Configuration de Microsoft Defender pour le stockage pour la détection des menaces sur les données

Configuration de Microsoft Defender pour le stockage pour la détection des menaces sur les données

01/08/2025

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et l’optimisation de Microsoft Defender pour le stockage. Dans un scénario où le stockage des données dans le cloud est essentiel aux opérations, la protection de ces données contre les cybermenaces est primordiale. Defender for Storage fournit une couche de sécurité native Azure, détectant les activités inhabituelles et les logiciels malveillants potentiels dans les comptes de stockage, garantissant ainsi l'intégrité et la confidentialité des données [1].

Présentation

Les comptes de stockage Azure (Blob Storage, File Storage, Data Lake Storage, etc.) sont des référentiels essentiels pour un large éventail de données, des sauvegardes et fichiers journaux aux données d'application et informations sensibles. La protection de ces actifs est cruciale, car une violation peut entraîner des pertes financières, une atteinte à la réputation et des problèmes de conformité. Les attaques courantes contre les comptes de stockage incluent le téléchargement de logiciels malveillants, les accès non autorisés, l'exfiltration de données et la manipulation de données [2].

Microsoft Defender for Storage, qui fait partie de Microsoft Defender for Cloud, est une solution de sécurité basée sur le cloud qui fournit une détection intelligente et contextualisée des menaces pour les comptes de stockage Azure. Il surveille en permanence l'activité des comptes de stockage pour identifier les comportements suspects tels que l'accès depuis des emplacements inhabituels, les tentatives d'exfiltration de données, les téléchargements de logiciels malveillants et les activités de cryptominage. De plus, il offre des fonctionnalités avancées telles que l'analyse en temps réel des logiciels malveillants pour les blobs et la détection des menaces pour les données sensibles [3].

Ce guide pratique couvrira l'activation de Defender for Storage au niveau de l'abonnement et du compte de stockage, la configuration des alertes de sécurité, l'activation de l'analyse des logiciels malveillants et la détection des menaces pesant sur les données sensibles. Des instructions étape par étape, des exemples pratiques et des explications concises seront fournis afin que le lecteur puisse implémenter, tester et valider ces fonctionnalités. De plus, des conseils de sécurité, des contrôles de conformité et des bonnes pratiques seront abordés pour garantir que vos comptes de stockage sont protégés contre les dernières menaces de manière autonome, professionnelle et fiable.

Pourquoi Microsoft Defender pour le stockage est-il crucial ?

  • Détection complète des menaces : identifie un large éventail de menaces, notamment les logiciels malveillants, les accès suspects, l'exfiltration de données et les activités de cryptomining.
  • Analyse des logiciels malveillants en temps réel : analyse les blobs téléchargés en temps réel, à l'aide des renseignements sur les menaces de Microsoft, pour détecter et bloquer les fichiers malveillants avant qu'ils ne puissent causer des dommages.
  • Détection des menaces liées aux données sensibles : utilise des mécanismes de classification des données pour identifier les activités suspectes autour des données sensibles stockées, telles qu'un accès non autorisé ou un mouvement inhabituel.
  • Alertes de sécurité exploitables : génère des alertes de sécurité détaillées dans Microsoft Defender pour Cloud, fournissant des recommandations contextuelles et correctives.
  • Intégration native avec Azure : s'intègre de manière transparente à l'écosystème Azure, en tirant parti d'Azure Monitor et de Log Analytics pour la surveillance et l'analyse.
  • Conformité : permet de répondre aux exigences de conformité réglementaire qui nécessitent la protection et la surveillance des données stockées.

Prérequis

Pour configurer Microsoft Defender pour le stockage, vous aurez besoin des éléments suivants :

  1. Abonnement Azure actif : un abonnement Azure pour créer et gérer des ressources.
  2. Accès administrateur : un compte avec le rôle de « Propriétaire », « Contributeur » ou « Administrateur de sécurité » sur l'abonnement ou le groupe de ressources où se trouvent les comptes de stockage.
  3. Comptes de stockage Azure existants : comptes de stockage (Blob, File, Data Lake Gen2) que vous souhaitez protéger.

Étape par étape : configuration de Microsoft Defender pour le stockage

Activons Defender pour le stockage et configurons ses fonctionnalités.

1. Activation de Defender pour le stockage au niveau de l'abonnement

La meilleure pratique consiste à activer Defender for Storage au niveau de l’abonnement pour protéger automatiquement tous les comptes de stockage existants et futurs.

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Connectez-vous avec unle compte qui dispose des autorisations nécessaires.
  3. Dans le champ de recherche supérieur, tapez « Microsoft Defender for Cloud » et sélectionnez-le dans les résultats.
  4. Dans le volet de navigation gauche de Defender pour Cloud, sélectionnez Paramètres d'environnement.
  5. Sélectionnez l'abonnement pour lequel vous souhaitez activer Defender pour le stockage.

  6. Sur la page des plans Defender, recherchez « Stockage » et basculez le statut sur « Activé ».

  7. Cliquez sur « Paramètres » pour le plan de stockage pour consulter les options avancées.

    • Analyse des logiciels malveillants lors du téléchargement : assurez-vous que cette option est « Activée ». Cela permet d’analyser les logiciels malveillants en temps quasi réel pour les blobs téléchargés.
    • Détection des menaces liées aux données sensibles : assurez-vous que cette option est « Activée ». Cela permet de détecter toute activité suspecte autour de données sensibles.
    • Événements de sécurité pour Azure Storage : assurez-vous que cette option est « Activée ». Cela permet de surveiller les accès et les activités du réseau.

  8. Cliquez sur Enregistrer.

    • Explication : L'activation de Defender pour le stockage au niveau de l'abonnement garantit que tous les comptes de stockage au sein de cet abonnement (existants et nouveaux) sont protégés. Les paramètres par défaut incluent la recherche de logiciels malveillants dans les téléchargements et la détection des menaces pesant sur les données sensibles.

2. Vérification de Defender pour l'état du stockage sur un compte spécifique

Bien qu'activé dans l'abonnement, il est bon de vérifier l'état des comptes individuels.

  1. Dans le portail Azure, accédez à l'un de vos comptes de stockage.
  2. Dans le volet de navigation gauche du compte de stockage, sous « Sécurité + Réseau », sélectionnez Microsoft Defender for Cloud.
  3. Vous devriez voir que l'état de « Microsoft Defender pour le stockage » est « Activé ».

3. Configuration des alertes et notifications de sécurité

Les alertes sont essentielles pour informer les équipes de sécurité des menaces détectées.

  1. Dans le volet de navigation gauche de Defender pour Cloud, sélectionnez Alertes de sécurité.

  2. Ici, vous pouvez afficher toutes les alertes générées par Defender for Storage et d’autres solutions Defender for Cloud.

  3. Pour configurer les notifications par e-mail pour les alertes, dans le volet de navigation de gauche de Defender pour Cloud, sélectionnez Paramètres d'environnement.

  4. Sélectionnez abonnement.
  5. Dans le volet de navigation de gauche, sélectionnez Notifications par e-mail.
  6. Ajoutez les adresses e-mail des administrateurs de sécurité qui doivent recevoir les alertes.
  7. Définissez le niveau de gravité des alertes pour lesquelles vous souhaitez recevoir des notifications (par exemple « Élevé », « Moyen »).
  8. Cliquez sur Enregistrer.

4. Configuration de l'analyse des logiciels malveillants (analyse des logiciels malveillants lors du téléchargement) et de la détection des menaces liées aux données sensibles

Ces fonctionnalités sont activées par défaut lors de l'activation de Defender pour le stockage dans l'abonnement, mais peuvent être ajustées par compte de stockage si nécessaire.

