Tailwind Traders prévoit d’adopter une posture de cloud hybride. Cette transition rend son environnement plus complexe que lorsque les charges de travail étaient déployées uniquement sur site. De plus, la configuration de la sécurité et de la télémétrie pour ces charges de travail devient de plus en plus complexe.

Dans cette unité, vous apprendrez comment Tailwind Traders peut surveiller la configuration de ses charges de travail locales et cloud, et être alerté de toute activité suspecte. Vous apprendrez également comment Tailwind Traders peut simplifier les mises à jour de ses systèmes d’exploitation de serveurs locaux et cloud.

Qu’est‑ce que Microsoft Defender for Cloud ?

Microsoft Defender for Cloud vous permet d’évaluer la configuration de sécurité de différentes charges de travail. Vous pouvez utiliser Microsoft Defender for Cloud pour :

• Mettre en œuvre des bonnes pratiques de sécurité dans l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS), les données et les ressources locales.
• Suivre la conformité de la configuration de sécurité par rapport aux normes réglementaires.
• Protéger les données en identifiant des activités suspectes, comme des schémas associés à l’exfiltration de données.
• Classifier les données hébergées dans des bases de données SQL.

Dans les environnements hybrides, Defender for Cloud peut être intégré à l’agent Log Analytics pour collecter les événements des journaux d’événements, la télémétrie de suivi d’événements et les fichiers de vidage de plantage. Defender for Cloud peut ensuite analyser ces données pour faire des suggestions ou générer des alertes qui peuvent être transmises au système SIEM (Security Information and Event Management) de l’organisation.

Tailwind Traders dispose de différents outils qu’elle utilise pour évaluer si la configuration de sécurité de ses charges de travail Windows Server et Linux est conforme aux normes tierces publiées. À mesure qu’elle adopte davantage de technologies hybrides, Tailwind Traders peut utiliser Microsoft Defender for Cloud pour surveiller et corriger la configuration de sécurité de son système d’exploitation de serveurs locaux et de son déploiement croissant de charges de travail cloud.

Présentation de Microsoft Sentinel

Microsoft Sentinel permet aux organisations dotées de solutions cloud hybrides d’ingérer de la télémétrie provenant des journaux d’événements de sécurité locaux et cloud. Microsoft Sentinel est à la fois une solution SIEM et une solution SOAR (orchestration, automatisation et réponse en matière de sécurité).

Les solutions SIEM stockent et analysent les données des journaux et la télémétrie des événements qu’elles reçoivent de sources externes. Microsoft Sentinel prend en charge l’ingestion de données provenant de sources locales, Azure et de clouds tiers, y compris d’autres systèmes SIEM.
Les solutions SOAR vous permettent d’orchestrer l’analyse des données. Elles vous aident à créer une réponse automatisée aux menaces connues.

L’image suivante montre une architecture hybride Microsoft Sentinel.

Microsoft Sentinel peut effectuer les tâches suivantes lorsqu’il prend en charge des environnements hybrides :

• Collecter des données provenant de tous les utilisateurs, appareils, applications et infrastructures, sur site et depuis plusieurs clouds.
• Utiliser l’intelligence artificielle et l’apprentissage profond pour identifier une activité potentiellement malveillante dans les données d’événements.
• Détecter les menaces en analysant les données d’événements sur la base de signatures d’attaque générées par la recherche en sécurité de Microsoft.
• Automatiser la réponse aux incidents ayant des caractéristiques connues à l’aide de manuels opérationnels de sécurité.

Microsoft Sentinel inclut des tableaux de bord intégrés (workbooks) qui vous aident à analyser les données et peuvent vous fournir des recommandations. Vous pouvez ainsi comprendre rapidement une télémétrie de sécurité suspecte sans avoir à la trier pour tenter de comprendre ce qu’elle signifie. Vous pouvez également importer ou utiliser des tableaux de bord personnalisés. Les tableaux de bord sont basés sur l’expérience d’autres chercheurs en sécurité qui ont trouvé des méthodes efficaces d’analyse de télémétrie de sécurité différentes de celles incluses dans Microsoft Sentinel.

Tailwind Traders possède un système SIEM local qui collecte et analyse des données de journaux d’événements provenant de différents ordinateurs et appareils. Alors que ce SIEM suffisait lorsque Tailwind Traders n’avait qu’un déploiement sur site, l’adoption de Microsoft Sentinel permet à Tailwind Traders d’étendre cette capacité à son cloud hybride.

Tailwind Traders est susceptible de connecter sa solution SIEM existante à Microsoft Sentinel. Cette connexion fournit à l’entreprise les avantages de l’IA et de l’apprentissage profond de Microsoft Sentinel sans avoir à modifier de manière significative la configuration locale existante.

Qu’est‑ce que Azure Automation Update Management ?

Azure Automation Update Management vous permet de gérer les mises à jour de vos systèmes d’exploitation serveur locaux et cloud à l’aide d’une console unique dans le cloud. Update Management fonctionne avec les charges de travail Microsoft Windows Server et les charges de travail des systèmes d’exploitation Linux pris en charge s’exécutant physiquement ou virtuellement.

Update Management peut utiliser Microsoft Update ou Windows Server Update Services (WSUS) comme source de mises à jour pour les systèmes d’exploitation Windows Server. Update Management peut également utiliser un dépôt de packages Linux public ou personnalisé pour les mises à jour du système d’exploitation Linux. Update Management vous permet de déterminer les mises à jour actuellement manquantes sur les systèmes d’exploitation enregistrés.

Le diagramme suivant montre comment Update Management s’intègre avec Azure Automation et les espaces de travail Log Analytics.

Lorsque vous configurez un déploiement de mises à jour, vous spécifiez :

• Si le déploiement de mise à jour cible des ordinateurs Windows ou Linux, vous ne pouvez pas cibler les deux types en même temps.
• Les serveurs enregistrés spécifiques que vous souhaitez cibler avec le déploiement.
• La classification des mises à jour qui doivent être installées.
• Indique si des mises à jour spécifiques doivent être incluses ou exclues du déploiement.
• La planification du déploiement, y compris si le déploiement doit être effectué périodiquement.
• Les scripts pré‑mise à jour et post‑mise à jour qui doivent être exécutés.
• La durée maximale de la fenêtre de maintenance, les 20 dernières minutes de la fenêtre étant dédiées au redémarrage du système.
• Les options de redémarrage qui déterminent si le système doit redémarrer, si cela est nécessaire pour que les mises à jour terminent leur installation.

L’entreprise dispose de WSUS et d’autres outils pour gérer les mises à jour de ses systèmes d’exploitation Windows et Linux sur site. Si vous configurez les charges de travail du système d’exploitation des machines virtuelles IaaS (sur site et dans le cloud) pour se connecter à la mise à jour logicielle Azure, Tailwind Traders peut s’assurer que tous les systèmes d’exploitation hébergeant des charges de travail critiques restent à jour.