Conformité de la configuration données importées pour Microsoft Defender for Cloud Integration
Conformité de la configuration Importe les politiques, les tests, les sources de référence et les résultats des tests à partir d’intégrations tierces et les stocke dans des modules pour consultation.
| Terminologie antérieure à la version 14.9 | Terminologie v14.9 et ultérieures |
|---|---|
| Groupe de résultats des tests | Tâche de remédiation |
| Règles de groupe | Règles de la tâche de remédiation |
| Politique | Groupe de test |
Groupes de test
Un groupe de tests de configuration constitue un groupe de tests. Les groupes de tests sont liés à des documents et à des enregistrements de tests faisant autorité, et ils peuvent être modifiés pour répondre aux besoins de votre organisation. Un test de configuration peut appartenir à plusieurs groupes de tests.
Tests
Les tests sont des bibliothèques d’enregistrements de données qui organisent les analyses des ressources informatiques. Les tests de configuration définissent la manière dont les actifs doivent être gérés.
Un Conformité de la configuration test est le mécanisme utilisé par les applications d’intégration tierces pour regrouper les actifs par type de résultats de test.
À partir de la version 15.0 de , le groupe de Conformité de la configuration tests auquel un test appartient est renseigné dans la colonne Groupes de tests de la liste Tests.
Sources de référence
Conformité de la configuration Utilise des sources et des contenus des documents de référence faisant autorité lors de la génération d’alertes de vulnérabilité pour les tests. Les sources faisant autorité correspondent généralement à des sections de normes industrielles publiées, telles que ISO 27001 et PCI DSS 3.2.1.
Ces documents sources contiennent des références à des informations sur des problèmes connus de configuration logicielle et matérielle provenant d’experts dans le domaine de la sécurité informatique. Ils définissent les exigences en matière de politiques et de procédures de sécurité.
Ressources
- Balises de ressource : toutes les balises de ressource dans le cloud sont importées en tant que balises d’hôte dans le cadre de l’intégration de l’évaluation. Les balises dans le cloud de tout type de ressource dans le cloud sont stockées ici, que la ressource soit un hôte ou non.
- Le stockage des balises n’est pas sensible à la casse. Si une balise Tokyo est créée, une balise TOKYO ne peut pas être stockée dans la table des balises d’hôte. Tokyo et TOKYO sont considérés comme le même tag hôte. La balise importée en premier gagne.
- L’utilisation de balises d’hôte comme clé de groupe dans une règle de groupe peut avoir des résultats inattendus. Les balises d’hôte sont destinées à être utilisées uniquement dans le générateur de conditions.
- Attributs dans le cloud pour les actifs : voici les attributs dans le cloud récupérés par Microsoft Defender for Cloudles intégrations :
- Compte dans le cloud
- Région du cloud
- Type de ressource dans le cloud
- Fournisseur de services dans le cloud
Résultats de tests
Conformité de la configuration ne calcule pas les résultats des tests, mais les importe dans le cadre d’une intégration tierce. Une fois qu’ils sont visibles dans , ils sont corrigés à Conformité de la configuration l’aide de tâches de remédiation.
Si l’intégration Microsoft Defender for Cloud est installée, la tâche planifiée, intégration d’évaluation, récupère les résultats des tests. Vous pouvez afficher cette tâche planifiée en accédant à .
L’importation de l’intégration de l’évaluation est la seule intégration qui utilise le paramètre dans l’onglet Détails de l’intégrationStart Time. Toutes les autres Conformité de la configuration importations apportent toutes les données disponibles, indépendamment de Start Time.
Lorsque l’importation de l’intégration de l’évaluation est terminée, un événement est lancé pour déclencher les calculs de fin d’importation.
L’intégration d’évaluation extrait les évaluations de données uniquement s’il existe un changement d’état par rapport à la dernière exécution réussie de l’intégration pour le dernier jour par défaut. Donc, si l’évaluation échoue continuellement au cours des derniers jours, l’intégration ne récupérera pas l’évaluation, car il n’y a aucun changement d’état pour l’évaluation. Pour maintenir les résultats des tests à jour avec les évaluations Defender, une nouvelle intégration d’évaluation complète est ajoutée et extrait les données des sept derniers jours. Il s’exécute chaque semaine et extrait tous les résultats des tests qui ne sont pas réussis.
Règles de recherche de CI pour identifier les CI à partir des Microsoft Defender for Cloud intégrations
Lorsque les données sont importées à partir d’une intégration tierce, Conformité de la configuration utilise automatiquement les données de ressource pour rechercher des correspondances dans le , à l’aide des règles de Base de données de gestion des configurations (CMDB) recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement des résultats des tests afin de faciliter la correction. Les règles de recherche de CI du système de base sont disponibles pour l’ID de ressource, le nom et la catégorie S3. Pour plus d’informations sur les règles de recherche de CI, consultez Règles de verrouillage de CI pour Microsoft Defender for Cloud Integration for Security Operations.
Élément de vulnérabilité de conteneur
Lorsque l’intégration de Microsoft Defender pour le cloud est configurée, la tâche planifiée Vulnérabilités d’image de conteneur récupère les éléments vulnérables de conteneur.
Vous pouvez afficher cette tâche planifiée en accédant à : .
- Si l’heure de début est vide, l’intégration importe toutes les données de vulnérabilité de conteneur disponibles.
- Si l’heure de début est définie, l’intégration importe uniquement les données créées ou mises à jour après l’heure spécifiée.