Az - Defender

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Microsoft Defender for Cloud

Microsoft Defender for Cloud est une solution de gestion de la sécurité complète qui couvre Azure, les environnements sur site et multi-cloud. Elle est classée comme une Cloud-Native Application Protection Platform (CNAPP), combinant les capacités de Cloud Security Posture Management (CSPM) et de Cloud Workload Protection (CWPP). Son objectif est d’aider les organisations à trouver des erreurs de configuration et des points faibles dans les ressources cloud, à renforcer la posture de sécurité globale et à protéger les charges de travail contre les menaces évolutives sur Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), les configurations hybrides sur site et plus encore.

En termes pratiques, Defender for Cloud évalue en continu vos ressources par rapport aux meilleures pratiques et normes de sécurité, fournit un tableau de bord unifié pour la visibilité et utilise une détection avancée des menaces pour vous alerter des attaques. Les principaux avantages incluent une vue unifiée de la sécurité à travers les clouds, des recommandations exploitables pour prévenir les violations et une protection intégrée contre les menaces qui peut réduire le risque d’incidents de sécurité. En prenant en charge AWS et GCP ainsi que d’autres plateformes SaaS de manière native et en utilisant Azure Arc pour les serveurs sur site, il garantit que vous pouvez gérer la sécurité en un seul endroit pour tous les environnements.

Key Features

  • Recommendations: Cette section présente une liste de recommandations de sécurité exploitables basées sur des évaluations continues. Chaque recommandation explique les erreurs de configuration ou les vulnérabilités identifiées et fournit des étapes de remédiation, afin que vous sachiez exactement quoi corriger pour améliorer votre score de sécurité.
  • Attack Path Analysis: L’Analyse des Chemins d’Attaque cartographie visuellement les routes d’attaque potentielles à travers vos ressources cloud. En montrant comment les vulnérabilités se connectent et pourraient être exploitées, elle vous aide à comprendre et à briser ces chemins pour prévenir les violations.
  • Security Alerts: La page des Alertes de Sécurité vous notifie des menaces en temps réel et des activités suspectes. Chaque alerte comprend des détails tels que la gravité, les ressources affectées et les actions recommandées, garantissant que vous pouvez réagir rapidement aux problèmes émergents.
  • Les techniques de détection sont basées sur l’intelligence des menaces, l’analyse comportementale et la détection d’anomalies.
  • Il est possible de trouver toutes les alertes possibles sur https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. En fonction du nom et de la description, il est possible de savoir ce que l’alerte recherche (pour la contourner).
  • Inventory: Dans la section Inventaire, vous trouvez une liste complète de tous les actifs surveillés à travers vos environnements. Elle fournit une vue d’ensemble de l’état de sécurité de chaque ressource, vous aidant à repérer rapidement les actifs non protégés ou risqués nécessitant une remédiation.
  • Cloud Security Explorer: Cloud Security Explorer offre une interface basée sur des requêtes pour rechercher et analyser votre environnement cloud. Il vous permet de découvrir des risques de sécurité cachés et d’explorer des relations complexes entre les ressources, améliorant ainsi vos capacités globales de chasse aux menaces.
  • Workbooks: Les Workbooks sont des rapports interactifs qui visualisent vos données de sécurité. En utilisant des modèles préconçus ou personnalisés, ils vous aident à surveiller les tendances, à suivre la conformité et à examiner les changements dans votre score de sécurité au fil du temps, facilitant ainsi la prise de décisions de sécurité basées sur les données.
  • Community: La section Communauté vous connecte avec des pairs, des forums d’experts et des guides de bonnes pratiques. C’est une ressource précieuse pour apprendre des expériences des autres, trouver des conseils de dépannage et rester informé des derniers développements de Defender for Cloud.
  • Diagnose and Solve Problems: Ce centre de dépannage vous aide à identifier et à résoudre rapidement les problèmes liés à la configuration ou à la collecte de données de Defender for Cloud. Il fournit des diagnostics guidés et des solutions pour garantir que la plateforme fonctionne efficacement.
  • Security Posture: La page de la Posture de Sécurité agrège votre état de sécurité global en un seul score de sécurité. Elle fournit des informations sur les domaines de votre cloud qui sont solides et ceux nécessitant des améliorations, servant de contrôle de santé rapide de votre environnement.
  • Regulatory Compliance: Ce tableau de bord évalue dans quelle mesure vos ressources respectent les normes de l’industrie et les exigences réglementaires. Il affiche des scores de conformité par rapport à des références telles que PCI DSS ou ISO 27001, vous aidant à identifier les lacunes et à suivre la remédiation pour les audits.
  • Workload Protections: Les Protections de Charge de Travail se concentrent sur la sécurisation de types de ressources spécifiques (comme les serveurs, les bases de données et les conteneurs). Elle indique quels plans Defender sont actifs et fournit des alertes et des recommandations adaptées pour chaque charge de travail afin d’améliorer leur protection. Elle est capable de détecter des comportements malveillants dans des ressources spécifiques.
  • Il y a aussi l’option Enable Microsoft Defender for X que vous pouvez trouver dans certains services.
  • Data and AI Security (Preview): Dans cette section de prévisualisation, Defender for Cloud étend sa protection aux magasins de données et aux services d’IA. Il met en évidence les lacunes de sécurité et surveille les données sensibles, garantissant que vos dépôts de données et vos plateformes d’IA sont protégés contre les menaces.
  • Firewall Manager: Le Firewall Manager s’intègre à Azure Firewall pour vous donner une vue centralisée de vos politiques de sécurité réseau. Il simplifie la gestion et la surveillance des déploiements de pare-feu, garantissant l’application cohérente des règles de sécurité à travers vos réseaux virtuels.
  • DevOps Security: La Sécurité DevOps s’intègre à vos pipelines de développement et à vos dépôts de code pour intégrer la sécurité dès le début du cycle de vie du logiciel. Elle aide à identifier les vulnérabilités dans le code et les configurations, garantissant que la sécurité est intégrée dans le processus de développement.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM) scanne et cartographie en continu les actifs exposés à Internet de votre organisation—y compris les domaines, sous-domaines, adresses IP et applications web—pour fournir une vue complète et en temps réel de votre empreinte numérique externe. Il utilise des techniques de crawling avancées, en partant de graines de découverte connues, pour découvrir automatiquement à la fois les actifs gérés et les actifs IT fantômes qui pourraient autrement rester cachés. EASM identifie des configurations risquées telles que des interfaces administratives exposées, des buckets de stockage accessibles au public et des services vulnérables à différents CVE, permettant à votre équipe de sécurité de traiter ces problèmes avant qu’ils ne soient exploités. De plus, la surveillance continue peut également montrer des changements dans l’infrastructure exposée en comparant différents résultats de scan afin que l’administrateur puisse être conscient de chaque changement effectué. En fournissant des informations en temps réel et des inventaires détaillés des actifs, Defender EASM permet aux organisations de surveiller et de suivre en continu les changements de leur exposition externe. Il utilise une analyse basée sur le risque pour prioriser les résultats en fonction de la gravité et des facteurs contextuels, garantissant que les efforts de remédiation se concentrent là où ils comptent le plus. Cette approche proactive aide non seulement à découvrir des vulnérabilités cachées, mais soutient également l’amélioration continue de votre posture de sécurité globale en vous alertant sur toute nouvelle exposition à mesure qu’elle émerge.

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks