Catégorie : Azure

ACR | Activer la Géo-réplication

Hello,

Dans cet article nous allons voir ensemble comment activer la géo-réplication de votre registry « Azure Container Registry ».

Il est fortement recommander d’activer la géo-réplication que cela soit pour votre plan de reprise d’activité ou encore dans l’éventualité où la région Azure ou vous avez déployé votre registry n’est plus disponible (Interruption de service par exemple).

Je vous invite à sélectionner le service Azure Container Registry depuis le portail Azure puis à sélectionner votre registry. Attention, cette fonctionnalité n’est disponible qu’avec le SKU Premium. Dans cet exemple, notre registry se trouve dans la région Canada Central.

Dans la catégorie « Services », on sélectionne « Replications ».

On sélectionne notre région de destination, dans cet exemple la région France Central.

Nous avons désormais la confirmation que notre registry est bien répliquée avec la région France Central.

Si nous explorons notre ressource group, nous pouvons constater que nous avons deux nouveaux objets de type : « Container registry replication », un dans la région Canada Central et un autre dans la région France Central.

Maxime.

Azure Security Center | Notification des alertes

Hello,

Dans cet article nous allons voir ensemble comment configurer les notifications de vos alertes détectées par la fonctionnalité Advanced Threat Protection (ATP).

Pour cela je vous donne rendez-vous dans la console Azure Security Center, puis je vous invite à sélectionner « Pricing & settings », ainsi que vous souscription Azure.

Sélectionner « Email notifications », puis dans le champs « email address », saisir votre adresse de courriel. Enfin sélectionner « On » pour « Send email notification for high severity alerts » et cliquer sur « Save » pour sauvegarder vos modifications.

Ci-dessous un exemple de courriel que j’ai pu recevoir:

Enfin, je vous invite à consulter mon article sur comment générer des alertes au sein d’Azure Security Center afin de tester le fonctionnement de vos notifications.

Maxime.

Advanced Threat Protection pour Azure Key Vault (AKV)

Bonjour,

Dans cet article, je vais vous présenter comment activer le service Advanced Threat Protection pour Azure Key Vault (AKV), dans Azure Security Center. Ceci service est public preview au moment où j’écris cet article.

L’objectif du service Advanced Threat Protection (ATP) est de vous fournir une série d’alertes de sécurité pour le service Key Vault. Nous pouvons retrouver par exemple.

AlerteDescription
Accès à partir d’un nœud de sortie TOR dans un coffre de clés Key VaultL’accès au coffre de clés Key Vault a été effectué par une personne qui utilise le système d’anonymisation IP pour masquer son emplacement. Les utilisateurs malveillants essaient souvent de masquer leur emplacement lorsqu’ils tentent d’accéder de façon non autorisée aux ressources connectées à Internet.
Modification de stratégie suspecte et requête secrète dans un coffre de clés Key VaultDes opérations destinés à répertorier et/ou obtenir des clés secrètes ont eu lieu après une modification apportée à la stratégie Key Vault. En outre, ce modèle d’opération n’est généralement pas exécuté par l’utilisateur sur ce coffre. Cela indique clairement que le coffre de clés Azure Key Vault est compromis et que les clés secrètes ont été volées par un acteur malveillant.
Liste des clés et requête suspectes auprès d’un coffre de clés Key VaultUne opération de liste secrète a été suivie de nombreuses opérations d’extraction de secret. En outre, ce modèle d’opération n’est généralement pas exécuté par l’utilisateur sur ce coffre. Cela indique qu’un utilisateur peut vider les secrets stockés dans le coffre de clés Key Vault à des fins malveillantes.
Une paire utilisateur-application inhabituelle a accédé à un coffre de clés Key VaultUn jumelage utilisateur-application a accédé au coffre de clés Key Vault alors qu’il n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, après une mise à jour d’infrastructure ou de code). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Une application inhabituelle a accédé à un coffre de clés Key VaultUne application a accédé au coffre de clés Key Vault alors qu’elle n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, après une mise à jour d’infrastructure ou de code). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Un utilisateur inhabituel a accédé à un coffre de clés Key VaultUn utilisateur a accédé au coffre de clés Key Vault alors qu’il n’y accède pas normalement. Il peut s’agir d’une tentative d’accès légitime (par exemple, un nouvel utilisateur ayant besoin d’un accès a rejoint l’organisation). Cela peut également indiquer que votre infrastructure est compromise et qu’un acteur malveillant tente d’accéder à votre coffre de clés Key Vault.
Modèle d’opération inhabituelle dans un coffre de clés Key VaultUn ensemble inhabituel d’opérations Key Vault a été effectué par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.
Volume élevé d’opérations dans un coffre de clés Key VaultUne plus grande quantité d’opérations Key Vault a été effectuée par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.
L’utilisateur a accédé à un grand nombre de coffres de clésLe nombre de coffres auxquels accède un utilisateur ou une application a changé par rapport aux données d’historique. L’activité Key Vault n’évolue généralement pas au fil du temps. Il peut s’agir d’une modification légitime de l’activité. Votre infrastructure peut également être compromise, ce qui nécessite des investigations supplémentaires.

Afin d’activer cette fonctionnalité au sein de Azure Security Center, je vous donne rendez-vous au sein du service. Puis je vous invite à sélectionner « Pricing & settings », ainsi que vous souscription Azure.

Enfin sélectionner le plan « Standard » et cliquer sur « Enabled » pour le type de ressource: Key Vaults (Preview).

Maxime.