[MDC] Les nouveautés d’Avril 2023 de Microsoft Defender for Cloud

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les nouvelles fonctionnalités Agentless Container Posture (Preview) sont disponibles dans le cadre du plan Defender CSPM (Cloud Security Posture Management). Agentless Container Posture permet aux équipes de sécurité d'identifier les risques de sécurité dans les domaines des conteneurs et de Kubernetes. Une approche sans agent permet aux équipes de sécurité d'obtenir une visibilité sur leurs registres Kubernetes et conteneurs à travers le SDLC et l'exécution, en supprimant les frictions et l'empreinte des charges de travail. Agentless Container Posture propose des évaluations de vulnérabilité des conteneurs qui, combinées à l'analyse du chemin d'attaque, permettent aux équipes de sécurité de prioriser et de zoomer sur des vulnérabilités de conteneurs spécifiques. Vous pouvez également utiliser l'explorateur de sécurité du cloud pour découvrir les risques et rechercher des informations sur la posture des conteneurs, telles que la découverte d'applications utilisant des images vulnérables ou exposées à Internet.
• Preview d’une recommandation sur le chiffrement unifié des disques. Les machines virtuelles Windows devraient activer Azure Disk Encryption ou EncryptionAtHost et les machines virtuelles Linux devraient activer Azure Disk Encryption ou EncryptionAtHost. Ces recommandations remplacent les recommandations suivantes Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, qui ont détecté Azure Disk Encryption, et la stratégie Virtual machines and virtual machine scale sets should have encryption at host enabled, qui a détecté EncryptionAtHost. ADE et EncryptionAtHost fournissent une couverture de chiffrement au repos comparable, et nous recommandons d'activer l'un d'entre eux sur chaque machine virtuelle. Les nouvelles recommandations détectent si ADE ou EncryptionAtHost sont activés et avertissent seulement si aucun des deux n'est activé. Microsoft avertit également si ADE est activé sur certains disques d'une VM, mais pas sur tous (cette condition ne s'applique pas à EncryptionAtHost). Les nouvelles recommandations requièrent Azure Automanage Machine Configuration.
• La recommandation Machines should be configured securely a été mise à jour. La mise à jour améliore les performances et la stabilité de la recommandation et aligne son expérience avec le comportement générique des recommandations de Defender for Cloud. Dans le cadre de cette mise à jour, l'ID de la recommandation a été changé de 181ac480-f7c4-544b-9865-11b8ffe87f47 à c476dc48-8110-4139-91af-c8d940896b98. Aucune action n'est requise de la part du client, et il n'y a pas d'effet attendu sur le score de sécurité.
• Les politiques de contrôle de la langue du service d'application suivantes ont été supprimées en raison de leur capacité à générer des faux négatifs et parce qu'elles n'offrent pas une meilleure sécurité. Vous devez toujours vous assurer que vous utilisez une version de la langue qui ne présente aucune vulnérabilité connue.
  • App Service apps that use Java should use the latest 'Java version'
  • App Service apps that use Python should use the latest 'Python version'
  • Function apps that use Java should use the latest 'Java version'
  • Function apps that use Python should use the latest 'Python version'
  • App Service apps that use PHP should use the latest 'PHP version'
• Defender for Resource Manager a la nouvelle alerte suivante : PREVIEW - Suspicious creation of compute resources detected (ARM_SuspiciousComputeCreation). Microsoft Defender for Resource Manager a identifié une création suspecte de ressources informatiques dans votre abonnement utilisant Virtual Machines/Azure Scale Set. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources en cas de besoin. Bien que cette activité puisse être légitime, un acteur menaçant pourrait utiliser ces opérations pour effectuer du minage de crypto-monnaie. L'activité est jugée suspecte car l'échelle des ressources informatiques est plus élevée que celle observée précédemment dans l'abonnement. Cela peut indiquer que le donneur d'ordre est compromis et qu'il est utilisé à des fins malveillantes.
• Les trois alertes suivantes pour le plan Defender for Resource Manager ont été supprimées :
  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
• L'exportation automatique des alertes vers l'espace de travail Log Analytics a été supprimée. Cela provoque un comportement indéterministe et Microsoft a donc supprimé cette fonctionnalité. À la place, vous pouvez exporter vos alertes de sécurité vers un espace de travail Log Analytics dédié avec Continuous Export. Si vous avez déjà configuré l'exportation continue de vos alertes vers un espace de travail Log Analytics, aucune autre action n'est requise.
• Microsoft a ajouté quatre nouvelles recommandations relatives à l'authentification Azure Active Directory pour Azure Data Services.
  • Azure SQL Managed Instance should have Azure Active Directory Only Authentication enabled
  • Synapse Workspaces should use only Azure Active Directory identities for authentication
  • An Azure Active Directory administrator should be provisioned for MySQL servers
  • An Azure Active Directory administrator should be provisioned for PostgreSQL servers

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs