Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Un nouveau plan Defender for Storage est disponible, comprenant l'analyse des logiciels malveillants en temps quasi réel et la détection des menaces pour les données sensibles. Le stockage Cloud joue un rôle clé dans l'organisation et stocke de grands volumes de données précieuses et sensibles. Microsoft annonce un nouveau plan Defender for Storage. Si vous utilisez le plan précédent (maintenant renommé "Defender for Storage (classic)"), vous devrez migrer proactivement vers le nouveau planv afin d'utiliser les nouvelles fonctionnalités et les nouveaux avantages. Le nouveau plan comprend des fonctionnalités de sécurité avancées pour aider à protéger contre les téléchargements de fichiers malveillants, l'exfiltration de données sensibles et la corruption de données. Il propose également une structure tarifaire plus prévisible et plus souple pour un meilleur contrôle de la couverture et des coûts. Les nouvelles fonctionnalités du nouveau plan sont désormais disponibles en Public Preview :
- Détection des événements d'exposition et d'exfiltration de données sensibles
- Analyse en temps quasi réel des logiciels malveillants de type "blob on-upload" dans tous les types de fichiers
- Détection d'entités sans identité à l'aide de jetons SAS
- Public Preview d’une posture de sécurité basée sur la connaissance des données. Microsoft Defender for Cloud aide les équipes de sécurité à être plus productives dans la réduction des risques et la réponse aux violations de données dans le cloud. Il leur permet de s'affranchir du bruit grâce au contexte des données et de hiérarchiser les risques de sécurité les plus critiques, afin d'éviter une violation de données coûteuse.
- Découvrir automatiquement les ressources de données dans l'environnement cloud et évaluer leur accessibilité, la sensibilité des données et les flux de données configurés. -Découvrir en permanence les risques de violation des ressources de données sensibles, l'exposition ou les voies d'attaque qui pourraient mener à une ressource de données à l'aide d'une technique de déplacement latéral.
- Détecter les activités suspectes qui peuvent indiquer une menace permanente pour les ressources de données sensibles.
- Amélioration de l'expérience de gestion des politiques de sécurité Azure par défaut
- Une interface simple permet de meilleures performances et moins de sélection lors de la gestion des politiques de sécurité par défaut dans Defender for Cloud, y compris l'activation/désactivation, le refus, la définition des paramètres et la gestion des exemptions.
- Une vue unique de toutes les recommandations de sécurité intégrées offertes par le Microsoft cloud security benchmark (anciennement Azure security benchmark). Les recommandations sont organisées en groupes logiques, ce qui facilite la compréhension des types de ressources couvertes et la relation entre les paramètres et les recommandations.
- De nouvelles fonctionnalités telles que les filtres et la recherche ont été ajoutées.
- Disponibilité Générale de Defender CSPM (Cloud Security Posture Management) offrant tous les services disponibles dans le cadre des capacités CSPM fondamentales et ajoute les avantages suivants :
- Analyse des chemins d'attaque et ARG API - L'analyse des chemins d'attaque utilise un algorithme basé sur un graphe qui analyse le graphe de sécurité du cloud pour exposer les chemins d'attaque et suggère des recommandations sur la meilleure façon de remédier aux problèmes qui interrompent le chemin d'attaque et empêchent une violation réussie. Vous pouvez également utiliser les chemins d'attaque de manière programmatique en interrogeant l'API Azure Resource Graph (ARG).
- Cloud Security explorer pour exécuter des requêtes basées sur le graphique de sécurité du cloud, afin d'identifier de manière proactive les risques de sécurité dans vos environnements multicloud. En savoir plus sur l'explorateur de sécurité dans le nuage.
- Microsoft Defender for Cloud offre la possibilité de créer des recommandations et des normes personnalisées pour AWS et GCP à l'aide de requêtes KQL. Vous pouvez utiliser un éditeur de requêtes pour construire et tester des requêtes sur vos données. Cette fonctionnalité fait partie du plan Defender CSPM (Cloud Security Posture Management).
- Microsoft Defender for Cloud annonce que la version 1.0 du Microsoft cloud security benchmark (MCSB) est maintenant disponible (GA). La version 1.0 du MCSB remplace la version 3 de l'Azure Security Benchmark (ASB) en tant que politique de sécurité par défaut de Microsoft Defender for Cloud pour identifier les vulnérabilités de sécurité dans vos environnements cloud conformément aux cadres de sécurité communs et aux meilleures pratiques. MCSB version 1.0 apparaît comme la norme de conformité par défaut dans le tableau de bord de conformité et est activée par défaut pour tous les clients de Defender for Cloud.
- Nouvelle recommandation pour Azure SQL Server, le mode d'authentification d'Azure SQL Server devrait être Azure Active Directory Only (Preview). Cette recommandation désactive les méthodes d'authentification locales et autorise uniquement l'authentification Azure Active Directory, ce qui améliore la sécurité en garantissant que les bases de données Azure SQL ne sont accessibles qu'aux identités Azure Active Directory.
- Nouvelle alerte dans Defender for Key Vault : Denied access from a suspicious IP to a key vault (KV_SuspiciousIPAccessDenied). Une tentative d'accès au coffre-fort des clés a été effectuée par une adresse IP qui a été identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Bien que cette tentative ait échoué, elle indique que votre infrastructure pourrait avoir été compromise. Nous vous recommandons de poursuivre vos investigations.
Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs