Dans la lutte contre les menaces, Azure Defender a une place de choix car il permet de sécuriser toutes les charges de travail cloud et « on-premises », sans distinction. Comment fonctionne cet outil ? Quelles ressources peut-il protéger ? Est-ce seulement un outil de prévention ? Voici ce qu’il faut retenir.
Comment fonctionne Azure Defender ?
Azure Defender est intégré au centre de sécurité Azure (Azure Security Center). Il permet de protéger toutes les charges de travail, qu’elles soient « on-premises », dans Azure ou dans d’autres clouds (comme Amazon). Ainsi, il peut notamment être utilisé pour sécuriser des serveurs, des bases de données SQL, du stockage, des conteneurs ou encore des applications.
Le fonctionnement d’Azure Defender peut se résumer ainsi : l’outil scanne en continu toutes les charges de travail pour identifier les menaces et les vulnérabilités. Complété par des fonctionnalités XDR (détection et réponse étendues), il est capable de détecter des tentatives d’accès potentiellement malveillantes. Le cas échéant, il peut lancer des alertes ou bloquer automatiquement la menace. Azure Defender fournit également des recommandations personnalisées pour augmenter le niveau de sécurité.
Comment se passe la sécurisation de chaque charge de travail cloud ?
Type de charge de travail cloud
Azure Defender permet de protéger chaque charge de travail cloud de manière chirurgicale. En effet, il inclut des plans de défense complets pour chaque ressource. Pour sécuriser des clusters Kubernetes par exemple, la DSI passera par le plan « Azure Defender pour Kubernetes ». Il existe d’autres plans, comme ceux dédiés au SQL (sur et hors Azure), aux comptes de stockage ou encore au Key Vault.
Notez que l’activation d’Azure Defender dans Azure Security Center déclenche automatiquement la protection de l’ensemble des ressources. Il est cependant possible de choisir une couverture pour les seules charges de travail cloud ou locales concernées. A ce propos, c’est cette sélection qui déterminera la tarification d’Azure Defender (voir les détails de tarification).
Alertes et recommandations
Azure Defender déclenche automatiquement des alertes s’il détecte un accès inhabituel aux ressources. La DSI peut ainsi agir de manière guidée pour éliminer les vulnérabilités. Les alertes sont classées par ordre de priorité, ce qui permet d’aller à l’essentiel.
L’outil s’appuie sur l’analyse avancée et l’intelligence artificielle pour proposer des recommandations adaptées à chaque environnement et à chaque ressource. Celles-ci sont livrées avec toutes les étapes nécessaires, pour les mettre en place pas à pas.
Les alertes et les recommandations sont disponibles dans le tableau de bord Azure Defender :
Ce tableau de bord donne une excellente visibilité, à la fois globale et détaillée pour chaque ressource cloud. Les alertes ainsi que les suggestions d’amélioration sont consultables facilement.
Azure Defender dans la sphère de sécurité Microsoft
Dans la sphère de sécurité Microsoft (« Zero Trust »), Azure Defender est la brique permettant de protéger les infrastructures et les plates-formes cloud. Couplé à Microsoft 365 Defender (dédié à la sécurité des environnements des utilisateurs finaux ou « end points »), il devient une solution XDR à part entière. Cette dernière peut être connectée au SIEM de Microsoft, Azure Sentinel. Ce SIEM, qui offre une visibilité sur l’ensemble de l’organisation, permet de faire preuve de réactivité face aux cyberattaques.
Construite selon 3 angles complémentaires, la sphère de sécurité Microsoft vise à offrir aux organisations une expérience unifiée, intégrée, complète.