Contrôle de sécurité : Sécurité des points de terminaison
La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud.
ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Principe de sécurité : Activez les fonctionnalités de détection de point de terminaison et réponse (EDR) pour les machines virtuelles, et intégrez-les aux processus SIEM et d’opérations de sécurité.
Conseils Azure : Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées.
Utilisez Microsoft Defender pour le cloud afin de déployer Microsoft Defender pour les serveurs sur vos points de terminaison et d’intégrer les alertes à votre solution SIEM telle que Microsoft Sentinel.
Implémentation Azure et contexte supplémentaire :
- Présentation d’Azure Defender pour les serveurs
- Présentation de Microsoft Defender pour point de terminaison
- Fonctionnalité de couverture pour les machines de Microsoft Defender pour le cloud
- Intégration du connecteur pour Defender pour les serveurs à SIEM
Conseils AWS : Intégrez votre compte AWS dans Microsoft Defender pour le cloud et déployez des Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégrées) sur vos instances EC2 afin de fournir des fonctionnalités EDR permettant d’empêcher, de détecter, d’examiner et d’y répondre. menaces avancées.
Vous pouvez également utiliser la fonctionnalité de veille des menaces intégrée d’Amazon GuardDuty pour surveiller et protéger vos instances EC2. Amazon GuardDuty peut détecter des activités anormales telles que l’activité indiquant une compromission de instance, telles que l’exploration de crypto-monnaies, les programmes malveillants utilisant des algorithmes de génération de domaine (DGA), l’activité de déni de service sortante, un volume anormalement élevé de trafic réseau, des protocoles réseau inhabituels, des instance communication avec une adresse IP malveillante connue, informations d’identification Amazon EC2 temporaires utilisées par une adresse IP externe et exfiltration de données à l’aide de DNS.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Intégrez votre projet GCP dans Microsoft Defender pour le cloud et déployez Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) sur vos instances de machine virtuelle pour fournir des fonctionnalités EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées.
Vous pouvez également utiliser le Centre de commandes de sécurité de Google pour le renseignement sur les menaces intégré afin de surveiller et de protéger vos instances de machine virtuelle. Security Command Center peut détecter les activités anormales telles que les informations d’identification potentiellement divulguées, l’exploration de crypto-monnaie, les applications potentiellement malveillantes, l’activité réseau malveillante, etc.
Implémentation gcp et contexte supplémentaire :
- Protégez vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud :
- Vue d’ensemble du Centre de commandes de sécurité :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Renseignement sur les menaces
- Gestion de la conformité de la sécurité
- Gestion de la posture
ES-2 : Utiliser un logiciel anti-programmes malveillants moderne
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Principe de sécurité : utilisez des solutions anti-programme malveillant (également appelées protection de point de terminaison) capables d’une protection en temps réel et d’une analyse périodique.
Conseils Azure : Microsoft Defender pour le cloud peut identifier automatiquement l’utilisation d’un certain nombre de solutions anti-programme malveillant populaires pour vos machines virtuelles et machines locales avec Azure Arc configuré, et signaler l’exécution de endpoint Protection status et faire des recommandations.
L’Antivirus Microsoft Defender est la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les machines virtuelles Linux, utilisez Microsoft Defender for Endpoint sur Linux pour la fonctionnalité de protection de point de terminaison.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : vous pouvez également utiliser l’option Defender pour le stockage sur Microsoft Defender pour le cloud pour détecter les logiciels malveillants chargés dans des comptes Stockage Azure.
Implémentation Azure et contexte supplémentaire :
- Solutions de protection des points de terminaison prises en charge
- Guide pratique pour configurer Microsoft Antimalware pour les services cloud et les machines virtuelles
Conseils AWS : Intégrez votre compte AWS dans Microsoft Defender pour le cloud afin de permettre à Microsoft Defender pour le cloud d’identifier automatiquement l’utilisation de certaines solutions anti-programme malveillant populaires pour les instances EC2 avec Azure Arc configuré et de signaler la protection de point de terminaison en cours d’exécution status et faire des recommandations.
Déployez l’antivirus Microsoft Defender, la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour les instances EC2 exécutant Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les instances EC2 exécutant Linux, utilisez Microsoft Defender for Endpoint sur Linux pour la fonctionnalité de protection de point de terminaison.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : Microsoft Defender Cloud prend également en charge certains produits de protection des points de terminaison tiers pour la découverte et l’évaluation des status d’intégrité.
Implémentation AWS et contexte supplémentaire :
- Découverte de GuardDuty EC2
- Microsoft Defender solutions endpoint protection prises en charge
- Recommandations des protections de points de terminaison dans Microsoft Defender pour les clouds
Conseils GCP : Intégrez vos projets GCP dans Microsoft Defender pour le cloud afin de permettre à Microsoft Defender pour le cloud d’identifier automatiquement l’utilisation de solutions anti-programme malveillant populaires pour les instances de machine virtuelle avec Azure Arc configuré et de signaler les status endpoint protection et de faire des recommandations.
Déployez l’antivirus Microsoft Defender, la solution anti-programmes malveillants par défaut pour Windows Server 2016 et versions ultérieures. Pour les instances de machine virtuelle exécutant Windows Server 2012 R2, utilisez l’extension Microsoft Antimalware pour activer SCEP (System Center Endpoint Protection). Pour les instances de machine virtuelle exécutant Linux, utilisez Microsoft Defender pour point de terminaison sur Linux pour la fonctionnalité Endpoint Protection.
Pour Windows comme pour Linux, vous pouvez utiliser Microsoft Defender pour le cloud afin de découvrir et évaluer l’état d’intégrité de la solution anti-programme malveillant.
Remarque : Microsoft Defender Cloud prend également en charge certains produits de protection des points de terminaison tiers pour la découverte et l’évaluation des status d’intégrité.
Implémentation gcp et contexte supplémentaire :
- Microsoft Defender solutions endpoint protection prises en charge :
- Recommandations endpoint protection dans Microsoft Defender pour les clouds :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Renseignement sur les menaces
- Gestion de la conformité de la sécurité
- Gestion de la posture
ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Principe de sécurité : Vérifiez que les signatures de logiciels anti-programmes malveillants sont mises à jour rapidement et de manière cohérente pour la solution anti-programmes malveillants.
Conseils Azure : Suivez les recommandations de Microsoft Defender pour le cloud pour tenir tous les points de terminaison à jour avec les dernières signatures. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation Azure et contexte supplémentaire :
- Guide pratique pour déployer Microsoft Antimalware pour les services cloud et les machines virtuelles
- Recommandations et évaluation des protections de points de terminaison dans Microsoft Defender pour le cloud
Conseils AWS : Une fois votre compte AWS intégré à Microsoft Defender pour le cloud, suivez les recommandations de Microsoft Defender pour le cloud afin de maintenir tous les points de terminaison à jour avec les signatures les plus récentes. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : avec vos projets GCP intégrés à Microsoft Defender pour le cloud, suivez les recommandations de Microsoft Defender pour le cloud afin de maintenir toutes les solutions EDR à jour avec les signatures les plus récentes. Microsoft Antimalware (pour Windows) et Microsoft Defender for Endpoint (pour Linux) installent automatiquement les dernières signatures et mises à jour du moteur par défaut.
Pour les solutions tierces, assurez-vous que les signatures sont mises à jour dans la solution de logiciel anti-programmes malveillants tierce.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :