Présentation de Azure Security Center

Un peu de Sécurité sur le Cloud Microsoft Azure,

Je vais présenter dans cet article la fonction Azure Security Center et vous montrer quelques-unes de ses fonctionnalités.

Présentation de la solution Azure Security Center

Azure Security Center est une console permettant de centraliser la gestion de la sécurité et offre des outils de protection avancée contre les menaces sur le Cloud de Microsoft Azure.

Afin d’activer cette fonctionnalité, il faut ouvrir une session sur votre portail Azure avec un compte ayant les privilèges Security Admin

Voici le lien vers Microsoft expliquant les rôles RBAC :

https://docs.microsoft.com/fr-fr/azure/active-directory/users-groups-roles/directory-assign-admin-roles

Rechercher ensuite Azure Security Center où cliquer sur Azure Security Center dans le volet gauche de la console d’administration.

Vous avez la possibilité de la tester gratuitement durant 30 jours

Cliquer ensuite sur Start trial afin d’activer la fonctionnalité.

Lancer ensuite Azure Security Center. La vue globale vous donne la visibilité sur la santé de votre infrastructure et les possibles failles de sécurité que vous devrez corriger.

Je vous invite à cliquer ensuite sur Security Alert sous le menu Smart Protection. Nous pouvons voir ci-dessous une attaque Brute Force sur un de nos serveurs d’infrastructure.

  • Une attaque par force brute est une tentative visant à craquer un mot de passe ou un nom d'utilisateur via un processus d'essais et d'erreurs.

De ce fait une personne a essayé à plusieurs reprises de se connecter sur ce serveur en essayant différents login et mot de passe sans succès.

Les alertes dans Azure Security Center sont classées en différentes catégories, High, Medium et Low

La liste contient les informations suivantes :

  • Le nom de l’attaque,
  • Le nombre de fois ou la ressources a été attaqué
  • L’heure où celle-ci a été détecté
  • L’environnement
  • Le statut
  • La sévérité

En cliquant sur celle-ci nous avons une explication plus détaillée sur l’attaque détectée par Azure Security Center

Ce qui est intéressant avec Azure Security Center, c’est qu’il nous donne des pistes de remédiation sur les attaques rencontrées

Mise en place de Azure Sentinel

Nous allons maintenant mettre en place une alerte personnalisée. Dans la console Azure Security Center.  Pour cela, cliquer sur Custom Alerte Rule sous le menu Threat Protection.

Cliquer ensuite sur Launch Azure Sentinel afin de la mettre en place.

  • Microsoft Azure Sentinel est une solution SIEM (security event information management, « Gestion de l'information des événements de sécurité ») native dans le cloud, offrant une analytique avancée de l'intelligence artificielle et de la sécurité.

Lorsque vous souhaitez activer une fonctionnalité Azure, vous devez faire attention si celle-ci est disponible dans la région de votre ressource groupe sans quoi vous ne pourrez la mettre en place.

Azure Sentinel se base sur un espace de travail Azure Log Analytics pour fonctionner, il faut donc s’assurer lors de la création de cet espace que l’on soit dans une région ou Azure Sentinel est disponible.

Log Analytics va nous permettre de collecter la donnée, en l’occurrence les logs et de les analyser avec Azure Sentinel.

Voici le lien pour connaître la disponibilité des services Azure par région.

Source : https://azure.microsoft.com/fr-fr/global-infrastructure/services/

Maintenant que notre espace de travail Log Analytics est créé dans la bonne région, nous cliquons sur Add Azure Sentinel

Création d’une alerte personnalisée

Nous cliquons ensuite sur Analytics sous Configuration puis sur Add afin de créer notre alerte.

Nous allons maintenant créer une règle, dans notre exemple, nous seront alerté si trop d’objets sont créés dans notre souscription.

Ci-dessous le code :

AzureActivity

| where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"

| where ActivityStatus == "Succeeded"

| make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

Renseigner les champs suivants, nécessaires à la création de votre alerte :

  • Nom de la règle
  • Description de l’alerte
  • Spécifier le code de l’alerte
  • Spécifier ensuite le trigger d’alerte

Puis valider la règle

Il est possible d’installer les plugins Azure Sentinel afin de le connecter avec l’Active Directory. Pour cela, cliquer sur DashBoard puis spécifier les plugins qui vous intéresse en cliquant sur Install dans le volet de droite.

Une fois le plugin installé, cliquer sur View DashBoard

Il est possible de connecter Sentinel avec nos outils en cliquant sur Data Connector sous le menu Configuration puis sélectionner Azure Security Center

Une fois les tableaux de bords installés, il est possible de lancer les requêtes prédéfinies afin d’identifier des menaces. Pour cela cliquer sur Hunting dans le bandeau de gauche, sélectionner la requête souhaitée puis cliquer sur Run Query pour l’exécuter.

Retourner maintenant sur Azure Security Center, en cliquant sur Azure Security Center dans le menu de gauche. Cliquer sur Secure Score sous Policy Compliance puis cliquer sur View Recommandations

Cette vue vous donne les recommandations de Microsoft afin de sécuriser votre infrastructure Cloud avec les points à corriger.

En cliquant sur un des points, ici le MFA, vous avez une analyse plus approfondie, avec la description de l’alerte, les informations et les corrections à apporter.

Cliquer ensuite sur Regulatory Compliance. Cette vue, vous permet de connaître les exigences et les corrections à apporter afin d’être en conformité avec différentes normes de sécurité

Sous Resources Security Hygiene, cliquer sur Recommandations. Les recommandations listées ici reprennent l’ensemble des sous-menu (Compute, Apps,Networking, IAM…)

Mise en place d’une règle automatisée

Nous allons ici exécuter un playbook pour configurer des réponses automatisées dans Sentinel. Pour cela, cliquez sur Playbook sous le menu Automation Orchestration

Cliquer ensuite sur Add Playbook afin de construire votre alerte personnalisée.

Après quelques minutes votre Logic Apps est disponible.

Cliquer maintenant sur Blank Logic Apps pour créez un playbook vide, dans le champ Rechercher, tapez Azure Sentinel, puis sélectionnez When a response to an Azure Sentinel alerte is triggered Une fois créé, le nouveau playbook s’affiche dans la liste Playbooks.

Cliquer ensuite sur New Step afin de créer les actions de votre Logic Apps comme par exemple envoyer un mail lorsqu’une alerte est détectée.

Concepteur d’application logique
Concepteur d’application logique

Pour approfondir sur les fonctionnalitées de Azure Security Center, je vous invite à prendre connaissance du cours suivant sur Udemy : https://www.udemy.com/mastering-azure-security-center/

Vous pouvez aussi consulter le livre suivant, disponible chez Amazon : https://www.amazon.fr/Microsoft-Azure-Security-Center-Practices-ebook/dp/B07D5J97JV