Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview de l’intégration de Defender for Cloud à Microsoft 365 Defender. Voici quelques-uns des principaux avantages :
- Une interface facile à utiliser pour les équipes SOC : Avec les alertes et les corrélations cloud de Defender for Cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d'une interface unique, ce qui améliore considérablement l'efficacité opérationnelle.
- Une seule histoire d'attaque : Les clients sont en mesure de comprendre l'histoire complète de l'attaque, y compris leur environnement cloud, en utilisant des corrélations prédéfinies qui combinent les alertes de sécurité provenant de sources multiples.
- Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge de nouvelles entités cloud propres à Microsoft Defender for Cloud, telles que les ressources cloud. Les clients peuvent faire correspondre des entités de machines virtuelles (VM) à des entités d'appareils, ce qui permet d'obtenir une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui ont été déclenchés sur cette machine.
- API unifiée pour les produits de sécurité Microsoft : Les clients peuvent désormais exporter leurs données d'alertes de sécurité vers les systèmes de leur choix à l'aide d'une API unique, car les alertes et les incidents de Microsoft Defender for Cloud font désormais partie de l'API publique de Microsoft Defender XDR.
- Disponibilité générale de l'analyse sans agent des secrets dans Defender for Servers P2 et Defender CSPM. L'analyse des secrets sans agent renforce la sécurité des machines virtuelles basées sur le cloud en identifiant les secrets en clair sur les disques des machines virtuelles. L'analyse des secrets sans agent fournit des informations complètes permettant de hiérarchiser les découvertes et d'atténuer les risques de mouvements latéraux avant qu'ils ne se produisent. Cette approche proactive empêche les accès non autorisés et garantit la sécurité de votre environnement en nuage. L'analyse secrète sans agent utilise les API du cloud pour capturer des instantanés de vos disques, en effectuant une analyse hors bande qui garantit qu'il n'y a pas d'effet sur les performances de votre VM. L'analyse secrète sans agent élargit la couverture offerte par Defender for Cloud aux ressources Cloud dans les environnements Azure, AWS et GCP afin d'améliorer la sécurité Cloud.
- Disponibilité générale de Containers Vulnerability Assessment par Microsoft Defender Vulnerability Management (MDVM) dans Defender for Containers et Defender for Container Registries.
- Disponibilité Générale du support de Google Cloud Platform dans Defender CSPM proposant notamment :
- Analyse du chemin d'attaque - Comprendre les itinéraires potentiels que les attaquants pourraient emprunter.
- Explorateur de sécurité dans le nuage - Identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur le graphe de sécurité.
- Analyse sans agent - Analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d'agent.
- Posture de sécurité consciente des données - Découvrez et corrigez les risques pour les données sensibles dans les buckets de Google Cloud Storage.
- Disponibilité Générale du tableau de bord Data Security dans le plan Defender CSPM. Le tableau de bord de la sécurité des données vous permet de visualiser le patrimoine de données de votre organisation, les risques pour les données sensibles et les informations sur vos ressources de données.
- La découverte de données sensibles pour les bases de données géréesv, y compris les bases de données Azure SQL et les instances AWS RDS (toutes les saveurs RDBMS), est désormais disponible de manière générale et permet la découverte automatique des bases de données critiques qui contiennent des données sensibles.
- Microsoft propose désormais les solutions Cloud-Native Application Protection Platforms (CNAPP) et Cloud Infrastructure Entitlement Management (CIEM) avec Microsoft Defender for Cloud (CNAPP) et Microsoft Entra Permissions Management (CIEM). Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d'accès inutilisées ou excessives dans Defender for Cloud.
- ServiceNow est désormais intégré à Microsoft Defender for Cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender for Cloud afin de prioriser la remédiation des recommandations qui affectent votre entreprise. Microsoft Defender for Cloud s'intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer et consulter des tickets ServiceNow (liés à des recommandations) à partir de Microsoft Defender for Cloud.
- En préparation de la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender for Cloud a publié un processus d'autoprovisionnement d'Azure Monitoring Agent (AMA) ciblant SQL Server. Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients, et offre également la possibilité d'activer le niveau de ressources pour les VM Azure SQL et les serveurs SQL compatibles avec Arc.
- Disponibilité générale de Defender for APIs permettant aux entreprises de protéger leurs API et leurs données contre les acteurs malveillants. Les entreprises peuvent étudier et améliorer leur position en matière de sécurité des API, donner la priorité aux corrections de vulnérabilités et détecter et répondre rapidement aux menaces actives en temps réel. Les entreprises peuvent également intégrer les alertes de sécurité directement dans leur plateforme de gestion des incidents et des événements de sécurité (SIEM), par exemple Microsoft Sentinel, afin d'étudier et de trier les problèmes.
- Les recommandations suivantes concernant l'évaluation de la vulnérabilité des conteneurs ont été renommées :
- Container registry images should have vulnerability findings resolved (powered by Qualys) en Azure registry container images should have vulnerabilities resolved (powered by Qualys)
- Running container images should have vulnerability findings resolved (powered by Qualys) en Azure running container images should have vulnerabilities resolved - (powered by Qualys)
- Elastic container registry images should have vulnerability findings resolved en AWS registry container images should have vulnerabilities resolved - (powered by Trivy)
- Vous pouvez désormais classer vos recommandations de sécurité par ordre de priorité en fonction du niveau de risque qu'elles présentent, en tenant compte à la fois de l'exploitabilité et de l'effet commercial potentiel de chaque problème de sécurité sous-jacent.
- Microsoft apporte des améliorations aux capacités d'analyse du chemin d'attaque dans Defender for Cloud.
- Nouveau moteur - l'analyse des chemins d'attaque dispose d'un nouveau moteur, qui utilise un algorithme de recherche de chemins pour détecter tous les chemins d'attaque possibles qui existent dans votre environnement cloud (sur la base des données que nous avons dans notre graphe). Nous pouvons trouver beaucoup plus de chemins d'attaque dans votre environnement et détecter des schémas d'attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
- Améliorations - Les améliorations suivantes ont été apportées :
- Hiérarchisation des risques - liste des pistes d'attaque classées par ordre de priorité en fonction du risque (exploitabilité et impact sur l'activité).
- Remédiation améliorée - mise en évidence des recommandations spécifiques qui doivent être résolues pour briser la chaîne.
- Chemins d'attaque inter-cloud - détection des chemins d'attaque inter-clouds (chemins qui commencent dans un cloud et se terminent dans un autre).
- MITRE - Mise en correspondance de tous les chemins d'attaque avec le cadre MITRE.
- Une expérience utilisateur renouvelée - une expérience renouvelée avec des capacités renforcées : filtres avancés, recherche et regroupement des chemins d'attaque pour permettre un triage plus facile.
- Le schéma de la table Azure Resource Graph (ARG) du chemin d'attaque est mis à jour. La propriété attackPathType est supprimée et d'autres propriétés sont ajoutées.
- Nouvelle version de la recommandation pour trouver les mises à jour manquantes du système est en disponibilité générale.
Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs