory (Azure AD) fournit des journaux pour vous aider à découvrir les comptes obsolètes. Par ailleurs, utilisez les révisions d’accès et des identités Azure AD pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès de l’utilisateur peut être évalué régulièrement pour vérifier que seuls les utilisateurs appropriés bénéficient d’un accès permanent. Lorsque vous utilisez des machines virtuelles Azure, vous devez examiner les groupes de sécurité et les utilisateurs locaux pour vous assurer qu’il n’existe pas de comptes inattendus susceptibles de compromettre le système.

Responsabilité : Customer

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Conseil : Configurez des paramètres de diagnostic pour Azure Active Directory (Azure AD) afin d’envoyer les journaux d’audit et de connexion à un espace de travail Log Analytics. Utilisez également Azure Monitor pour examiner les journaux et effectuer des requêtes sur des données de journal à partir de machines virtuelles Azure.

Responsabilité : Customer

3.12 : Alerter en cas d’écart de comportement de connexion à un compte

Conseil : utilisez les fonctionnalités de protection des identités et contre les risques d’Azure Active Directory (Azure AD) pour configurer des réponses automatiques aux actions suspectes détectées liées à vos ressources de compte de stockage. Vous devez activer des réponses automatisées via Microsoft Sentinel pour implémenter les réponses de sécurité de votre organisation.

Responsabilité : Customer

3.13 : Fournir à Microsoft un accès aux données client pertinentes pendant les scénarios de support

Aide : Dans les scénarios où Microsoft a besoin d’accéder aux données client (par exemple, lors d’une demande de support), utilisez Customer Lockbox pour que les machines virtuelles Azure examinent puis approuvent ou rejettent les demandes d’accès aux données client.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Aide : Utilisez des balises pour faciliter le suivi des machines virtuelles Azure qui stockent ou traitent des informations sensibles.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Conseils : Implémentez des abonnements et/ou des groupes d’administration distincts pour le développement, les tests et la production. Les ressources doivent être séparées par un réseau virtuel ou un sous-réseau, étiquetées de manière appropriée et sécurisées au sein d’un groupe de sécurité réseau (NSG) ou par un pare-feu Azure. Pour les machines virtuelles qui stockent ou traitent des données sensibles, implémentez la stratégie et les procédures pour les désactiver lorsqu’elles ne sont pas utilisées.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Conseils : Implémentez une solution tierce sur les périmètres du réseau qui surveille le transfert non autorisé d’informations sensibles et bloque ces transferts tout en alertant les professionnels de la sécurité des informations.

Pour la plateforme sous-jacente, gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et assure une protection contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Customer

4.4 : Chiffrer toutes les informations sensibles en transit

Conseil : Les données en transit vers, depuis et entre les machines virtuelles qui exécutent Windows sont chiffrées de plusieurs façons, selon la nature de la connexion, par exemple lors de la connexion à une machine virtuelle dans une session RDP ou SSH.

Microsoft utilise le protocole TLS (Transport Layer Security) pour protéger les données lorsqu’elles sont en déplacement entre les services cloud et les clients.

Responsabilité : Partagé

4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles

Aide : Utilisez un outil de découverte actif tiers pour identifier toutes les informations sensibles stockées, traitées ou transmises par les systèmes technologiques de l’organisation, qu’elles soient situées sur site ou chez un fournisseur de services distant, et mettez à jour l’inventaire des informations sensibles de l’organisation.

Responsabilité : Customer

4.6 : Utiliser Azure RBAC pour contrôler l’accès aux ressources

Conseils : Grâce au contrôle d’accès en fonction du rôle Azure (Azure RBAC), vous pouvez séparer les tâches au sein de votre équipe et n’accorder aux utilisateurs que les accès à votre machine virtuelle dont ils ont besoin pour accomplir leur travail. Plutôt que de donner à tous des autorisations illimitées sur la machine virtuelle, vous pouvez autoriser uniquement certaines actions. Vous pouvez configurer le contrôle d’accès pour la machine virtuelle dans le portail Azure, à l’aide d’Azure CLI ou d’Azure PowerShell.

Responsabilité : Customer

4.7 : Utiliser la protection contre la perte de données basée sur l’hôte pour appliquer le contrôle d’accès

Aide : Implémentez un outil tiers, tel qu’une solution automatisée de prévention contre la perte de données basée sur l’hôte, pour appliquer des contrôles d’accès afin d’atténuer le risque de violations de données.

Responsabilité : Customer

4.8 : Chiffrer des informations sensibles au repos

Conseils : Les disques virtuels des machines virtuelles sont chiffrés au repos à l’aide d’un chiffrement côté serveur ou d’Azure Disk Encryption (ADE). Azure Disk Encryption utilise la fonctionnalité DM-Crypt de Linux pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les disques non attachés doivent être chiffrés Cette stratégie permet d’auditer tous les disques non attachés sans chiffrement activé. Audit, Désactivé 1.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Les machines virtuelles sur lesquelles le chiffrement de disque n’est pas activé sont supervisées par Microsoft Defender pour le cloud dans le cadre des recommandations. AuditIfNotExists, Désactivé 2.0.1

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Aide : Utilisez Azure Monitor avec le journal d’activité Azure pour créer des alertes qui se déclenchent lorsque des modifications sont apportées à des groupes de machines virtuelles identiques et aux ressources associées.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.1 : Exécuter les outils d’analyse des vulnérabilités automatisés

Conseil : Suivez les recommandations de Microsoft Defender pour le cloud relatives à l’évaluation des vulnérabilités sur vos machines virtuelles Azure. Utilisez la solution de sécurité Azure recommandée ou tierce pour effectuer des évaluations de vulnérabilités pour vos machines virtuelles.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard de Microsoft Defender pour le cloud comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0

5.2 : Déployer une solution de gestion des correctifs de système d’exploitation automatisée

Aide : Activez les mises à niveau automatiques du système d’exploitation pour les versions de système d’exploitation prises en charge ou pour les images personnalisées stockées dans Shared Image Gallery.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. AuditIfNotExists, Désactivé 3.0.0
Les mises à jour système doivent être installées sur vos machines Les mises à jour système de sécurité manquantes sur vos serveurs sont supervisées par Microsoft Defender pour le cloud dans le cadre des recommandations AuditIfNotExists, Désactivé 4.0.0

5.3 : Déployer une solution de gestion automatisée des correctifs des logiciels tiers

Aide : Les groupes de machines virtuelles identiques Azure peuvent utiliser la mise à niveau automatique des images du système d’exploitation. Vous pouvez utiliser l’extension Azure Desired State Configuration (DSC) pour les machines virtuelles sous-jacentes du groupe de machines virtuelles identiques. L’extension DSC est utilisée pour configurer les machines virtuelles à mesure de leur mise en ligne afin qu’elles exécutent le logiciel souhaité.

Responsabilité : Customer

5.4 : Comparer les analyses de vulnérabilités dos à dos

Conseils : Exportez les résultats de l’analyse à intervalles réguliers et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Quand il suit les recommandations de gestion des vulnérabilités proposées par Microsoft Defender pour le cloud, le client peut passer au portail de la solution sélectionnée pour afficher l’historique des analyses.

Responsabilité : Customer

5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes.

Aide : utilisez les évaluations des risques par défaut (degré de sécurisation) fournis par Microsoft Defender pour le cloud.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Microsoft Defender pour le cloud. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée sont supervisés par Microsoft Defender pour le cloud en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Aide : Utilisez Azure Resource Graph pour interroger et découvrir toutes les ressources (y compris les machines virtuelles) au sein de vos abonnements. Vérifiez que vous disposez des autorisations (en lecture) appropriées dans votre locataire et pouvez répertorier tous les abonnements Azure ainsi que les ressources qu’ils contiennent.

Responsabilité : Customer

6.2 : Gérer les métadonnées de ressources

Aide : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Aide : Utilisez des balises, des groupes d’administration, voire des abonnements distincts, pour organiser et suivre les groupes de machines virtuelles identiques et les ressources associées. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

Responsabilité : Customer

6.4 : Définir et tenir un inventaire des ressources Azure approuvées

Aide : Créez un inventaire des ressources Azure et logiciels approuvés pour les ressources de calcul en fonction des besoins de votre organisation.

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Instructions : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant une stratégie Azure avec les définitions intégrées suivantes :

  • Types de ressources non autorisés

  • Types de ressources autorisés

Utilisez également Azure Resource Graph pour interroger/découvrir des ressources dans les abonnements. Cela peut être utile dans les environnements de haute sécurité, tels que ceux dotés de comptes de stockage.

Responsabilité : Customer

6.6 : Analyser les applications logicielles non approuvées dans des ressources de calcul

Aide : Azure Automation permet de contrôler totalement le déploiement, les opérations et la désaffectation des charges de travail et des ressources. Exploitez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations sur tous les logiciels présents sur les machines virtuelles. Remarque : Le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles sur le portail Azure. Pour avoir accès à la date d’installation et à d’autres informations, le client a demandé d’activer les diagnostics au niveau de l’invité et de placer les journaux des événements Windows dans un espace de travail Log Analytics.

Actuellement, les contrôles d’application adaptatifs ne sont pas disponibles pour les groupes de machines virtuelles identiques.

Responsabilité : Customer

6.7 : Supprimer des ressources et applications logicielles Azure non approuvées

Aide : Azure Automation permet de contrôler totalement le déploiement, les opérations et la désaffectation des charges de travail et des ressources. Vous pouvez utiliser Change Tracking pour identifier tous les logiciels installés sur des machines virtuelles. Vous pouvez implémenter votre propre processus ou utiliser la configuration de l’état Azure Automation pour supprimer les logiciels non autorisés.

Responsabilité : Customer

6.8 : Utiliser des applications approuvées uniquement

Aide : Actuellement, les contrôles d’application adaptatifs ne sont pas disponibles pour les groupes de machines virtuelles identiques. Utilisez un logiciel tiers pour contrôler l’utilisation des applications approuvées uniquement.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

6.9 : Utiliser des services Azure approuvés uniquement

Instructions : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant une stratégie Azure avec les définitions intégrées suivantes :

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

6.10 : Tenir un inventaire des titres de logiciels approuvés

Conseils : Actuellement, les contrôles d’application adaptatifs ne sont pas disponibles pour les groupes de machines virtuelles identiques. Implémentez une solution tierce si cela ne répond pas aux exigences de votre organisation.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Aide : Utilisez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

6.12 : Limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul

Aide : Selon le type de script, vous pouvez utiliser des configurations de système d’exploitation spécifiques ou des ressources tierces pour limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul Azure.

Responsabilité : Customer

6.13 : Séparer physiquement ou logiquement des applications à risque élevé

Aide : Les applications à haut risque déployées dans votre environnement Azure peuvent être isolées à l’aide d’un réseau virtuel, d’un sous-réseau, d’abonnements, de groupes d’administration, etc. et suffisamment sécurisées avec un pare-feu Azure, un pare-feu d’applications web (WAF) ou un groupe de sécurité réseau.

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : utilisez Azure Policy ou Microsoft Defender pour le cloud pour gérer les configurations de sécurité pour toutes les ressources Azure. Par ailleurs, Azure Resource Manager a la possibilité d’exporter le modèle au format JSON (JavaScript Object Notation), qui doit être examiné pour vérifier que les configurations répondent/dépassent les exigences de votre entreprise en matière de sécurité.

Responsabilité : Customer

7.2 : Établir des configurations sécurisées du système d’exploitation

Conseil : Utilisez la recommandation de Microsoft Defender pour le cloud « Corriger les vulnérabilités dans les configurations de sécurité sur vos machines virtuelles » afin de gérer les configurations de sécurité de toutes les ressources de calcul.

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Aide : Utilisez des modèles Resource Manager et des stratégies Azure pour configurer de manière sécurisée les ressources Azure associées aux groupes de machines virtuelles identiques. Les modèles Resource Manager sont des fichiers JSON servant à déployer une machine virtuelle et ses ressources Azure ; un modèle personnalisé devra donc être conservé. Microsoft effectue la maintenance sur les modèles de base. Utilisez Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure.

Responsabilité : Customer

7.4 : Préserver la sécurité des configurations du système d'exploitation

Conseils : Il existe plusieurs options permettant de maintenir une configuration sécurisée pour le déploiement de machines virtuelles Azure :

  1. via les modèles Azure Resource Manager : Il s’agit de fichiers JSON utilisés pour déployer une machine virtuelle à partir du portail Azure et un modèle personnalisé doit être conservé. Microsoft effectue la maintenance sur les modèles de base.

  2. Disque dur virtuel (VHD) personnalisé : il peut être nécessaire dans certains cas d’utiliser des fichiers VHD personnalisés, par exemple, pour traiter des environnements complexes non gérables par d’autres moyens.

  3. Azure Automation State Configuration : une fois le système d’exploitation de base déployé, vous pouvez l’utiliser pour bénéficier d’un contrôle plus granulaire des paramètres et l’appliquer à l’aide de l’infrastructure Automation.

Pour la plupart des scénarios, les modèles de machine virtuelle de base de Microsoft combinés à Azure Automation Desired State Configuration peuvent permettre de satisfaire les exigences de sécurité.

Responsabilité : Partagé

Supervision Microsoft Defender pour le cloud : le Benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Microsoft Defender pour le cloud. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée sont supervisés par Microsoft Defender pour le cloud en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Conseil : Utilisez Azure DevOps pour stocker et gérer de manière sécurisée votre code, comme les stratégies Azure personnalisées, les modèles Azure Resource Manager, les scripts Desired State Configuration, etc. Pour accéder aux ressources que vous gérez dans Azure DevOps, telles que votre code, vos builds et le suivi de vos travaux, vous devez disposer d’autorisations pour ces ressources. La plupart des autorisations sont accordées par le biais de groupes de sécurité intégrés, comme décrit dans Autorisations et accès. Vous pouvez octroyer ou refuser des autorisations à des utilisateurs spécifiques, à des groupes de sécurité intégrés ou à des groupes définis dans Azure Active Directory (Azure AD) s’ils sont intégrés à Azure DevOps ou dans Active Directory s’ils sont intégrés à TFS.

Responsabilité : Customer

7.6 Stocker en toute sécurité des images de système d’exploitation personnalisées

Aide : Si vous avez recours à des images personnalisées (par exemple, un disque dur virtuel), utilisez le contrôle d’accès en fonction du rôle Azure pour veiller à ce que seuls les utilisateurs autorisés aient accès aux images.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Conseils : Tirez parti d’Azure Policy pour alerter, auditer et appliquer des configurations système pour vos machines virtuelles. En outre, développez un processus et un pipeline pour la gestion des exceptions de stratégie.

Responsabilité : Customer

7.8 : Déployer des outils de gestion de la configuration pour les systèmes d'exploitation

Conseils : Azure Automation State Configuration est un service de gestion de la configuration pour les nœuds DSC dans n’importe quel cloud ou centre de données local. Il permet de faire évoluer des milliers d’ordinateurs rapidement et facilement à partir d’un emplacement central et sécurisé. Vous pouvez facilement intégrer des machines, leur attribuer des configurations déclaratives et afficher des rapports montrant la conformité de chaque machine avec l’état souhaité que vous avez indiqué.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Aide : tirez profit de Microsoft Defender pour le cloud afin d’effectuer des analyses de base pour vos machines virtuelles Azure. Il existe d’autres méthodes de configuration automatisée, notamment Azure Automation State Configuration.

Responsabilité : Customer

7.10 : Implémenter la surveillance de la configuration automatique pour les systèmes d’exploitation

Aide : Azure Automation State Configuration est un service de gestion de la configuration pour les nœuds DSC dans n’importe quel cloud ou centre de données local. Il permet de faire évoluer des milliers d’ordinateurs rapidement et facilement à partir d’un emplacement central et sécurisé. Vous pouvez facilement intégrer des machines, leur attribuer des configurations déclaratives et afficher des rapports montrant la conformité de chaque machine avec l’état souhaité que vous avez indiqué.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Microsoft Defender pour le cloud. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée sont supervisés par Microsoft Defender pour le cloud en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

7.11 : Gérer les secrets Azure en toute sécurité

Conseils : Utilisez Managed Service Identity conjointement avec Azure Key Vault pour simplifier et sécuriser la gestion des secrets pour vos applications Cloud.

Responsabilité : Customer

7.12 : Gérer les identités de façon sécurisée et automatique

Conseils : Utilisez des identités managées pour fournir aux services Azure une identité gérée automatiquement dans Azure Active Directory (Azure AD). Les identités managées vous permettent de vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, y compris Key Vault, sans informations d’identification dans votre code.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.1 : Utiliser un logiciel anti-programme malveillant géré de manière centralisée

Aide : Utilisez Microsoft Antimalware pour les machines virtuelles Azure Windows afin de superviser et défendre en continu vos ressources. Vous aurez besoin d’un outil tiers pour la protection contre les programmes malveillants sur la machine virtuelle Linux Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Superviser la solution Endpoint Protection manquante dans Microsoft Defender pour le cloud Les serveurs sur lesquels l’agent Endpoint Protection n’est pas installé sont supervisés par Microsoft Defender pour le cloud dans le cadre des recommandations AuditIfNotExists, Désactivé 3.0.0

8.3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Aide : Lorsqu’il est déployé pour des machines virtuelles Windows, Microsoft Antimalware pour Azure installe automatiquement les mises à jour les plus récentes de la signature, de la plateforme et du moteur. Suivez les recommandations de Microsoft Defender pour le cloud : « Calculs et applications » pour garantir que tous les points de terminaison sont à jour avec les dernières signatures. La protection du système d’exploitation Windows peut être renforcée par une sécurité supplémentaire afin de limiter le risque d’attaques par virus ou logiciel malveillant avec le service Microsoft Defender Advanced Threat Protection, qui s’intègre à Microsoft Defender pour le cloud.

Vous aurez besoin d’un outil tiers pour la protection contre les programmes malveillants sur la machine virtuelle Linux Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0

Récupération des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : récupération de données.

9.1 : Garantir des sauvegardes automatiques régulières

Aide : Créez un instantané de l’instance Microsoft Azure Virtual Machine Scale Sets ou du disque managé attaché à l’instance à l’aide de PowerShell ou d’API REST. Vous pouvez également utiliser Azure Automation pour exécuter les scripts de sauvegarde à intervalles réguliers.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 2.0.0

9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés gérées par le client

Aide : Créez des instantanés de vos machines virtuelles Azure ou des disques managés attachés à ces instances à l’aide de PowerShell ou d’API REST. Sauvegardez toutes les clés gérées par le client dans Azure Key Vault.

Activez Sauvegarde Azure et les machines virtuelles Azure cibles, ainsi que la fréquence souhaitée et les périodes de rétention. Cela comprend la sauvegarde complète de l’état du système. Si vous utilisez Azure Disk Encryption, la sauvegarde de machine virtuelle Azure gère automatiquement la sauvegarde des clés gérées par le client.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 2.0.0

9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Aide : Assurez-vous que la restauration des données du disque managé s’effectue régulièrement dans Sauvegarde Azure. Si nécessaire, testez la restauration du contenu sur un réseau virtuel ou abonnement isolé. Testez régulièrement la restauration des clés gérées par le client qui ont été sauvegardées.

Si vous utilisez Azure Disk Encryption, vous pouvez restaurer vos groupes de machines virtuelles identiques Azure à l’aide des clés de chiffrement du disque. Lorsque vous utilisez le chiffrement de disque, vous pouvez restaurer la machine virtuelle Azure à l’aide des clés de chiffrement du disque.

Responsabilité : Customer

9.4 : Garantir la protection des sauvegardes et des clés gérées par le client

Aide : Activez la protection contre la suppression pour le disque managé à l’aide de verrous. Activez la suppression réversible et la protection contre la purge dans Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Conseils : Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à la métrique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez clairement les abonnements (par exemple : production, non production) à l’aide d’étiquettes et créez un système de nommage pour identifier et classer clairement les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Effectuez des exercices pour tester les capacités de réponse aux incidents de vos systèmes à intervalles réguliers, afin de protéger vos ressources Azure. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Instructions : Microsoft utilisera les informations de contact pour le signalement d’incidents de sécurité pour vous contacter si le Microsoft Security Response Center (MSRC) découvre que vos données ont été consultées de manière illégale ou par un tiers non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Aide : exportez vos alertes et recommandations Microsoft Defender pour le cloud à l’aide de la fonctionnalité Exportation continue. Cela vous aide à identifier les risques concernant les ressources Azure. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Aide : utilisez la fonctionnalité Automatisation de workflow dans Microsoft Defender pour le cloud afin de déclencher automatiquement des réponses aux alertes et aux recommandations de sécurité via « Logic Apps » pour protéger vos ressources Azure.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de Microsoft pour que vos tests d’intrusion soient conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes