Un peu de Sécurité sur le Cloud Microsoft Azure,
Je vais présenter dans cet article la fonction Azure Security Center et vous montrer quelques-unes de ses fonctionnalités.
Présentation de la solution Azure Security Center
Azure Security Center est une console permettant de centraliser la gestion de la sécurité et offre des outils de protection avancée contre les menaces sur le Cloud de Microsoft Azure.
Afin d’activer cette fonctionnalité, il faut ouvrir une session sur votre portail Azure avec un compte ayant les privilèges Security Admin
Voici le lien vers Microsoft expliquant les rôles RBAC :
Rechercher ensuite Azure Security Center où cliquer sur Azure Security Center dans le volet gauche de la console d’administration.
Vous avez la possibilité de la tester gratuitement durant 30 jours
Cliquer ensuite sur Start trial afin d’activer la fonctionnalité.
Lancer ensuite Azure Security Center. La vue globale vous donne la visibilité sur la santé de votre infrastructure et les possibles failles de sécurité que vous devrez corriger.
Je vous invite à cliquer ensuite sur Security Alert sous le menu Smart Protection. Nous pouvons voir ci-dessous une attaque Brute Force sur un de nos serveurs d’infrastructure.
- Une attaque par force brute est une tentative visant à craquer un mot de passe ou un nom d'utilisateur via un processus d'essais et d'erreurs.
De ce fait une personne a essayé à plusieurs reprises de se connecter sur ce serveur en essayant différents login et mot de passe sans succès.
Les alertes dans Azure Security Center sont classées en différentes catégories, High, Medium et Low
La liste contient les informations suivantes :
- Le nom de l’attaque,
- Le nombre de fois ou la ressources a été attaqué
- L’heure où celle-ci a été détecté
- L’environnement
- Le statut
- La sévérité
En cliquant sur celle-ci nous avons une explication plus détaillée sur l’attaque détectée par Azure Security Center
Ce qui est intéressant avec Azure Security Center, c’est qu’il nous donne des pistes de remédiation sur les attaques rencontrées
Mise en place de Azure Sentinel
Nous allons maintenant mettre en place une alerte personnalisée. Dans la console Azure Security Center. Pour cela, cliquer sur Custom Alerte Rule sous le menu Threat Protection.
Cliquer ensuite sur Launch Azure Sentinel afin de la mettre en place.
- Microsoft Azure Sentinel est une solution SIEM (security event information management, « Gestion de l'information des événements de sécurité ») native dans le cloud, offrant une analytique avancée de l'intelligence artificielle et de la sécurité.
Lorsque vous souhaitez activer une fonctionnalité Azure, vous devez faire attention si celle-ci est disponible dans la région de votre ressource groupe sans quoi vous ne pourrez la mettre en place.
Azure Sentinel se base sur un espace de travail Azure Log Analytics pour fonctionner, il faut donc s’assurer lors de la création de cet espace que l’on soit dans une région ou Azure Sentinel est disponible.
Log Analytics va nous permettre de collecter la donnée, en l’occurrence les logs et de les analyser avec Azure Sentinel.
Voici le lien pour connaître la disponibilité des services Azure par région.
Source : https://azure.microsoft.com/fr-fr/global-infrastructure/services/
Maintenant que notre espace de travail Log Analytics est créé dans la bonne région, nous cliquons sur Add Azure Sentinel
Création d’une alerte personnalisée
Nous cliquons ensuite sur Analytics sous Configuration puis sur Add afin de créer notre alerte.
Nous allons maintenant créer une règle, dans notre exemple, nous seront alerté si trop d’objets sont créés dans notre souscription.
Ci-dessous le code :
AzureActivity
| where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Renseigner les champs suivants, nécessaires à la création de votre alerte :
- Nom de la règle
- Description de l’alerte
- Spécifier le code de l’alerte
- Spécifier ensuite le trigger d’alerte
Puis valider la règle
Il est possible d’installer les plugins Azure Sentinel afin de le connecter avec l’Active Directory. Pour cela, cliquer sur DashBoard puis spécifier les plugins qui vous intéresse en cliquant sur Install dans le volet de droite.
Une fois le plugin installé, cliquer sur View DashBoard
Il est possible de connecter Sentinel avec nos outils en cliquant sur Data Connector sous le menu Configuration puis sélectionner Azure Security Center
Une fois les tableaux de bords installés, il est possible de lancer les requêtes prédéfinies afin d’identifier des menaces. Pour cela cliquer sur Hunting dans le bandeau de gauche, sélectionner la requête souhaitée puis cliquer sur Run Query pour l’exécuter.
Retourner maintenant sur Azure Security Center, en cliquant sur Azure Security Center dans le menu de gauche. Cliquer sur Secure Score sous Policy Compliance puis cliquer sur View Recommandations
Cette vue vous donne les recommandations de Microsoft afin de sécuriser votre infrastructure Cloud avec les points à corriger.
En cliquant sur un des points, ici le MFA, vous avez une analyse plus approfondie, avec la description de l’alerte, les informations et les corrections à apporter.
Cliquer ensuite sur Regulatory Compliance. Cette vue, vous permet de connaître les exigences et les corrections à apporter afin d’être en conformité avec différentes normes de sécurité
Sous Resources Security Hygiene, cliquer sur Recommandations. Les recommandations listées ici reprennent l’ensemble des sous-menu (Compute, Apps,Networking, IAM…)
Mise en place d’une règle automatisée
Nous allons ici exécuter un playbook pour configurer des réponses automatisées dans Sentinel. Pour cela, cliquez sur Playbook sous le menu Automation Orchestration
Cliquer ensuite sur Add Playbook afin de construire votre alerte personnalisée.
Après quelques minutes votre Logic Apps est disponible.
Cliquer maintenant sur Blank Logic Apps pour créez un playbook vide, dans le champ Rechercher, tapez Azure Sentinel, puis sélectionnez When a response to an Azure Sentinel alerte is triggered Une fois créé, le nouveau playbook s’affiche dans la liste Playbooks.
Cliquer ensuite sur New Step afin de créer les actions de votre Logic Apps comme par exemple envoyer un mail lorsqu’une alerte est détectée.
Pour approfondir sur les fonctionnalitées de Azure Security Center, je vous invite à prendre connaissance du cours suivant sur Udemy : https://www.udemy.com/mastering-azure-security-center/
Vous pouvez aussi consulter le livre suivant, disponible chez Amazon : https://www.amazon.fr/Microsoft-Azure-Security-Center-Practices-ebook/dp/B07D5J97JV