Intégrations à l’infrastructure

L’infrastructure comprend le matériel, les logiciels, les microservices, l’infrastructure réseau et les installations nécessaires pour prendre en charge les services informatiques d’une organisation. Les solutions d’infrastructure Confiance Zéro évaluent, surveillent et préviennent les menaces de sécurité sur ces services.

Les solutions d’infrastructure Confiance Zéro prennent en charge les principes de Confiance Zéro en s’assurant que l’accès aux ressources d’infrastructure est vérifié explicitement, l’accès est accordé à l’aide de principes d’accès avec des privilèges minimum, et les mécanismes sont en place qui supposent une violation et recherchent et corrigent les menaces de sécurité dans l’infrastructure.

Ce guide est destiné aux fournisseurs de logiciels et aux partenaires technologiques qui souhaitent améliorer leurs solutions de sécurité de l’infrastructure en intégrant des produits Microsoft.

Guide d’intégration confiance zéro pour l’infrastructure

Ce guide d’intégration comprend une stratégie et des instructions pour l’intégration à Microsoft Defender pour cloud et à sa plateforme de protection de charge de travail cloud intégrée (CWPP), Microsoft Defender pour Cloud.

Ce guide couvre les intégrations aux solutions SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response), EDR (Endpoint Detection and Response) et ITSM (IT Service Management) les plus populaires.

Confiance Zéro et Defender pour le cloud

Notre Guide de déploiement d’une infrastructure Confiance Zéro décrit les étapes clés de la stratégie Confiance Zéro pour l’infrastructure. Ces règles sont les suivantes :

  1. Évaluer la conformité avec les normes et les stratégies choisies
  2. Durcir la configuration de la sécurité partout où des failles sont détectées
  3. Utiliser d’autres outils de durcissement de la sécurité comme l’accès juste-à-temps (JIT) aux machines virtuelles
  4. Configurer la détection des menaces et la protection contre les menaces
  5. Bloquer et signaler automatiquement les comportements à risque, et prendre des mesures de protection

Il existe un mappage clair des objectifs que nous avons décrits dans les conseils de déploiement d’infrastructure aux principaux aspects de Defender pour Cloud.

Objectif de la Confiance Zéro Fonctionnalité Defender pour cloud
Évaluer la conformité Dans Defender pour cloud, chaque abonnement dispose automatiquement de l’initiative de sécurité Azure Security Benchmark.
À l’aide des outils de degré de sécurisation et du tableau de bord de conformité réglementaire , vous pouvez obtenir une compréhension approfondie de la posture de sécurité de votre client.
Durcir la configuration de la sécurité L’affectation d’initiatives de sécurité aux abonnements et l’examen du score de sécurité vous amène à obtenir les recommandations de renforcement intégrées à Defender pour cloud. Defender pour Cloud analyse régulièrement l’état de conformité des ressources pour identifier les erreurs de configuration et les faiblesses potentielles de la sécurité. Il fournit ensuite des recommandations sur la façon de corriger ces problèmes.
Utiliser des mécanismes de durcissement de la sécurité Ainsi que des correctifs ponctuels aux configurations incorrectes de sécurité, Defender pour Cloud offre des outils pour garantir un renforcement continu, par exemple :
Accès juste-à-temps (JIT) aux machines virtuelles
Durcissement réseau adaptatif
Contrôles d’application adaptatifs.
Configurer la détection des menaces Defender pour cloud offre une plateforme de protection de charge de travail cloud intégrée (CWPP), Microsoft Defender pour Cloud.
Microsoft Defender pour Cloud fournit une protection avancée, intelligente et intelligente des ressources et charges de travail hybrides Azure.
L’un des plans Microsoft Defender, Microsoft Defender pour serveurs, inclut une intégration native à Microsoft Defender pour point de terminaison.
En savoir plus dans Présentation de Microsoft Defender pour cloud.
Bloquer automatiquement tout comportement suspect La plupart des recommandations de renforcement dans Defender for Cloud offrent une option de refus . Cette fonctionnalité vous permet d’empêcher la création de ressources qui ne remplissent pas les critères de durcissement de la sécurité qui ont été définis. Pour plus d’informations, consultez Empêcher des configurations incorrectes à l’aide des recommandations Appliquer/Refuser.
Signaler automatiquement tout comportement suspect Les alertes de sécurité de Microsoft Defender pour cloud sont déclenchées par des détections avancées. Defender pour le cloud hiérarchise et répertorie les alertes ainsi que les informations vous permettant d’investiguer rapidement le problème. Defender pour le cloud fournit également des étapes détaillées pour vous aider à atténuer les attaques. Pour obtenir la liste complète des alertes possibles, consultez Alertes de sécurité - guide de référence.

Protéger vos services PaaS Azure avec Defender pour cloud

Avec Defender pour Cloud activé sur votre abonnement et que Microsoft Defender pour Cloud est activé pour tous les types de ressources disponibles, vous disposez d’une couche de protection intelligente contre les menaces , optimisée par Microsoft Threat Intelligence , protégeant les ressources dans Azure Key Vault, Stockage Azure, Azure DNS et d’autres services PaaS Azure. Pour obtenir une liste complète, consultez les types de ressources que Microsoft Defender pour Cloud peut sécuriser ?.

Azure Logic Apps

Utilisez Azure Logic Apps si vous souhaitez créer des workflows scalables automatisés, des processus métier et des orchestrations d’entreprise pour intégrer vos applications et vos données à des services cloud et des systèmes locaux.

La fonctionnalité d’automatisation des flux de travail de Defender pour cloud vous permet d’automatiser les réponses aux déclencheurs Defender pour cloud.

C’est un excellent moyen de définir et d’appliquer des réponses de manière automatisée et cohérente lorsque des menaces sont découvertes. Par exemple, pour avertir les parties prenantes concernées, lancez un processus de gestion des changements, et appliquez les étapes de correction définies spécifiques en cas de détection d’une menace.

Intégrer Defender pour cloud à vos solutions SIEM, SOAR et ITSM

Microsoft Defender pour le cloud peut diffuser vos alertes de sécurité vers des systèmes SIEM tiers, SOAR ou des solutions de gestion des services informatiques populaires.

Il existe des outils Azure natifs pour vous permettre d’afficher les données d’alerte dans toutes les solutions les plus populaires actuellement utilisées, y compris :

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar d’IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender pour cloud s’intègre en mode natif à Microsoft Sentinel, à la solution SIEM (Security Information Event Management) et à la solution SOAR (Security Information Event Management) native de Microsoft.

Il existe deux approches pour garantir que vos données Defender pour cloud sont représentées dans Microsoft Sentinel :

Diffuser en continu des alertes avec l’API de sécurité Microsoft Graph

Defender pour le cloud dispose d’une intégration prête à l’emploi avec l’API de sécurité Microsoft Graph. Aucune configuration n’est requise et aucun coût supplémentaire n’est nécessaire.

Vous pouvez utiliser cette API pour envoyer en streaming les alertes du locataire entier (et les données de nombreux autres produits de sécurité Microsoft) vers des solutions SIEM et autres plateformes tierces populaires :

En savoir plus sur l’API de sécurité Microsoft Graph.

Diffuser en continu des alertes avec Azure Monitor

Utilisez la fonctionnalité d’exportation continue de Defender pour cloud pour connecter Defender pour cloud à Azure Monitor via Azure Event Hubs et diffuser des alertes dans ArcSight, SumoLogic, serveurs Syslog, LogRhythm, Logz.io Plateforme d’observabilité cloud et d’autres solutions de supervision.

Consultez Diffuser en continu des alertes avec Azure Monitor pour en savoir plus.

Cela peut également être fait au niveau du groupe d’administration en utilisant Azure Policy. Consultez Créer des configurations d’automatisation d’exportation continue à l’échelle pour en savoir plus.

Conseil

Pour afficher les schémas d’événements des types de données exportés, visitez les schémas d’événements Event Hub.

Intégrer Defender pour cloud à une solution de détection et de réponse de point de terminaison (EDR)

Microsoft Defender for Endpoint

Microsoft Defender pour point de terminaison est une solution holistique de sécurité des points de terminaison dans le cloud.

Le CWPP intégré de Defender pour cloud pour les machines, Microsoft Defender pour serveurs, inclut une licence intégrée pour Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes. Pour plus d’informations, consultez Protéger vos points de terminaison.

Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque. En savoir plus sur Microsoft Defender pour point de terminaison.

Autres solutions EDR

Defender pour cloud fournit des recommandations de renforcement pour vous assurer que vous sécurisez les ressources de votre organisation en fonction des instructions du benchmark de sécurité Azure. L’un des contrôles du benchmark concerne la sécurité des points de terminaison : ES-1 : Utiliser les fonctionnalités EDR (Endpoint Detection and Response).

Il existe deux recommandations dans Defender pour cloud pour vous assurer que vous avez activé la protection des points de terminaison et qu’elle fonctionne correctement. Ces recommandations vérifient la présence et l’intégrité opérationnelle des solutions EDR :

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

En savoir plus sur l’évaluation et les recommandations endpoint protection dans Microsoft Defender pour cloud.

Appliquer votre stratégie Confiance Zéro à des scénarios hybrides et multicloud

Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même.

Microsoft Defender pour Cloud protège les charges de travail où qu’elles s’exécutent : dans Azure, localement, Amazon Web Services (AWS) ou Google Cloud Platform (GCP).

Intégrer Defender pour cloud à des machines locales

Pour sécuriser les charges de travail cloud hybrides, vous pouvez étendre les protections de Defender pour cloud en connectant des machines locales à des serveurs avec Azure Arc.

Découvrez comment connecter des machines dans Connecter vos machines non-Azure à Defender pour cloud.

Intégrer Defender pour cloud à d’autres environnements cloud

Pour afficher la posture de sécurité des machines Amazon Web Services dans Defender pour cloud, intégrez des comptes AWS à Defender pour Cloud. Cela permet d’intégrer AWS Security Hub et Microsoft Defender pour cloud pour obtenir une vue unifiée des recommandations defender pour le cloud et des résultats aws Security Hub et fournir un éventail d’avantages, comme décrit dans Connecter vos comptes AWS à Microsoft Defender pour cloud.

Pour afficher la posture de sécurité des machines Google Cloud Platform dans Defender pour cloud, intégrez des comptes GCP dans Defender pour Cloud. Cela permet d’intégrer GCP Security Command et Microsoft Defender for Cloud pour une vue unifiée des recommandations de Defender pour cloud et des résultats du Centre de commande de sécurité GCP et de fournir un éventail d’avantages, comme décrit dans Connecter vos comptes GCP à Microsoft Defender pour Cloud.

Étapes suivantes

Pour en savoir plus sur Microsoft Defender pour cloud et Microsoft Defender pour cloud, consultez la documentation complète de Defender pour cloud.