Configurer les fonctionnalités Azure Defender pour serveurs
Les plans Defender pour serveurs de Microsoft Defender pour le cloud contient des composants qui monitorent vos environnements afin d’offrir une couverture étendue sur vos serveurs. Vous pouvez activer, désactiver ou configurer chacun de ces composants en fonction de vos besoins spécifiques.
| Composant | Disponibilité | Description | En savoir plus |
|---|---|---|---|
| Agent Log Analytics | Plan 1 et Plan 2 | Permet de collecter les configurations et journaux des événements liés à la sécurité de la machine et de stocker les données dans votre espace de travail Log Analytics par défaut ou personnalisé à des fins d’analyse. | En savoir plus sur l’agent Log Analytics. |
| Évaluation des vulnérabilités pour les machines | Plan 1 et Plan 2 | Active l’évaluation des vulnérabilités sur vos machines hybrides et Azure. | En savoir plus sur la façon dont Defender pour le cloud collecte des données. |
| Protection des points de terminaison | Plan 1 et Plan 2 | Permet d’activer la protection optimisée par Microsoft Defender for Endpoint, notamment le déploiement automatique d’agents sur vos serveurs et l’intégration des données de sécurité à Defender pour le cloud | Découvrez plus d’informations sur la protection des points de terminaison. |
| Analyse sans agent des machines | Plan 2 | Analyse vos machines à la recherche des logiciels installés et des vulnérabilités sans compter sur des agents ou affecter les performances de l’ordinateur. | En savoir plus sur l’analyse sans agent pour les machines. |
| Fonctionnalité Guest Configuration d’Azure Policy | Plan 2 | Fournit un ensemble de stratégies intégrées qui vous aident à évaluer et à appliquer les configurations de sécurité pour vos machines Azure, AWS, GCP et locales. | Pour en savoir plus sur la configuration des invités Azure Policy. |
Lorsque vous activez le plan 2 de Defender pour serveurs, tous ces composants basculent sur Activé par défaut.
Remarque
La mise hors service de l’agent Log Analytics (également appelé MMA) est prévue pour août 2024. Toutes les fonctionnalités de Defender pour serveurs qui dépendent de l’AMA, y compris celles décrites sur la page Activer Defender pour point de terminaison (Log Analytics), seront disponibles via l’intégration Microsoft Defender pour point de terminaison ou l’analyse sans agent, avant la date de mise hors service. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.
Configurer un agent Log Analytics
Après l’activation de l’agent Log Analytics, l’option permettant de sélectionner l’espace de travail à utiliser vous est présentée.
Pour configurer l’agent Log Analytics :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Pour l'agent Log Analytics, sélectionnez Modifier la configuration.
Sélectionnez un ou plusieurs espaces de travail par défaut ou un espace de travail personnalisé en fonction de vos besoins.
Sélectionnez Appliquer.
Sélectionnez Continuer.
Configurer l’évaluation des vulnérabilités pour les machines
L’évaluation des vulnérabilités pour les machines vous permet de choisir entre deux solutions d’évaluation des vulnérabilités :
- Gestion des vulnérabilités Microsoft Defender
- Scanneur Qualys intégré à Microsoft Defender pour le cloud
Pour sélectionner l’une des solutions d’évaluation des vulnérabilités :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Dans l'évaluation des vulnérabilités pour la ligne des machines, sélectionnez Modifier la configuration.
Dans la fenêtre Configuration du déploiement d’extension, sélectionnez l’une des solutions en fonction de vos besoins.
Sélectionnez Appliquer.
Sélectionnez Continuer.
Configurer la protection du point de terminaison
Avec Microsoft Defender pour serveurs, vous activez les protections fournies par Microsoft Defender for Endpoint sur vos ressources de serveur. Microsoft Defender for Endpoint inclut le déploiement automatique d’agents sur vos serveurs et l’intégration des données de sécurité à Defender pour le cloud.
Pour configurer la protection des point de terminaison :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Sur la ligne Endpoint Protection, positionnez le commutateur sur Activé.
Sélectionnez Continuer.
L’effet sur le déploiement de Microsoft Defender for Endpoint
L'intégration de Microsoft Defender for Endpoint est incluse dans le plan Defender pour serveurs de Defender pour le cloud. Lorsque vous activez Defender for Endpoint dans le plan, il déclenche un déploiement automatique sur des machines virtuelles affiliées sur l'abonnement. Si une machine virtuelle a déjà déployé Defender for Endpoint, elle ne sera pas redéployée.
Pour éviter les déploiements involontaires d'agents, excluez les machines virtuelles existantes individuelles avant ou en même temps que vous activez le plan au niveau de l'abonnement. Les machines virtuelles de la liste d'exclusions n'auront pas Defender for Endpoint déployé lorsque le plan est activé.
Il est recommandé d'exclure des machines virtuelles pendant ou peu après la création pour éviter les déploiements involontaires sur un abonnement avec le plan 1 ou le plan 2 déjà activé.
Remarque
Defender pour serveurs ne désinstalle pas les déploiements Defender for Endpoint lorsque vous désactivez le plan 1 ou le plan 2 au niveau de l'abonnement ou de la ressource. Pour supprimer manuellement Defender for Endpoint sur votre ordinateur, suivez les étapes de retrait des appareils.
Configurer l’analyse sans agent pour les machines
Defender pour le cloud a la possibilité d’analyser vos machines Azure à la recherche de logiciels et de vulnérabilités installés sans avoir à installer des agents, à disposer d’une connectivité réseau ou à affecter les performances de votre machine.
Pour configurer l’analyse sans agent pour les machines :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Localisez l'analyse sans agent pour la ligne des machines.
Sélectionnez Modifier la configuration.
Entrez un nom et une valeur d’étiquette pour toutes les machines à exclure des analyses.
Sélectionnez Appliquer.
Sélectionnez Continuer.
Découvrez plus d’informations sur l’analyse sans agent et sur l’activation de l’analyse sans agent sur d’autres environnements cloud.
Activer la configuration d’invité d’Azure Policy
Defender pour le cloud fournit un ensemble de stratégies intégrées qui vous aident à évaluer et à appliquer les configurations de sécurité dans vos systèmes d’exploitation pour vos machines Azure, AWS, GCP et locales. Ces stratégies sont basées sur les bonnes pratiques de l’industrie et peuvent être personnalisées pour répondre aux exigences spécifiques de votre organisation.
Prérequis
Activez le plan Defender pour les serveurs Plan 2 sur votre abonnement.
Pour en savoir plus sur la tarification de Defender pour serveurs Plan 2, passez en revue la page de tarification de Defender pour le cloud.
Consultez la matrice de prise en charge pour la configuration Invité Azure Policy.
Important
Notez que les fonctionnalités supplémentaires fournies par la configuration des invités Azure Policy, qui existent en dehors du portail Defender pour le cloud, ne sont pas incluses dans Defender pour le cloud et sont soumises aux politiques de tarification de la configuration des invités Azure Policy. Par exemple, la remédiation et les stratégies personnalisées. Pour plus d’informations, consultez la page de tarification de la configuration des invités Azure Policy.
Installez la configuration Invité Azure Policy sur vos machines.
Machines Azure : dans le portail Defender pour le cloud, dans la page des recommandations, recherchez et sélectionnez L’extension Configuration Invité doit être installée sur les machines, puis implémentez la recommandation.
Azure VMs uniquement : vous devez attribuer une identité gérée dans le portail Defender pour le cloud. Accédez à la page recommandations. Recherchez et sélectionnez L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système. Ensuite, corrigez la recommandation.
(Facultatif) VMs Azure uniquement : Activez la configuration des invités Azure Policy sur l’ensemble de votre abonnement.
Activez l’extension de configuration des invités Azure Policy sur vos machines Azure dans l’ensemble de votre abonnement :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Accédez à Paramètres d’environnement>Votre abonnement>Paramètres et surveillance.
Basculez l’agent Configuration Invité (préversion) sur Activé.
Sélectionnez Continuer.
GCP et AWS : la configuration Invité Azure Policy est automatiquement installée lorsque vous connectez votre projet GCP, ou lorsque vous connectez vos comptes AWS avec le provisionnement automatique Azure Arc activé, à Defender pour le cloud.
Machines locales : La configuration des invités Azure Policy est activée par défaut lorsque vous intégrez des machines locales en tant que machine ou VM activée par Azure Arc.
Une fois activée, Defender pour le cloud évaluera automatiquement la configuration de vos machines virtuelles par rapport aux configurations de sécurité prédéfinies, et identifiera toute déviation ou mauvaise configuration qui pourrait poser un risque pour votre environnement. Defender pour le cloud crée des recommandations pour chaque problème identifié et fournit des conseils sur la façon de corriger les recommandations.
État de la fonctionnalité Defender pour serveurs
Defender pour le cloud vous offre la possibilité de vérifier si vos ressources sont activées sur Defender pour le cloud.
Pour vérifier l'état de couverture de vos ressources :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Sélectionnez le stock.
Recherchez la colonne Defender pour le cloud :
Remarque
Les paramètres de Defender pour serveurs destinés à chaque ressource sont hérités par défaut des paramètres au niveau de l'abonnement. Une fois que vous avez modifié les paramètres au niveau de la ressource, celle-ci n’hérite plus des paramètres de son abonnement parent, à moins que vous ne supprimiez les paramètres que vous avez configurés.
Vous pouvez également vérifier la couverture de tous vos abonnements et ressources à l'aide du classeur Couverture.
Désactiver le plan ou les fonctionnalités Defender pour serveurs
Pour désactiver le plan Defender pour serveurs ou l'une des fonctionnalités du plan, accédez à la page Paramètres d'environnement de l'abonnement ou de l'espace de travail approprié et positionnez le commutateur approprié sur Désactivé.
Remarque
Lorsque vous désactivez le plan Defender pour serveurs sur un abonnement, il ne le désactive pas sur un espace de travail. Pour désactiver le plan sur un espace de travail, vous devez accéder à la page plans de l'espace de travail et positionner le commutateur sur Désactivé.
Désactiver Defender pour serveurs au niveau de la ressource
Pour désactiver le plan Defender pour serveurs ou l'une des fonctionnalités du plan, accédez à l'abonnement ou à l'espace de travail et positionnez le bouton dédié au plan sur Désactivé.
Au niveau de la ressource, vous pouvez activer ou désactiver Defender pour serveurs plan 1. Le plan 2 ne peut être désactivé qu'au niveau de la ressource
Par exemple, il est possible d'activer Defender pour serveurs plan 2 au niveau de l'abonnement et de désactiver des ressources spécifiques au sein de l'abonnement. Vous ne pouvez pas activer le plan 2 uniquement sur des ressources spécifiques.