  1. Accédez à un compte de stockage spécifique dans le portail Azure.
  2. Dans le volet de navigation de gauche, sous « Sécurité + Réseau », sélectionnez Microsoft Defender for Cloud.
  3. Cliquez sur « Paramètres ».
  4. Vous pouvez voir les options « Rechercher les logiciels malveillants dans les téléchargements » et « Détecter les menaces liées aux données sensibles ».
  5. Assurez-vous que les deux options sont « Activées » pour ce compte de stockage si vous avez besoin d'une configuration de niveau d'abonnement différente.
  6. Cliquez sur Enregistrer.

Validation et tests

Il est crucial de tester l’efficacité de Defender for Storage pour s’assurer qu’il détecte et avertit des menaces attendues.

1. Test de détection des logiciels malveillants (analyse lors du téléchargement)

  1. Scénario : téléchargez un fichier de test de malware inoffensif (tel que le fichier EICAR, qui est un modèle de test antivirus) dans un conteneur blob du compte de stockage protégé.
    • Vous pouvez obtenir le fichier EICAR sur https://www.eicar.org/download-and-test/.
    • Créez un fichier texte avec le contenu suivant et enregistrez-le sous « eicar.com.txt » : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  2. Action attendue : Defender for Storage doit détecter le fichier EICAR comme un logiciel malveillant et générer une alerte de sécurité.
  3. Vérification :
    • Dans le portail Azure, accédez à Microsoft Defender for Cloud > Alertes de sécurité.
    • Recherchez une alerte intitulée « Malware détecté dans un conteneursystème de stockage ou similaire. L'alerte doit fournir des détails sur le fichier, le conteneur et le compte de stockage.

2. Test de détection d'activités suspectes (exfiltration de données)

La simulation de l’exfiltration de données est plus complexe et doit être réalisée dans un environnement de test isolé. On peut cependant simuler un accès inhabituel qui pourrait générer une alerte.

  1. Scénario : accédez au compte de stockage à partir d'une adresse IP ou d'un emplacement géographique qui n'est généralement pas utilisé par votre organisation. Par exemple, utilisez un VPN pour simuler un accès depuis un autre pays.
  2. Action attendue : Defender pour le stockage peut générer une alerte concernant un « accès inhabituel à un compte de stockage » ou une « activité d'accès suspecte ».
  3. Vérification :
    • Dans le portail Azure, accédez à Microsoft Defender for Cloud > Alertes de sécurité.
    • Recherchez les alertes liées à une activité d'accès anormale.

3. Test de la détection des menaces liées aux données sensibles

Pour tester la détection des données sensibles, vous aurez besoin de données classées comme sensibles dans votre compte de stockage et effectuerez une activité que Defender pour le stockage considérerait comme suspecte pour ces données. Par exemple, un grand nombre de téléchargements de documents contenant des informations de carte de crédit.

  1. Scénario : Téléchargez des fichiers texte dans un conteneur blob contenant des modèles de données sensibles (par exemple, des numéros de carte de crédit fictifs, des numéros de sécurité sociale fictifs). Simulez ensuite un accès ou un téléchargement groupé de ces fichiers.
  2. Action attendue : Defender for Storage peut générer des alertes telles que « Accès inhabituel aux données sensibles » ou « Exfiltration potentielle de données sensibles ».
  3. Vérification :
    • Dans le portail Azure, accédez à Microsoft Defender for Cloud > Alertes de sécurité.
    • Recherchez les alertes liées aux données sensibles.

Conseils de sécurité et bonnes pratiques

  • Activer au niveau de l'abonnement : dans la mesure du possible, activez Defender pour le stockage au niveau de l'abonnement afin de garantir une couverture complète et automatique pour tous les comptes de stockage.
  • Examiner et ajuster les alertes : surveillez les alertes générées par Defender pour le stockage. Ajustez les paramètres de notification et étudiez les faux positifs pour affiner la détection.
  • Intégration SIEM/SOAR : intégrez les alertes Defender pour Cloud (y compris les alertes Defender pour stockage) à votre SIEM (par exemple, Microsoft Sentinel) et SOAR pour une vue centralisée de la sécurité et de l'automatisation de la réponse aux incidents.
  • Principe du moindre privilège : assurez-vous que seules les entités nécessaires (utilisateurs, applications) ont accès aux comptes de stockage et avec le moins de privilèges possible.
  • Chiffrement au repos et en transit : pendant que Defender pour le stockage protège contre les menaces, assurez-vous que vos données sont toujours chiffrées au repos (par défaut dans Azure Storage) et en transit (à l'aide de HTTPS).
  • Contrôle d'accès au réseau : utilisez des pare-feu de stockage, des points de terminaison de service ou des points de terminaison privés pour restreindre l'accès réseau à vos comptes de stockage.
  • Éducation des utilisateurs : sensibilisez les utilisateurs aux risques liés au téléchargement de fichiers malveillants et à l'importance de signaler les activités suspectes.

Dépannage courant

  • Defender for Storage n'est pas activé :
    • Vérifiez que le plan « Stockage » est « Activé » dans Microsoft Defender pour Cloud, à la fois au niveau de l'abonnement et au niveau du compte de stockage s'il est configuré individuellement.
    • Confirmez que l'abonnement dispose de la licence appropriée (souvent incluse avec Security Center Standard).
  • Les alertes ne sont pas générées :
    • Vérifiez que les paramètres de notification par e-mail sont corrects dans Security Center.
    • Confirmez que les journaux de diagnostic du compte de stockage sont envoyés à Log Analytics (le cas échéant). Bien que Defender for Storage ne s’appuie pas directement sur les journaux de diagnostic pour générer des alertes, ils sont utiles pour les investigations.
    • Assurez-vous que l'activité que vous testez déclenche réellement une règle de détection Defender for Storage. Certaines activités peuvent être considérées comme normales selon le contexte.
  • Faux positifs (alertes pour activité légitime) :
    • Enquêter sur l'alerte sur le portailDefender for Cloud pour comprendre la raison de l’alerte.
    • S'il s'agit d'une activité légitime, vous pouvez supprimer l'alerte (avec prudence) ou ajuster les paramètres de votre compte de stockage/application pour éviter que l'activité ne soit signalée comme suspecte. * Fournissez des commentaires à Microsoft sur les faux positifs pour aider à améliorer les renseignements sur les menaces.
  • L'analyse des logiciels malveillants ne fonctionne pas :
    • Assurez-vous que « Télécharger l'analyse des logiciels malveillants » est « Activé » dans les paramètres de Defender pour le stockage pour le compte concerné.
    • Confirmez que le fichier que vous téléchargez est un type de fichier pris en charge pour l'analyse des logiciels malveillants (en particulier les blobs).
    • Il peut y avoir un léger retard dans la génération des alertes après le téléchargement du fichier.

Conclusion

Microsoft Defender for Storage est une solution incontournable pour protéger les données stockées dans Azure contre le paysage des menaces en constante évolution. En activant et en configurant correctement leurs capacités de détection des logiciels malveillants, de surveillance des activités et de détection des menaces liées aux données sensibles, les organisations peuvent renforcer considérablement leur posture de sécurité dans le cloud. La capacité d’identifier et d’alerter sur les activités suspectes en temps réel permet une réponse rapide aux incidents, minimisant ainsi l’impact des violations potentielles. Grâce à ce guide pratique, les professionnels de la sécurité et les administrateurs informatiques seront bien équipés pour configurer, valider et gérer Microsoft Defender for Storage, garantissant ainsi que leurs données les plus précieuses restent sécurisées et conformes.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour le stockage ?. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-introduction [2] Microsoft Apprendre. Menaces et alertes de sécurité de Defender for Storage. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-threats-alerts [3] Microsoft Apprendre. Déployez Microsoft Defender pour le stockage. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-storage-plan [4] Microsoft Apprendre. Analyse des logiciels malveillants de téléchargement de Microsoft Defender pour le stockage. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/on-upload-malware-scanning [5] Microsoft Apprendre. Configurez l'analyse des logiciels malveillants dans Microsoft Defender pour le stockage. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-configure-malware-scan [6] Microsoft Apprendre. Activez Microsoft Defender pour le stockage à l'aide du portail Azure. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-azure-portal-enablement