Découvertes Microsoft Azure

Deux types de découvertes Microsoft Azure sont supportées :

Les découvertes de réseau virtuel Microsoft Azure, qui parcourent les ressources hébergées sur Azure telles que les machines virtuelles. Les actifs découverts étant remontés par adresse, il est possible de les enregistrer par la suite en tant que connexions mode sans-agent
Les découvertes Microsoft Entra ID (anciennement Azure AD), qui listent l’ensemble des appareils enregistrés dans l’annuaire Microsoft Entra, où qu’ils soient hébergés. Cette découverte permet d’avoir une vue étendue des actifs disponibles. Il est également possible de réaliser des scans externes sur les appareils gérés par Microsoft Intune

Ces deux types de découvertes utilisent le même type d’identifiants, quoique les permissions requises sont différentes.

Prérequis

Réseau virtuel Microsoft Azure

Les identifiants d’API Azure à savoir :
- L’ID de locataire Microsoft
- L’ID d’application (de client)
- Le secret du client
Une inscription d’application avec les droits d’accès en lecture du parc
Pour enregistrer les actifs découverts, l’application doit avoir les rôles suivants :
- Contributeur de compte de stockage
- Contributeur de machine virtuelle
- Rôle Contributeur d’application managée

Configurer les accès API

Pour obtenir l’ID d’application, vous devez créer à partir de la console Azure, service Microsoft Entra ID, une nouvelle inscription d’application. L’ID de locataire devrait également être affiché sur la page d’information de l’application.

Une fois l’application créée, vous devrez lui donner depuis le service Abonnements, ressource Contrôle d’accès (IAM), onglet Attributions de rôles, des accès en lecture à votre parc.

De retour sur la page de l’inscription d’application, vous pouvez créer depuis Certificats & secrets un secret client.

Les 3 informations réunies, vous pourrez créer dans Cyberwatch, menu Identifiants enregistrés, des identifiants de type Microsoft Azure.

Créer une découverte de réseau virtuel Microsoft Azure

Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Microsoft Azure
Saisir le nom donné au scan de découverte
Sélectionner les éventuels groupes associés au scan
Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération)
Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré
Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts
Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois
Optionnel - Sélectionner un identifiant de connexion mode sans-agent
Cliquer sur Confirmer

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Enregistrer les actifs découverts

Les actifs découverts peuvent être enregistrés en mode sans-agent de la manière suivante :

Depuis le menu Découvertes, accéder à la liste des actifs découverts en cliquant sur le lien Afficher les actifs découverts
Sélectionner les actifs à ajouter
Cliquer sur Actions groupées > Scanner avec des connexions mode sans-agent
Sélectionner un type de connexion Microsoft Azure API et un jeu d’identifiant de type Microsoft Azure. Ce type de connexion doit être autorisée dans le menu Administration > Gestion des connecteurs en cochant la case Microsoft Azure API

Précisions :

Pour utiliser le connecteur Microsoft Azure API, l’application liée au jeu d’identifiants doit avoir les rôles suivants
- Contributeur de compte de stockage
- Contributeur de machine virtuelle
- Rôle Contributeur d’application managée
Les champs adresse, région et resource_group_name de la connexion mode sans-agent seront pré-remplis avec le nom de domaine, la région et le resource_group_name de l’actif
Il est également possible d’ajouter l’actif directement sans passer par une découverte en utilisant Connexion mode sans-agent > Ajouter et en sélectionnant le type Microsoft Azure API