Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Nouvelle alerte dans Defender for Key Vault : Unusual access to the key vault from a suspicious IP (Non-Microsoft or External). Au cours des dernières 24 heures, un utilisateur ou un responsable de service a tenté d'accéder de manière anormale à des Key Vaults à partir d'une adresse IP autre que Microsoft. Ce schéma d'accès anormal peut être une activité légitime. Il peut s'agir d'une tentative d'accès au Key Vault et aux secrets qu'il contient.
- L’agentless scanning des machines virtuelles prend désormais en charge le traitement des instances dont les disques sont chiffrés dans AWS, en utilisant à la fois CMK et PMK.
- Microsoft a révisé les règles JIT (Just-In-Time) pour les aligner sur la marque Microsoft Defender for Cloud. Microsoft a modifié les conventions de dénomination des règles Azure Firewall et NSG (Network Security Group).
- Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins de conformité, vous pouvez désormais sélectionner les régions AWS à analyser lorsque vous ajoutez ou modifiez un connecteur cloud. Vous pouvez désormais analyser des régions AWS spécifiques sélectionnées ou toutes les régions disponibles (par défaut), lorsque vous intégrez vos comptes AWS à Defender for Cloud.
- La version V2 des recommandations en matière d'identité apporte les améliorations suivantes :
- La portée de l'analyse a été élargie pour inclure toutes les ressources Azure, et pas seulement les abonnements. Cela permet aux administrateurs de sécurité de voir les attributions de rôles par compte.
- Des comptes spécifiques peuvent désormais être exemptés d'évaluation. Les administrateurs de sécurité peuvent exclure des comptes tels que les comptes de bris de glace ou les comptes de service.
- La fréquence d'analyse est passée de 24 heures à 12 heures, ce qui garantit que les recommandations en matière d'identité sont plus actuelles et plus précises.
Des recommandations sur l’identité en V1 ont été dépréciées.
- L'ancienne norme PCI DSS v3.2.1 et l'ancienne norme SOC TSP ont été entièrement supprimées dans le tableau de bord de conformité de Defender for Cloud, et remplacées par les normes de conformité basées sur l'initiative SOC 2 Type 2 et l'initiative PCI DSS v4. Nous avons entièrement supprimé le support de la norme/initiative PCI DSS dans Azure China 21Vianet.
- Defender for DevOps Code and IaC a étendu la couverture de ses recommandations dans Microsoft Defender for Cloud pour inclure les conclusions de sécurité Azure DevOps pour les deux recommandations suivantes :
- Code repositories should have code scanning findings resolved
- Code repositories should have infrastructure as code scanning findings resolved
- Microsoft Defender Vulnerability Management (MDVM) est désormais activé en tant que solution intégrée par défaut pour tous les abonnements protégés par Defender for Servers qui n'ont pas déjà une solution VA sélectionnée. Si un abonnement a une solution VA activée sur l'une de ses machines virtuelles, aucun changement n'est effectué et MDVM ne sera pas activé par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d'activer une solution VA sur les VM restantes de vos abonnements.
- Defender for Cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de la requête de l'explorateur de sécurité du cloud. Après avoir effectué une recherche, vous pouvez sélectionner le bouton Télécharger le rapport CSV (aperçu) à partir de la page de l'explorateur de sécurité cloud dans Defender for Cloud.
- Microsoft annonce le lancement de l'évaluation des vulnérabilités pour les images Linux dans Azure container registries alimentés par Microsoft Defender Vulnerability Management (MDVM) dans Defender CSPM. Cette version comprend l'analyse quotidienne des images. Les résultats utilisés dans l'explorateur de sécurité et les chemins d'attaque reposent sur l'évaluation des vulnérabilités MDVM plutôt que sur le scanner Qualys. La recommandation existante Container registry images should have vulnerability findings resolved est remplacée par une nouvelle recommandation basée sur le MDVM : Container registry images should have vulnerability findings resolved (powered by Microsoft Defender Vulnerability Management)
- Les recommandations actuelles concernant les conteneurs dans Defender for Containers seront renommées comme suit :
- Container registry images should have vulnerability findings resolved (powered by Qualys)
- Running container images should have vulnerability findings resolved (powered by Qualys)
- Defender for DevOps a étendu la couverture des annotations des Pull Request (PR) dans Azure DevOps pour inclure les mauvaises configurations de l'Infrastructure as Code (IaC) qui sont détectées dans Azure Resource Manager et les modèles Bicep.
Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs