La procédure ne prend que quelques minutes et est totalement guidée depuis l’onglet « Services Cloud » sur Stoïk Protect :
- Activer le scan de Cloud pour Microsoft Azure
- Activer le scan de Cloud pour Amazon Web Service (AWS)
Activer le scan de Cloud pour Microsoft Azure
Rendez-vous sur https://portal.azure.com/ et connectez-vous avec votre compte administrateur.
Méthode automatique (uniquement si vous avez un abonnement azure outre Office365)
Ouvrez la console Azure en cliquant sur l'icône Shell en haut de votre écran (illustré dans la capture d'écran ci-dessous). Un terminal devrait s'ouvrir en bas de votre écran :
Copiez et collez le code ci-dessous dans la console et appuyez sur Entrée :
$stoik = (Get-AzADServicePrincipal -DisplayName "Stoïk Cloud Scanner")
$Subscriptions = Get-AzSubscription
foreach ($sub in $Subscriptions) {
az role assignment create --assignee $stoik.id --role "acdd72a7-3385-48ef-bd42-f606fba81ae7" --scope /subscriptions/$sub
az role assignment create --assignee $stoik.id --role "39bc4728-0917-49c7-9d2c-d95423bc2eb4" --scope /subscriptions/$sub
az role assignment create --assignee $stoik.id --role "73c42c96-874c-492b-b04d-ab87d138a893" --scope /subscriptions/$sub
}
$context=Get-AzContext
Connect-AzureAD -TenantId $context.Tenant.TenantId -AccountId $context.Account.Id
Add-AzureADDirectoryRoleMember -ObjectId $(Get-AzureADDirectoryRole | Where-Object {$_.DisplayName -eq "Global Reader"} | foreach {$_.ObjectId}) -RefObjectId $stoik.id
Add-AzureADDirectoryRoleMember -ObjectId $(Get-AzureADDirectoryRole | Where-Object {$_.DisplayName -eq "Security Reader"} | foreach {$_.ObjectId}) -RefObjectId $stoik.id
$resourceId = $Get-AzureADServicePrincipal -All $true | Where-Object {$_.DisplayName -eq "Microsoft Graph"}
New-AzureADServiceAppRoleAssignment -Id 230c1aed-a721-4c5d-9cb4-a90514e508ef -ResourceId $resourceId -ObjectId $resourceId -PrincipalId $stoik.id
Méthode manuelle (si vous avez uniquement un Azure AD, commencez tout de suite à l'étape 8).
- Sur la console Azure, cliquez sur Abonnements dans la catégorie Naviguer :
2. Sélectionnez l'abonnement que vous souhaitez analyser en cliquant sur son nom et sélectionnez Contrôle d'accès (IAM) dans le panneau de gauche :
3. Cliquez sur Ajouter puis sur Ajouter une attribution de rôle :
4. Sélectionnez le rôle Lecteur puis cliquez sur l'onglet Membre :
5. Cliquez sur Sélectionner un membre et recherchez un membre appelé Stoïk Cloud Scanner. Sélectionnez le et validez en cliquant sur Select :
6. Cliquez deux fois sur Review + assign en bas de votre écran :
7. Répétez les étapes 3 à 6 pour les rôles Lecteur sécurité et Lecteur Log Analytics.
8. Recherchez Stoïk Cloud Scanner dans la barre de recherche supérieure. Un résultat devrait apparaître dans la catégorie Azure Active Directory comme illustré ci-dessous. Sélectionnez le en cliquant dessus :
9. Cliquez sur Permissions dans le panneau de gauche et cliquez sur Grant admin consent for Stoïk :
10.Une nouvelle fenêtre s'ouvre, vérifiez qu'une coche bleue se trouve à côté du nom STOIK sous le nom de l'application et cliquez sur Accepter :
11. Ouvrez le menu de gauche en cliquant sur les trois barres en haut à gauche et sélectionnez Azure Active Directory :
12. Dans le menu de gauche, sélectionnez Rôles et administrateurs :
13. Recherchez le rôle Lecteur Général et cliquez dessus :
14. Cliquez sur Ajouter des affectations et recherchez Stoïk Cloud Scanner. Sélectionnez-le et cliquez sur Ajouter :
15. Répétez cela avec le Lecteur Sécurité.
16. Cliquez sur Terminer dans Stoïk Control.
Activer le scan de Cloud pour Amazon Web Service (AWS)
Pour AWS, tout se pilote depuis l’interface Amazon, cela requiert d’être Administrateur du compte AWS. Il vous suffit de suivre la procédure détaillée sur Stoïk Protect lorsque vous choisissez AWS comme fournisseur.
Relancer le scan de Cloud
Le scan de Cloud de Stoïk Protect audite l’infrastructure Cloud de l’entreprise assurée de manière automatisée, chaque jour : nul besoin de le relancer !