Questions courantes - Questions générales

Microsoft Defender for Cloud vous aide à prévenir, détecter et répondre aux menaces avec une visibilité et un contrôle accrus de la sécurité de vos ressources. Il fournit une surveillance de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste écosystème de solutions de sécurité.

Defender for Cloud utilise des composants de surveillance pour collecter et stocker des données. Pour plus d’informations, consultez la collection Data dans Microsoft Defender for Cloud.

Microsoft Defender for Cloud est activé avec votre abonnement Microsoft Azure et accessible à partir du portail Azure. Pour y accéder, connectez-vous au portail, sélectionnez Parcourir, et faites défiler jusqu’à Defender for Cloud.

Defender for Cloud est gratuit pour les 30 premiers jours. Toute utilisation au-delà de 30 jours est automatiquement facturée conformément à la grille tarifaire. Plus d’informations Notez que l’analyse des programmes malveillants dans Defender pour le stockage n’est pas incluse gratuitement dans la première version d’évaluation de 30 jours et sera facturée à partir du premier jour.

Microsoft Defender for Cloud surveille les ressources Azure suivantes :

• Machines virtuelles (VM) (y compris Cloud Services)
• Ensembles d'Échelonnement des Machines Virtuelles
• Les nombreux services PaaS Azure répertoriés dans la vue d’ensemble du produit

Defender for Cloud protège également les ressources locales et multiclouds, notamment Amazon AWS et Google Cloud.

La page Defender for Cloud Vue d’ensemble affiche la posture de sécurité globale de votre environnement divisée par calcul, mise en réseau, données de stockage et applications. Chaque type de ressource possède un indicateur montrant les failles de sécurité identifiées. La sélection de chaque vignette affiche une liste des problèmes de sécurité identifiés par Defender for Cloud, ainsi qu’un inventaire des ressources de votre abonnement.

Une initiative de sécurité définit l’ensemble des contrôles (stratégies) recommandés pour les ressources d’un abonnement spécifique. Dans Microsoft Defender for Cloud, vous attribuez des initiatives pour vos abonnements Azure, comptes AWS et projets GCP en fonction des exigences de sécurité de votre entreprise et du type d'applications ou de sensibilité des données de chaque abonnement.

Les stratégies de sécurité activées dans Microsoft Defender for Cloud pilotent les recommandations et la surveillance de la sécurité. Pour en savoir plus, consultez Que sont les stratégies de sécurité, les initiatives et les recommandations ?.

Pour modifier une stratégie de sécurité, vous devez avoir le rôle d’administrateur de la sécurité ou de propriétaire pour l’abonnement concerné.

Pour savoir comment configurer une stratégie de sécurité, consultez Setting security policies in Microsoft Defender for Cloud.

Microsoft Defender for Cloud analyse l’état de sécurité de vos ressources Azure, multiclouds et locales. Quand des failles de sécurité potentielles sont identifiées, des recommandations sont créées. Les recommandations vous guident tout au long du processus de configuration du contrôle. Voici quelques exemples :

• Approvisionnement d’un logiciel anti-programme malveillant pour identifier et supprimer les programmes malveillants
• Groupes de sécurité réseau et règles pour contrôler le trafic vers les machines virtuelles
• Approvisionnement d’un pare-feu d’applications web pour se défendre des attaques ciblant vos applications web
• Déploiement de mises à jour système manquantes
• Correction des configurations de système d’exploitation qui ne suivent pas les recommandations

Seules les recommandations qui sont activées dans les stratégies de sécurité sont affichées ici.

Microsoft Defender for Cloud collecte, analyse et fusionne automatiquement les données de journal à partir de vos ressources Azure, multiclouds et locales, du réseau et des solutions partenaires telles que les logiciels anti-programmes malveillants et les pare-feu. Quand des menaces sont détectées, une alerte de sécurité est créée. Voici quelques exemples de détections :

• Des machines virtuelles compromises qui communiquent avec des adresses IP connues comme étant malveillantes
• Programmes malveillants avancés détectés à l’aide du Rapport d'erreurs Windows
• Des attaques par force brute contre des machines virtuelles
• Des alertes de sécurité émises par des solutions de sécurité partenaires intégrées, telles que des logiciels anti-programme malveillant ou des pare-feu d’applications web

Le Microsoft Security Response Center (MSRC) effectue une surveillance de la sécurité du réseau et de l’infrastructure Azure et reçoit des plaintes contre les menaces et les abus de tiers. Lorsque MSRC devient conscient que les données client ont été accessibles par une partie illégale ou non autorisée ou que l'utilisation de Azure client ne respecte pas les conditions d'utilisation acceptable, un gestionnaire d'incidents de sécurité avertit le client. La notification se produit généralement en envoyant un e-mail aux contacts de sécurité spécifiés dans Microsoft Defender for Cloud ou le propriétaire de l'abonnement Azure si aucun contact de sécurité n'est spécifié.

Defender for Cloud est un service Azure qui surveille en permanence les Azure, les multiclouds et l'environnement local du client et applique l'analytique pour détecter automatiquement un large éventail d'activités potentiellement malveillantes. Ces détections sont présentées en tant qu'alertes de sécurité dans le tableau de bord de la protection des charges de travail.

Azure Les abonnements peuvent avoir plusieurs administrateurs disposant d’autorisations pour modifier les paramètres tarifaires. Pour savoir quel utilisateur a apporté une modification, utilisez le journal d’activité Azure.

Si les informations de l’utilisateur ne sont pas listées dans la colonne Événement lancé par, explorez les données JSON de l’événement pour obtenir les détails correspondants.

Parfois, une recommandation de sécurité apparaît dans plusieurs initiatives de stratégie. Si vous disposez de plusieurs instances de la même recommandation affectées au même abonnement et que vous créez une exemption pour la recommandation, cela affecte toutes les initiatives que vous êtes autorisé à modifier.

Si vous essayez de créer une exemption pour cette recommandation, vous verrez l’un des deux messages suivants :

• Si vous disposez des autorisations nécessaires pour modifier les deux initiatives, vous verrez :

  Cette recommandation est incluse dans plusieurs initiatives de stratégie : [noms d’initiative séparés par une virgule]. Des exemptions seront créées sur chacune d’elles.

• Si vous ne disposez pas des autorisations suffisantes pour les deux initiatives, vous verrez ce message à la place :

  Vous avez des autorisations limitées pour appliquer l’exemption à toutes les initiatives de stratégie, les exemptions sont créées uniquement sur les initiatives avec des autorisations suffisantes.

Ces recommandations généralement disponibles ne prennent pas en charge l’exemption :

• Tous les types de protection des menaces avancées doivent être activés dans les paramètres de sécurité avancée des données de SQL Managed Instance
• Tous les types de protection des menaces avancée doivent être activés dans les paramètres de sécurité avancée des données du serveur SQL
• Auditer l’utilisation des rôles RBAC personnalisés
• Les limites de mémoire et du processeur du conteneur doivent être appliquées
• Les images de conteneur doivent être déployées à partir de registres approuvés uniquement.
• Tout conteneur avec une élévation des privilèges doit être évité
• Éviter les conteneurs partageant des espaces de noms d’hôte sensibles
• Les conteneurs doivent écouter uniquement sur les ports autorisés
• La stratégie de filtre IP par défaut devrait être de refuser
• Le monitoring de l’intégrité des fichiers doit être activé sur les machines
• Le système de fichiers racine immuable (en lecture seule) doit être appliqué pour les conteneurs
• Appareils IoT – Ports ouverts sur l’appareil
• Appareils IoT – Stratégie de pare-feu permissive trouvée dans l’une des chaînes
• Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne d’entrée
• Appareils IoT – Règle de pare-feu permissive trouvée dans la chaîne de sortie
• Règle de filtre IP pour une grande plage IP
• Les clusters Kubernetes doivent être accessibles uniquement via HTTPS
• Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API
• Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut
• Les clusters Kubernetes ne doivent pas octroyer de fonctionnalités de sécurité CAPSYSADMIN
• Les fonctionnalités Linux à privilèges minimum doivent être appliquées pour les conteneurs
• Le remplacement ou la désactivation du profil AppArmor des conteneurs doit être limité
• Les conteneurs privilégiés doivent être évités
• L’exécution des conteneurs en tant qu’utilisateur racine doit être évitée
• Les services doivent écouter uniquement sur les ports autorisés
• Les serveurs SQL doivent disposer d’un administrateur Microsoft Entra provisionné
• L’utilisation du réseau hôte et des ports doit être limitée
• L’utilisation des montages de volumes HostPath pour les pods doit être limitée à une liste connue afin de restreindre l’accès aux nœuds par des conteneurs compromis.
• Les API Azure API Management doivent être intégrées à Defender pour les API.
• Les points de terminaison d’API inutilisés doivent être désactivés et supprimés de Function Apps (Preview).
• Les points de terminaison d’API inutilisés doivent être désactivés et supprimés de Logic Apps (préversion)
• L’authentification doit être activée sur les points de terminaison d’API hébergés dans Function Apps (préversion)
• L’authentification doit être activée sur les points de terminaison d’API hébergés dans Logic Apps (préversion)

Certaines limitations s'appliquent aux protections d'identité et d'accès de Defender for Cloud :

• Les recommandations d’identité ne sont pas disponibles pour les abonnements avec plus de 6 000 comptes. Dans ce cas, ces types d’abonnements sont répertoriés sous l’onglet Non applicable.
• Les recommandations d'identité ne sont pas disponibles pour les agents administratifs des partenaires du fournisseur de solutions Cloud (CSP).
• Les recommandations d’identité évaluent les attributions de rôles, y compris les attributions éligibles à PIM, mais ne différencient pas actuellement les risques en fonction des flux de travail d’activation PIM ou des exigences d’approbation. Cela peut entraîner des résultats qui incluent des identités managées par PIM.
• Les recommandations d’identité ne prennent pas en charge les stratégies d’accès conditionnel Microsoft Entra avec les rôles d’annuaire inclus à la place des utilisateurs et des groupes.

Pour obtenir la liste des AMIs avec l’agent SSM préinstallé, consultez cette page dans les documents AWS.

Pour les autres systèmes d’exploitation, l’agent SSM doit être installé manuellement à l’aide des instructions suivantes :

• Installer l’agent SSM pour un environnement hybride (Windows)
• Installer SSM Agent pour un environnement hybride (Linux)

Les autorisations IAM suivantes sont nécessaires pour découvrir les ressources AWS :

Oui. Pour créer, modifier ou supprimer des connecteurs cloud Defender for Cloud avec une API REST, consultez les détails de l’API Connectors.

Defender for Cloud prend en charge et analyse toutes les régions disponibles sur le cloud public GCP.

Lors de la préparation de votre environnement pour les scénarios BCDR, où la ressource cible rencontre une panne ou un autre sinistre, il incombe à l'organisation d'empêcher la perte de données en établissant des sauvegardes en suivant les instructions de Azure Event Hubs, de Log Analytics espace de travail et de Logic Apps.

Pour chaque automatisation active, nous vous recommandons de créer une automation identique (désactivée) et de la stocker à un autre emplacement. En cas de panne, vous pouvez activer ces automations de sauvegarde et gérer les opérations normales.

En savoir plus sur Business continuity and disaster recovery for Azure Logic Apps.

L’activation d’une exportation continue n’entraîne aucun coût. Les coûts peuvent être engagés pour l’ingestion et la conservation des données dans votre espace de travail Log Analytics, en fonction de votre configuration.

De nombreuses alertes sont fournies uniquement lorsque vous avez activé Defender plans pour vos ressources. Un bon moyen d'afficher un aperçu des alertes que vous obtenez dans vos données exportées consiste à afficher les alertes affichées dans les pages de Defender for Cloud dans le portail Azure.

En savoir plus sur Log Analytics tarification de l’espace de travail.

En savoir plus sur la tarification Azure Event Hubs.

Pour obtenir des informations générales sur la tarification Defender for Cloud, consultez la page pricing.

Non. L’exportation continue est conçue pour le streaming d’événements :

• Les alertes reçues avant l’activation de l’exportation ne sont pas exportées.
• Des recommandations sont envoyées dès que l’état de conformité d’une ressource change. Par exemple, lorsqu’une ressource passe de l’état sain à l’état non sain. Par conséquent, comme pour les alertes, les recommandations liées aux ressources dont l’état n’a pas changé depuis l’activation de l’exportation ne sont pas exportées.
• Le score de sécurité par contrôle de sécurité ou abonnement est envoyé lorsque le score d’un contrôle de sécurité change de 0,01 point ou plus.
• L’état de conformité réglementaire est envoyé lorsque l’état de conformité de la ressource change.

Différentes recommandations ont des intervalles d’évaluation de la conformité différents, qui peuvent varier de quelques minutes à plusieurs jours. Ainsi, le temps nécessaire à l’affichage des recommandations dans vos exportations varie.

Pour obtenir un exemple de requête pour une recommandation, ouvrez la recommandation dans Defender for Cloud, sélectionnez _requêteOpen, puis sélectionnez Query renvoyant des résultats de sécurité.

L’exportation continue peut être utile pour préparer les scénarios BCDR où la ressource cible subit une panne ou un autre sinistre. Toutefois, il incombe à l'organisation d'empêcher la perte de données en établissant des sauvegardes conformément aux instructions de Azure Event Hubs, d'espace de travail Log Analytics et d'application logique.

Pour en savoir plus, consultez Azure Event Hubs - Reprise après sinistre géo-localisée.

Nous ne recommandons pas la mise à jour programmatique simultanée de plusieurs plans sur un même abonnement (via l'API REST, les modèles ARM, les scripts, etc.). Lorsque vous utilisez le Microsoft. API sécurité/tarification ou toute autre solution programmatique, vous devez insérer un délai de 10 à 15 secondes entre chaque requête.

Les modifications apportées à Defender for Cloud plans ou à leurs options, y compris les fonctionnalités de ces plans, nécessitent l’exécution du modèle de déploiement. Cela s’applique quel que soit le type d’autorisation sélectionné lors de la création du connecteur de sécurité. Si des régions ont été modifiées, comme dans cette capture d'écran, vous n'avez pas besoin de réexécuter le modèle Cloud Formation ou Cloud Shell script.

Lorsque vous configurez les types d’autorisation, l’accès avec le privilège minimum prend en charge les fonctionnalités disponibles au moment de l’exécution du modèle ou du script. Les nouveaux types de ressources peuvent être pris en charge uniquement en réexécutant le modèle ou le script.

Non, si la région ou l’intervalle d’analyse est modifié, il n’est pas nécessaire de réexécuter le modèle CloudFormation ou Cloud Shell script. Les modifications seront appliquées automatiquement.

L’intégration d’une organisation ou d’un compte de gestion à Microsoft Defender for Cloud lance le processus de déploiement d’un StackSet. StackSet inclut les rôles et autorisations nécessaires. StackSet propage également les autorisations requises sur tous les comptes au sein de l’organisation.

Les autorisations incluses permettent Microsoft Defender for Cloud fournir les fonctionnalités de sécurité sélectionnées via le connecteur créé dans Defender for Cloud. Les autorisations permettent également Defender for Cloud de surveiller en permanence tous les comptes qui peuvent être ajoutés à l’aide du service d’approvisionnement automatique.

Defender for Cloud est capable d’identifier la création de nouveaux comptes de gestion et peut tirer parti des autorisations accordées pour approvisionner automatiquement un connecteur de sécurité membre équivalent pour chaque compte membre.

Cette fonctionnalité est disponible uniquement pour l’intégration organisationnelle et permet Defender for Cloud de créer des connecteurs pour les comptes nouvellement ajoutés. La fonctionnalité permet également Defender for Cloud de modifier tous les connecteurs membres lorsque le compte de gestion est modifié, de supprimer tous les comptes membres lorsque le compte de gestion est supprimé et de supprimer un compte membre spécifique si le compte correspondant est supprimé.

Une pile distincte doit être déployée spécifiquement pour le compte de gestion.

Non. L’analyse sans agent n’analyse pas les machines virtuelles désallouées.

Oui. L’analyse sans agent analyse les disques de système d’exploitation et les disques de données.

L’heure du jour est dynamique et peut changer entre différents comptes et abonnements.

Dans AWS, les opérations sur le compte client sont traçables via CloudTrail.

L’analyse sans agent collecte des données similaires aux données qu’un agent collecte pour effectuer la même analyse. Les données brutes, les API ou les données métier sensibles ne sont pas collectées, et seuls les résultats des métadonnées sont envoyés à Defender for Cloud.

L’analyse des instantanés se produit dans des environnements sécurisés gérés par Defender for Cloud.

Les environnements sont régionaux sur plusieurs clouds, de sorte que les captures instantanées restent dans la même région cloud que la machine virtuelle à partir de laquelle elles proviennent (par exemple, un instantané d’une instance EC2 dans USA Ouest est analysé dans la même région, sans être copiés dans une autre région ou un autre cloud).

L’environnement d’analyse où les disques sont analysés est volatile, isolé et hautement sécurisé.

La plateforme d’analyse sans agent est auditée et conforme aux normes strictes de sécurité et de confidentialité de Microsoft. Certaines des mesures prises sont (pas une liste complète) :

• Isolation physique par région, isolation supplémentaire par client et abonnement
• Chiffrement de bout en bout au repos et en transit
• Captures instantanées de disque immédiatement vidées après l’analyse
• Seules les métadonnées (autrement dit, les résultats de sécurité) quittent l’environnement d’analyse isolé
• L’environnement d’analyse est autonome
• Toutes les opérations sont auditées en interne

L’analyse sans agent est incluse dans Defender Cloud Security Posture Management (CSPM) et Defender pour les plans P2 serveurs. Aucun autre coût n'est engagé avec Defender for Cloud lors de son activation.

Les captures instantanées de disque sont créées avec la clé de balise CreatedBy et la valeur de balise Microsoft Defender for Cloud. La CreatedBy balise suit qui a créé la ressource. Vous devez activer les balises dans la console Facturation et Gestion des coûts. L’activation des balises peut prendre jusqu’à 24 heures.

Étapes suivantes

Découvrez les nouveautés dans Defender for Cloud