Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Azure Security Benchmark est maintenant une stratégie par défaut pour Azure Security Center. Azure Security Benchmark est un ensemble de directives spécifiques à Azure, élaborées par Microsoft, pour les bonnes pratiques de sécurité et de conformité, basées sur des cadres de conformité communs. Ce référentiel largement respecté s'appuie sur les contrôles du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST) en mettant l'accent sur la sécurité dans le Cloud.t
- Disponibilité Générale des connecteurs multi-cloud permettant la gestion d’Azure, d’Amazon Web Services (AWS) et Google Cloud Platform (GCP).
- Disponibilité Générale de la nouvelle page des alertes de sécurité dans le portail Azure. Ceci permet d’améliorer l’expérience de tri, de donner plus d’informations sur les alertes, d’ajouter un bouton de création d’alerte exemple, d’alignement de l’expérience d’incident sur Azure Sentinel, d’amélioration des performances, etc.
- Disponibilité Générale de l’évaluation de la vulnérabilité des machines sur site et multi-cloud grâce à l’intégration via Azure Arc. Lorsque vous aurez activé Azure Arc sur vos machines non Azure, Security Center vous proposera de déployer le scanner de vulnérabilité intégré sur celles-ci. Parmi les fonctionnalités, on retrouve :
- Surveillance de l'état de provisionnement du scanner de vulnérabilité (VA) sur les machines Azure Arc.
- Provisionnement de l'agent VA intégré aux machines non protégées Windows et Linux Azure Arc.
- Réception et analyse des vulnérabilités détectées par les agents déployés.
- Une expérience unifiée pour les VMs Azure et les machines Azure Arc.
- Disponibilité Générale des recommandations de protection pour les ressources Kubernetes avec 13 recommandations de sécurité.
- Amélioration de la page d’inventaire des actifs (Asset Inventory)
- Preview du Secure Score pour les groupes d’administration (Management groups) an plus du niveau d’abonnement.
- Disponibilité Générale de l’API Secure Score.
- L’intégration de Microsoft Defender for Endpoint avec Azure Defender supporte maintenant en Preview Windows Server 2019 et Windows Virtual Desktop (WVD).
- Azure Defender for App Service détecte désormais les entrées DNS en suspens (DNS Dandling) lorsqu'un site web App Service est mis hors service. C'est le moment où l'entrée DNS pointe vers une ressource inexistante, et votre site web est vulnérable à une prise de contrôle de sous-domaine. Ces protections sont disponibles que vos domaines soient gérés par Azure DNS ou par un registraire de domaines externe et s'appliquent à la fois à l'App Service sous Windows et Linux.
- Lorsque vous examinez les détails d'une recommandation, il est souvent utile de pouvoir voir la stratégie sous-jacente. Pour chaque recommandation supportée par une stratégie, il y a un nouveau lien à partir de la page des détails de la recommandation.
- Microsoft étend la capacité d’exclusion pour inclure des recommandations entières. Vous pouvez exclure une ressource, un abonnement ou un groupe d’administration (management group) pour s’assurer qu’ils ne soient pas listés comme non sains et n’impactent pas le Secure Score.
- La recommandation "Sensitive data in your SQL databases should be classified" n'affecte plus le Secure Score.
- Si un utilisateur n'a pas l'autorisation de voir les données du Centre de sécurité, il verra désormais un lien lui permettant de demander des autorisations à l'administrateur global de son entreprise. La demande comprend le rôle qu'il souhaite et la justification de la nécessité de cette autorisation.
- Microsoft a ajouté un troisième type de données aux options de déclenchement des automatisations de flux de travail : les modifications des évaluations de conformité réglementaire.
- On retrouve 35 recommandations en Preview afin d’améliorer la couverture d’Azure Security Benchmark avec :
- Azure Cosmos DB accounts should use customer-managed keys to encrypt data at rest
- Azure Machine Learning workspaces should be encrypted with a customer-managed key (CMK)
- Bring your own key data protection should be enabled for MySQL servers
- Bring your own key data protection should be enabled for PostgreSQL servers
- Cognitive Services accounts should enable data encryption with a customer-managed key (CMK)
- Container registries should be encrypted with a customer-managed key (CMK)
- SQL managed instances should use customer-managed keys to encrypt data at rest
- SQL servers should use customer-managed keys to encrypt data at rest
- Storage accounts should use customer-managed key (CMK) for encryption
- Subscriptions should have a contact email address for security issues
- Auto provisioning of the Log Analytics agent should be enabled on your subscription
- Email notification for high severity alerts should be enabled
- Email notification to subscription owner for high severity alerts should be enabled
- Key vaults should have purge protection enabled
- Key vaults should have soft delete enabled
- Function apps should have 'Client Certificates (Incoming client certificates)' enabled
- Web Application Firewall (WAF) should be enabled for Application Gateway
- Web Application Firewall (WAF) should be enabled for Azure Front Door Service service
- Firewall should be enabled on Key Vault
- Private endpoint should be configured for Key Vault
- App Configuration should use private link
- Azure Cache for Redis should reside within a virtual network
- Azure Event Grid domains should use private link
- Azure Event Grid topics should use private link
- Azure Machine Learning workspaces should use private link
- Azure SignalR Service should use private link
- Azure Spring Cloud should use network injection
- Container registries should not allow unrestricted network access
- Container registries should use private link
- Public network access should be disabled for MariaDB servers
- Public network access should be disabled for MySQL servers
- Public network access should be disabled for PostgreSQL servers
- Storage account should use a private link connection
- Storage accounts should restrict network access using virtual network rules
- VM Image Builder templates should use private link
- Microsoft permet maintenant l’export d’une liste de recommandations au format CSV tout en prenant en compte les filtres définis dans la page des recommandations.t
- Auparavant, les ressources qui étaient évaluées pour une recommandation et qui étaient jugées non applicables apparaissaient dans la politique d'Azure comme "non conformes". Aucune action de l'utilisateur ne pouvait changer leur état en "Conforme". Avec ce changement, elles sont signalées comme "conformes" pour plus de clarté.
- Microsoft a ajouté une nouvelle fonction aux outils d'exportation continue pour exporter des instantanés hebdomadaires de données de score sécurisé et de conformité réglementaire.
Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs