Page 74 of 159

Azure Sentinel – Introduction

26 octobre 2019 / zigmax / 0 Comments

Bonjour,

Dans cet article, je vous propose de vous une première introduction à la solution Azure Sentinel

Azure Sentinel est un SIEM et un SOAR. Pour rappel un SIEM est une solution de gestion et de corrélation de vos journaux, alors qu’un SOAR est une solution d’orchestration, d’automatisation et de réponse.

Le service Azure Sentinel vous offre désormais un solution SIEM + SOAR as-a-service. L’avantage d’une telle solution est d’avoir une solution scalable a vos besoins, c’est à dire vous n’allez payer uniquement que pour les données qui sont traités et ainsi vous allez vous affranchir une énorme investissement à réaliser avec l’achat d’une solution SIEM traditionnelle.

Pour consulter la tarification de la solution Azure Sentinel, je vous invite à consulter le lien suivant: https://azure.microsoft.com/fr-ca/pricing/details/azure-sentinel/

Le service Azure Sentinel fonctionne avec l’aide du service Azure Log Analytics, afin d’activer le service Azure Sentinel vous allez avoir besoin d’un Workspace existant.

Azure Sentinel va vous permettre de vous connecter à de multiples sources de données :

Ansi que des solutions externes via l’aide d’un agent, ci-dessous quelques exemples :

Pare-feu, proxys et points de terminaison :
Solutions DLP
Fournisseurs de renseignement sur les menaces
Machines DNS : agent installé directement sur la machine DNS
Serveurs Linux
Autres cloud

Quelques liens:

Azure Sentinel – https://azure.microsoft.com/fr-ca/services/azure-sentinel/
Azure Sentinel Wiki – https://github.com/Azure/Azure-Sentinel/wiki/Educational-Resources
Azure Sentinel Documentation – https://docs.microsoft.com/fr-fr/azure/sentinel/

Dans un prochain article nous verrons ensemble comment initialiser le service Azure Sentinel.

Maxime.

Certification Azure Security Engineer (AZ-500)

17 octobre 2019 / zigmax / 0 Comments

Bonjour,

Dans cette article, je vais vous présenter les ressources qui sont disponibles afin de préparer votre certification Azure Security Engineer (AZ-500).

Pour commencer, je vous invite à consulter les objectifs de la certification :

https://www.microsoft.com/en-us/learning/exam-az-500.asp

Je vous invite à consulter l’excellent guide préparation réalisé par Stanislas Quastana :

https://stanislas.io/2019/04/25/preparation-guide-for-microsoft-az-500-microsoft-azure-security-technologies-certification/

Vous pouvez également retrouver les cours suivants :

Enfin, je vous invite également à visionner mon cours sur la sécurité dans Azure disponible en français sur la plateforme Linkedin Learning.

https://www.linkedin.com/learning/microsoft-azure-la-securite/bienvenue-dans-microsoft-azure-la-securite

Je vous souhaite un excellent succès!

Maxime.

AKS | Pod Security Policy (PSP)

25 septembre 2019 / zigmax / 0 Comments

Bonjour,

Dans cet article nous allons voir ensemble comment activer la fonctionnalité de « Pod Security Policy » connue également sous le nom de PSP dans un cluster AKS.

PodSecurityPolicy est un contrôleur d’admission qui confirme si une spécification de pod répond à vos besoins définis. Ces exigences peuvent limiter l’utilisation de conteneurs privilégiés, l’accès à certains types de stockage, ou l’utilisateur/groupe sous lequel le conteneur peut s’exécuter.

Lorsque vous tentez de déployer une ressource où les spécifications de pod ne répondent pas aux exigences décrites dans la stratégie de sécurité des pods, la requête est refusée. Ce contrôle sur les pods pouvant être planifiés dans le cluster AKS empêche d’éventuelles vulnérabilités de sécurité ou des escalades de privilèges.

Control Aspect	Field Names
Running of privileged containers	`privileged`
Usage of host namespaces	`hostPID`, `hostIPC`
Usage of host networking and ports	`hostNetwork`, `hostPorts`
Usage of volume types	`volumes`
Usage of the host filesystem	`allowedHostPaths`
White list of FlexVolume drivers	`allowedFlexVolumes`
Allocating an FSGroup that owns the pod’s volumes	`fsGroup`
Requiring the use of a read only root file system	`readOnlyRootFilesystem`
The user and group IDs of the container	`runAsUser`, `runAsGroup`, `supplementalGroups`
Restricting escalation to root privileges	`allowPrivilegeEscalation`, `defaultAllowPrivilegeEscalation`
Linux capabilities	`defaultAddCapabilities`, `requiredDropCapabilities`, `allowedCapabilities`
The SELinux context of the container	`seLinux`
The Allowed Proc Mount types for the container	`allowedProcMountTypes`
The AppArmor profile used by containers	annotations
The seccomp profile used by containers	annotations
The sysctl profile used by containers	`forbiddenSysctls`,`allowedUnsafeSysctls`

Activer la fonctionnalité PSP dans un cluster AKS existant:

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed 
az extension update --name aks-preview

az feature register --name PodSecurityPolicyPreview --namespace Microsoft.ContainerService

az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/PodSecurityPolicyPreview')].{Name:name,State:properties.state}"

az provider register --namespace Microsoft.ContainerService

# Enable Pod Security Policy
az aks update \
     --resource-group myResourceGroup \
     --name myAKSCluster \
     --enable-pod-security-policy

Documentations :

https://docs.microsoft.com/fr-fr/azure/aks/use-pod-security-policies

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

ZiGMaX IT Blog

Page 74 of 159

Azure Sentinel – Introduction

Certification Azure Security Engineer (AZ-500)

AKS | Pod Security Policy (PSP)

Articles récents