Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- L’ingestion des événements de gestion AWS CloudTrail est désormais disponible en Preview dans Microsoft Defender for Cloud. Lorsqu’elle est activée, cette fonctionnalité enrichit les capacités CIEM (Cloud Infrastructure Entitlement Management) en ajoutant le contexte d’usage réel des identités AWS, en complément des signaux existants comme Access Advisor. Elle permet notamment :
- d’identifier plus précisément les permissions inutilisées,
- de détecter les identités dormantes,
- de repérer les chemins potentiels d’escalade de privilèges.
Cette ingestion est compatible avec les comptes AWS individuels ainsi qu’avec les organisations AWS utilisant un logging centralisé.
- Dans le cadre de la dépréciation progressive de Microsoft Entra Permissions Management, Microsoft met à jour la logique de recommandations CIEM dans Defender for Cloud. Les principaux changements incluent :
- une détection des identités inactives basée sur les assignations de rôles non utilisées plutôt que sur l’activité de connexion,
- une fenêtre d’analyse étendue à 90 jours (au lieu de 45),
- l’exclusion des identités créées depuis moins de 90 jours.
Ces ajustements améliorent la précision des recommandations et réduisent le bruit opérationnel.
- L’intégration avec Endor Labs est désormais en disponibilité générale. Elle apporte une analyse SCA (Software Composition Analysis) basée sur la reachability, permettant d’identifier les vulnérabilités réellement exploitables depuis le code jusqu’à l’exécution
- Microsoft annonce la Public Preview de l’intégration native entre Defender for Cloud et GitHub Advanced Security (GHAS). Cette intégration renforce la sécurité code-to-cloud grâce à :
- l’affichage du contexte runtime MDC directement dans GHAS,
- Copilot Autofix et l’agent GitHub Copilot pour proposer des corrections validées,
- la possibilité de regrouper plusieurs correctifs dans une seule Pull Request,
- des Security Campaigns orchestrées depuis MDC pour mobiliser les équipes de développement,
- une visibilité unifiée du code jusqu’aux workloads déployés, avec attestation et traçabilité automatique.
- Le scanning des images de conteneurs directement dans les pipelines CI/CD est désormais disponible en Preview via le CLI Defender for Cloud.
- Le plan Defender CSPM étend désormais sa couverture aux workloads serverless dans Azure et AWS. Les équipes peuvent :
- inventorier les ressources serverless,
- détecter les mauvaises configurations,
- analyser les dépendances et vulnérabilités, dans le portail Azure comme dans le Defender portal.
- Les plans Defender for Containers et Defender CSPM incluent désormais l’analyse de vulnérabilités sans agent pour les conteneurs en exécution dans AKS, quel que soit le registre d’origine. Les add-ons Kubernetes et outils tiers sont également couverts.
- La fonctionnalité Kubernetes gated deployment est maintenant en disponibilité générale. Elle permet :
- de bloquer ou auditer les déploiements d’images non conformes via admission control,
- de définir des règles personnalisées pour AKS, EKS et GKE,
- d’utiliser les modes Audit ou Deny,
- de bénéficier d’un support multicloud (ACR, ECR, Artifact Registry),
- de suivre les violations directement dans Defender for Cloud.
- Microsoft ajuste temporairement la politique de rescan continu des images : les images poussées ou tirées dans les 30 derniers jours sont désormais rescannées quotidiennement.
- Defender for Containers et Defender CSPM prennent désormais en charge :
- JFrog Artifactory (Cloud),
- Docker Hub.
Cette extension permet l’analyse de vulnérabilités des images stockées dans ces registres externes via Microsoft Defender Vulnerability Management (MDVM), renforçant la posture de sécurité des chaînes CI/CD multicloud.
- Defender for Cloud identifie désormais automatiquement pour la gestion de posture de sécurité des APIs :
- les API non authentifiées,
- les API exposées à Internet,
- les API découvertes dans Azure Functions et Logic Apps.
Cette visibilité accrue permet de prioriser les risques API et de renforcer la sécurité applicative.
- Une nouvelle fonctionnalité permet d’identifier et surveiller les agents Azure AI Foundry déployés dans votre environnement, avec une analyse de posture et des risques associés.
- La gestion de la posture de sécurité pour GCP Vertex AI est désormais en disponibilité générale, offrant :
- une surveillance continue,
- des évaluations de risques,
- des recommandations exploitables pour sécuriser les workloads IA.
- Les Attacks Paths impliquant des mouvements latéraux utilisant des clés en clair ne sont désormais générés que si les ressources source et cible sont protégées par Defender CSPM. Cela peut entraîner une diminution du nombre de chemins affichés.
- Les Attack Paths incluent désormais les scénarios où des applications OAuth Microsoft Entra compromises sont utilisées pour atteindre des ressources critiques.
- Microsoft Defender for Cloud est désormais profondément intégré dans le Defender portal, unifiant :
- la posture de sécurité,
- la protection contre les menaces,
- les environnements cloud, hybrides et code.
Cette intégration élimine les silos et offre une vue unique pour les équipes SOC.
- Par conséquent, Microsoft a entamé une refonte majeure de la documentation Defender for Cloud :
- Microsoft annonce la Preview du MCSB v2, un référentiel de contrôles de sécurité à fort impact couvrant les environnements cloud mono et multicloud. Les nouveautés incluent :
- des recommandations enrichies basées sur les risques et menaces,
- des mesures Azure Policy étendues,
- des contrôles dédiés à la sécurisation des workloads IA.
Le tableau de bord de conformité permet d’évaluer les ressources selon les contrôles MCSB v2 et de suivre l’évolution de la posture.
Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs
