Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- (Public Preview) Defender for Containers : détections DNS basées sur Helm, simplifiant l’installation sur des clusters Kubernetes existants et fournissant de nouvelles détections de menaces DNS (domaines malveillants, tunneling, résolutions suspectes) directement au niveau du plan de données du cluster. En outre, on retrouve des optimisations majeures avec une meilleure efficacité mémoire et diminution de la consommation CPU sur les clusters de grande taille.
- (Public Preview) Defender for Storage introduit des balises d'indexation optionnelles pour les analyses à la demande et au téléchargement. Avec cette nouvelle fonctionnalité, les utilisateurs peuvent choisir de publier les résultats dans les balises d'index du blob lorsqu'un blob est analysé (par défaut) ou de ne pas utiliser les balises d'index. Les balises d'index peuvent être activées ou désactivées au niveau de l'abonnement et du compte de stockage via le portail Azure ou l'API.
- (Public Preview) Defender for Cloud étend désormais ses capacités de découverte d'API et de posture de sécurité pour inclure les API hébergées dans Azure Function Apps et Logic Apps, en plus de sa prise en charge existante des API publiées dans Azure API Management. Cette amélioration permet aux équipes de sécurité d'avoir une vue complète et continuellement mise à jour de la surface d'attaque des API de leur organisation. Les principales fonctionnalités sont les suivantes
- Inventaire centralisé des API : Découvrir et cataloguer automatiquement les API dans les services Azure pris en charge.
- Évaluations des risques de sécurité : Identifier et prioriser les risques, y compris l'identification des API dormantes qui peuvent justifier une suppression, ainsi que les API non cryptées qui pourraient exposer des données sensibles.
Ces fonctionnalités sont automatiquement disponibles pour tous les clients de Defender for Cloud Security Posture Management (DCSPM) qui ont activé l'extension API Security Posture Management.
- (Public Preview) La surveillance de l'intégrité des fichiers sans agent (FIM) complète la solution FIM basée sur l'agent Microsoft Defender for Endpoint, et introduit la prise en charge de la surveillance personnalisée des fichiers et du registre. La solution FIM sans agent permet aux entreprises de surveiller les modifications de fichiers et de registres dans leur environnement sans déployer d'autres agents. Elle offre une alternative légère et évolutive tout en maintenant la compatibilité avec la solution existante basée sur l'agent. Les principales fonctionnalités sont les suivantes :
- Surveillance personnalisée : Répondez aux exigences spécifiques de conformité et de sécurité en définissant et en surveillant des chemins d'accès aux fichiers et des clés de registre personnalisés.
- Expérience unifiée : Les événements provenant de FIM avec ou sans agent sont stockés dans la même table d'espace de travail, avec des indicateurs de source clairs.
- (Public Preview) Microsoft a mis à jour la fonction d'analyse de code sans agent afin d'inclure des fonctionnalités clés qui étendent à la fois la couverture et le contrôle. Ces mises à jour comprennent :
- La prise en charge des référentiels GitHub, en plus d'Azure DevOps
- La sélection personnalisable de l'analyseur - sélectionnez les outils (par exemple, Bandit, Checkov, ESLint) à exécuter
- La configuration granulaire de la portée - incluez ou excluez des organisations, des projets ou des référentiels spécifiques
Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs
