- 1. Comment accéder à Azure Security Center
- 2. Comment configurer la collecte de données dans Azure Security Center
- 3. Comment configurer une politique de sécurité dans Azure
- 4. Comment afficher l'état de configuration d'une machine virtuelle avec Azure Security Center
- 5. Comment afficher les menaces détectées avec Azure Security Center
Microsoft Azure est une plate-forme cloud développée par Microsoft, à travers laquelle il sera possible d'accéder à la création et à l'administration de centaines de ressources telles que des machines virtuelles ou des applications de Microsoft et certaines d'Ubuntu; permettant à ces types de ressources d'être non seulement disponibles, mais leur environnement est sûr et disponible à tout moment et de n'importe où avec le support de Microsoft.
Outre les ressources que nous pouvons créer et gérer, Microsoft Azure nous fournit une série d'outils et d'utilitaires pour faciliter le travail dans ledit environnement et l'un d'eux est Azure Security Center, grâce auquel nous sommes dans un centre de contrôle pour surveiller et surveiller toute anomalie que le système peut présenter et ainsi agir avec précision en évitant tout type d'attaque qui pourrait survenir.
C'est pour cette raison qu'aujourd'hui Solvetic expliquera ce qu'est Azure Security Center et comment nous pouvons l'implémenter dans Azure.
Qu'est-ce qu'Azure Security Center ?Azure Security Center a été développé et intégré à Azure en tant qu'option de gestion de la sécurité unifiée, qui fournit une protection avancée contre les menaces ciblant les charges de travail cloud.
Certains des avantages que nous avons lors de la mise en œuvre de cette fonctionnalité Azure
- Possibilité d'appliquer des directives afin de garantir le respect des normes de sécurité.
- Surveillez la sécurité des charges de travail locales et cloud.
- Capacité à trouver et à corriger les vulnérabilités avant qu'il ne soit trop tard.
- Possibilité d'utiliser des outils d'analyse avancés et des renseignements sur les menaces pour détecter les attaques sur le réseau.
- Possibilité d'utiliser les contrôles d'accès et d'application pour bloquer les activités non fiables dans le système.
Lorsque nous choisirons de déployer Azure Security Center, il sera possible d'avoir accès à une vue unifiée et centralisée de la sécurité des différentes charges de travail en local et dans le cloud. Il sera également possible de découvrir et d'intégrer automatiquement de nouvelles ressources Azure et d'appliquer des politiques de sécurité.
L'utilisation de cet outil Azure intégré facilite la tâche de surveiller la sécurité des machines, des réseaux et des services Azure grâce aux évaluations de sécurité qui y sont intégrées, qui affichent les données nécessaires pour effectuer pleinement les informations requises.
Azure Security Center est disponible dans deux types d'accès qui sont :
LibreAvec cette version nous avons accès à :
- Politique de sécurité, évaluation et recommandations.
- Solutions partenaires connectées.
StandardCela nous donne accès à :
- Politique de sécurité, évaluation et recommandations.
- Solutions partenaires connectées.
- Recherche et collecte d'événements de sécurité.
- Accès à CM Just-in-Time.
- Contrôles d'application adaptatifs.
- Détection avancée des menaces.
- Alertes intégrées et personnalisées.
- Informations sur les menaces.
Désormais, si nous optons pour la version standard, les prix d'utilisation par ressource seront :
Machines virtuelles0,017 € / serveur / heure, Données incluses - 500 Mo / jour
Services d'application0,017 € / instance App Service / heure
BD SQL0,018 € / serveur / heure
MySQL (Aperçu)0,009 € / serveur / heure
PostgreSQL (Aperçu)0,009 € / serveur / heure
Stockage (Aperçu)0 € / 10 000 opérations
En résumé, Azure Security Center nous permet d'identifier divers problèmes liés à la configuration des machines virtuelles et de détecter les menaces de sécurité qui leur sont redirigées. Ce groupe de discussion comprend des machines virtuelles qui n'ont pas de groupes de sécurité réseau, des disques durs non chiffrés et des attaques RDP par force brute.
1. Comment accéder à Azure Security Center
Étape 1
Pour avoir accès à Azure Security Center, il faut tout d'abord aller sur le lien suivant et s'y inscrire avec les identifiants respectifs :
Une fois là-bas, on va dans le menu latéral et on clique sur la section Security Center :
AGRANDIR
Étape 2
En cliquant là, la fenêtre suivante s'affichera. Comme on peut le voir, par défaut le Security Center est désactivé. Nous y trouvons un bref résumé de leurs actions et pour l'activer, nous cliquons sur le bouton "Démarrer".
AGRANDIR
Étape 3
Ensuite, nous serons redirigés vers la fenêtre suivante. À ce stade, nous devons installer les agents Security Center qui nous permettent de recevoir des alertes de sécurité sur les changements et les menaces dans les machines virtuelles, cliquez sur le bouton "Installer les agents" pour continuer le processus.
AGRANDIR
Étape 4
Une fois cela fait, nous verrons l'environnement suivant directement dans la section "Informations générales":
On y trouve des détails tels que :
- Nombre de directives mises en œuvre et leur conformité respective.
- Statut des ressources actives dans Azure.
- Niveau de score attribué par Azure pour les problèmes de sécurité.
AGRANDIR
Étape 5
L'un des avantages de cet utilitaire est que Security Center ne se limite pas à la détection de données afin de générer des recommandations, mais si une ressource, étant les machines virtuelles l'une des plus utilisées, ne possède aucun des paramètres de sécurité, tels que en tant que sous-réseaux ou groupes de sécurité, Security Center se charge automatiquement de créer une recommandation avec les étapes respectives de leur correction. Nous le voyons dans la section "Recommandations":
Dans cette section, nous trouvons ces aspects
- Suivi détaillé des ressources.
- Description de la recommandation générée.
- Impact de la recommandation.
- Type de ressource affectée.
AGRANDIR
2. Comment configurer la collecte de données dans Azure Security Center
Afin d'accéder aux configurations de sécurité dans les machines virtuelles, vous devez configurer la collecte de données de l'utilitaire Security Center, pour cela vous devez activer la collecte de données qui installe automatiquement le Microsoft Monitoring Agent dans toutes les machines virtuelles créées dans l'abonnement utilisé.
Étape 1
Pour activer cette collecte de données, nous irons dans le panneau "Centre de sécurité" et là nous devons cliquer sur la section "Politique de sécurité" et nous verrons ce qui suit. Les abonnements actifs y seront affichés, il faut maintenant sélectionner l'abonnement à modifier.
AGRANDIR
Étape 2
Dans la fenêtre suivante, nous allons cliquer sur le bouton « Attribuer une politique de sécurité » :
AGRANDIR
Étape 3
La fenêtre suivante s'affichera où nous devons affecter les paramètres que nous considérons nécessaires. Une fois cette opération terminée, nous cliquons sur le bouton "Enregistrer pour appliquer les modifications".
AGRANDIR
Étape 4
Maintenant, dans la fenêtre principale, nous devons cliquer sur la ligne "Modifier la configuration" et nous verrons ce qui suit. Là, nous cliquons sur le bouton "Activé".
AGRANDIR
Étape 5
La série d'options suivante s'affichera lorsque nous configurons les éléments suivants :
- Dans le champ "Dans les paramètres de l'espace de travail par défaut", nous activons la case "Utiliser les espaces de travail" créée par "Centre de sécurité" (valeur par défaut)
- Dans le champ "Événements de sécurité", nous activons l'option par défaut "Commun".
AGRANDIR
3. Comment configurer une politique de sécurité dans Azure
Des politiques de sécurité ont été développées pour définir les éléments avec lesquels Security Center peut collecter des données et sur cette base, générer des recommandations. Différentes stratégies de sécurité peuvent être appliquées à plusieurs ensembles de ressources Azure et, par défaut, les ressources Azure sont évaluées par rapport à tous les éléments de la stratégie.
Pour configurer ces politiques, il faut aller dans la section "Politiques de sécurité" et y activer ou désactiver les éléments de la politique auxquels vous souhaitez appliquer l'abonnement.
4. Comment afficher l'état de configuration d'une machine virtuelle avec Azure Security Center
Lorsque nous avons terminé le processus d'activation de la collecte de données et qu'une politique de sécurité a été définie, l'utilitaire Security Center lancera le processus de génération d'alertes et de recommandations. De cette façon, lorsque les machines virtuelles sont déployées, l'agent de collecte de données est automatiquement installé et après ce Security Center sera rempli avec les données des nouvelles machines virtuelles.
Au fur et à mesure que les données sont collectées, elles seront ajoutées à l'état des ressources de chaque machine virtuelle et des ressources Azure associées et celles-ci seront représentées dans un graphique utile pour les tâches d'administration.
Les différentes recommandations disponibles dans Azure sont :
Activer la collecte de données d'abonnementCela vous permet d'activer la collecte de données dans la politique de sécurité pour chaque abonnement et pour toutes les machines virtuelles de l'abonnement.
Activer le chiffrement pour votre compte Azure StorageCette recommandation nous demande d'activer le chiffrement du service de stockage Azure pour les données au repos. Le chiffrement du service de stockage (SSE) fonctionne en chiffrant les données telles qu'elles sont écrites dans le stockage Azure et en les déchiffrant avant la récupération. SSE est uniquement disponible pour le service Azure Blob et peut être utilisé pour les blobs de blocs, les blobs de pages et les blobs de pièces jointes.
Corriger les paramètres de sécuritéCette recommandation vous permet de gérer les configurations ISO avec les règles de configuration recommandées.
Appliquer les mises à jour du systèmeIl recommande de déployer des mises à jour critiques et des systèmes de sécurité sur les machines virtuelles.
Application de contrôle d'accès au réseau juste à tempsCette recommandation indique que l'accès à la machine virtuelle Just-In-Time doit être appliqué. La fonctionnalité Just-In-Time est toujours en préversion et disponible dans le niveau standard de Security Center.
Redémarrer après la mise à jour du systèmeIndique qu'une machine virtuelle doit être redémarrée afin de terminer le processus d'application des mises à jour du système.
Installer la protection des points de terminaisonIl est recommandé de provisionner des programmes anti-programme malveillant sur les machines virtuelles (s'applique uniquement aux machines virtuelles Windows).
Activer l'agent de machine virtuelleCette recommandation indique que l'agent VM doit être déployé. L'agent de machine virtuelle doit être installé sur les machines virtuelles pour provisionner la détection des correctifs, la détection de base et les programmes anti-programme malveillant.
Appliquer le chiffrement du disqueCe message indique que les disques de la machine virtuelle doivent être chiffrés à l'aide d'Azure Disk Encryption (machines virtuelles Linux et Windows), pour des raisons de sécurité, il est recommandé de chiffrer à la fois les volumes de données et ceux du système d'exploitation dans la machine virtuelle.
Mettre à jour la version du système d'exploitationRecommande de mettre à jour la version du système d'exploitation pour le service cloud vers la dernière version disponible pour la famille du système d'exploitation utilisé.
Évaluation des vulnérabilités non installéeA travers cette recommandation, il est demandé d'installer une solution d'évaluation de vulnérabilité dans la machine virtuelle.
Corrections de vulnérabilitésCette recommandation vous permet de visualiser les vulnérabilités à la fois du système et des applications où la solution d'évaluation des vulnérabilités installée dans la machine virtuelle a été détectée.
Utilisation de la dernière version prise en charge de Java pour les applications WebIl est recommandé d'utiliser la dernière version de Java pour les dernières classes de sécurité.
Étape 1
Pour voir ce type d'informations dans Azure, nous devons aller dans le panneau Security Center et là aller dans la section "Processus" et applications, dans la fenêtre suivante nous allons dans l'onglet "VM et ordinateurs" où nous verrons ce qui suit. Là, nous verrons un résumé de l'état de configuration de toutes les machines virtuelles créées.
AGRANDIR
Étape 2
Nous pouvons cliquer sur l'un d'eux pour accéder à des informations plus complètes :
AGRANDIR
Étape 3
En fonction du type de recommandation, nous pouvons voir un environnement différent. Grâce à ce panneau, nous pouvons procéder à l'exécution des recommandations Azure.
AGRANDIR
Étape 4
En cliquant sur l'un d'eux, nous verrons, dans ce cas, ce qui suit :
AGRANDIR
Étape 5
Dans d'autres types de recommandations, nous verrons ce qui suit :
AGRANDIR
Étape 6
En sélectionnant la machine virtuelle affectée nous aurons la possibilité de corriger cette erreur et ainsi garantir un meilleur score au niveau de la sécurité :
AGRANDIR
5. Comment afficher les menaces détectées avec Azure Security Center
Security Center peut afficher des alertes de détection de menaces avec lesquelles, en tant qu'administrateurs, nous pouvons disposer d'une ressource de gestion supplémentaire. Cette fonctionnalité d'alerte de sécurité est chargée d'agréger les données collectées à partir de chaque machine virtuelle, les journaux du réseau Azure et les solutions partenaires connectées pour détecter les menaces de sécurité sur les ressources Azure.
Cette fonctionnalité utilise trois paramètres de base qui sont :
Intelligence intégrée sur les menacesQui recherche les éléments malveillants qui utilisent des informations sur les menaces mondiales provenant des produits et services Microsoft, de la Digital Crime Unit (DCU) de Microsoft, du Microsoft Security Response Center (MSRC) et d'autres sources externes.
Analyse du comportementAvec quels modèles connus sont appliqués pour détecter les comportements malveillants.
Détection d'une anomalieQui utilise la génération de profils statistiques pour créer une base de référence historique.
Certaines des menaces qu'Azure peut détecter sont
- Exécution de processus suspects.
- Défilement latéral et reconnaissance interne.
- Malware caché et tentatives d'exploitation.
- Malware caché et tentatives d'exploitation.
- Sortez des attaques.
Pour activer cette fonction, nous devons aller au Centre de sécurité et là aller dans la section "Politique de sécurité", puis nous allons dans "Configuration" et là nous sélectionnons "Plan tarifaire" où nous verrons ce qui suit. Nous sélectionnons le plan "Standard" et cliquons sur "Enregistrer" pour appliquer les modifications.
AGRANDIR
Lorsque le plan tarifaire a été modifié, le graphique des alertes de sécurité commencera le processus de remplissage des alertes au fur et à mesure que des menaces de sécurité sont détectées.
AGRANDIR
De cette façon, Azure Security Center est une solution complète et complète pour toutes les tâches de gestion et de contrôle de la sécurité dans les ressources Azure, facilitant les actions administratives de tout type d'organisation.