Sélectionner un plan Defender pour serveurs et une étendue de déploiement
Cet article vous permet de mieux comprendre le type de plan Defender pour serveurs souhaité à déployer dans Microsoft Defender for Cloud.
Avant de commencer
Cet article est le troisième du guide planification de Defender pour serveurs. Avant de commencer, passez en revue les articles précédents :
- Commencez à planifier votre déploiement.
- Passez en revue les rôles d’accès de Defender pour serveurs.
Analyse des plans
Defender pour serveurs propose deux plans payants :
Defender pour serveurs Plan 1 est le niveau de base. Il se concentre sur les fonctionnalités de protection évolutive des points de terminaison (PEPT) fournies par l’intégration de Defender for Endpoint à Defender for Cloud.
Defender pour serveurs Plan 2 fournit les mêmes fonctionnalités que Plan 1 et bien plus encore
- Analyse sans agent pour l’analyse de la posture des machines, l’évaluation des vulnérabilités, la protection contre les menaces, l’analyse des programmes malveillants et l’analyse des secrets.
- Évaluation de la conformité par rapport aux diverses normes réglementaires. Disponible avec Defender pour serveurs Plan 2 et tout autre plan payant.
- Fonctionnalités fournies par Microsoft Defender Vulnerability Management Premium.
- Avantage de l’ingestion de données gratuite pour des types de données spécifiques.
- Évaluation de la configuration de système d’exploitation par rapport aux lignes de base de la sécurité du cloud dans le Point de référence de sécurité Microsoft Cloud.
- Évaluation des mises à jour de système d’exploitation avec Azure Updates intégrées dans Defender pour serveurs.
- Le monitoring de l’intégrité des fichiers permettant d’examiner les fichiers et registres afin de détecter des modifications susceptibles d’indiquer une attaque.
- Accès juste-à-temps aux machines pour verrouiller les ports de machines et réduire les surfaces d’attaque.
- Mappage réseau pour obtenir un affichage géographique des suggestions relatives au réseau.
Pour obtenir une liste complète, passez en revue Fonctionnalités des plans Defender pour serveurs.
Décider de l’étendue du déploiement
Nous vous recommandons d’activer Defender pour serveurs au niveau de l’abonnement, mais vous pouvez activer et désactiver des plans Defender pour serveurs au niveau des ressources si vous avez besoin d’une granularité de déploiement.
| Portée | Plan 1 | Plan 2 |
|---|---|---|
| Activation pour un abonnement Azure | Oui | Oui |
| Activation pour une ressource | Oui | Non |
| Désactivation pour une ressource | Oui | Oui |
- Plan 1 peut être activé et désactivé au niveau de la ressource.
- Plan 2 ne peut pas être activé au niveau de la ressource, mais vous pouvez désactiver le plan au niveau de la ressource.
Voici quelques exemples de cas d’utilisation pour vous permettre de décider l’étendue de déploiement Defender pour serveurs.
| Cas d’utilisation | Activé dans un abonnement | Détails | Méthode |
|---|---|---|---|
| Activer pour un abonnement | Oui | Cette option est celle que nous recommandons. | Activez dans le portail. Vous pouvez également désactiver le plan pour un abonnement entier dans le portail. |
| Activer Plan 1 pour plusieurs machines | Non | Vous pouvez utiliser un script ou une stratégie afin d’activer Plan 1 pour un groupe de machines sans activer le plan pour un abonnement entier. | Dans le script, spécifiez les machines pertinentes en utilisant une balise de ressource ou un groupe de ressources. Ensuite, suivez l’instruction à l’écran. Avec la stratégie, créez l’attribution sur un groupe de ressources ou spécifiez les machines pertinentes en utilisant une balise de ressource. La balise est spécifique au client. |
| Activer Plan 1 pour plusieurs machines | Oui | Si Defender pour serveurs Plan 2 est activé dans un abonnement, vous pouvez utiliser un script ou une attribution de stratégie pour passer à une version antérieure sur Defender pour serveurs Plan 1 d’un groupe de machines. | Dans le script, spécifiez les machines pertinentes en utilisant une balise de ressource ou un groupe de ressources. Ensuite, suivez l’instruction à l’écran. Avec la stratégie, créez l’attribution sur un groupe de ressources ou spécifiez les machines pertinentes en utilisant une balise de ressource. La balise est spécifique au client. |
| Activer Plan 1 pour des machines individuelles | Non | Quand Defender pour serveurs n’est pas activé dans un abonnement, vous pouvez utiliser l’API pour activer Plan 1 pour des machines individuelles. | Utilisez le groupe d’opérations Tarifications Sécurité Microsoft Azure. Dans Mettre à jour les tarifications, utilisez une requête PUT pour définir la propriété pricingTier sur standard et le subPlan (sous-plan) sur P1. La propriété pricingTier indique si le plan est activé sur l’étendue sélectionnée. |
| Activer Plan 1 pour des machines individuelles | Oui | Quand Defender pour serveurs Plan 2 est activé dans un abonnement, vous pouvez utiliser l’API afin d’activer Plan 1 au lieu de Plan 2 pour les machines individuelles d’un abonnement. | Utilisez le groupe d’opérations Tarifications Sécurité Microsoft Azure. Dans Mettre à jour les tarifications, utilisez une requête PUT pour définir la propriété pricingTier sur standard et le subPlan (sous-plan) sur P1. La propriété pricingTier indique si le plan est activé sur l’étendue sélectionnée. |
| Désactiver un plan pour plusieurs machines | Oui/non | Qu’un plan soit activé ou désactivé dans un abonnement, vous pouvez désactiver le plan pour un groupe de machines. | Utilisez le script ou la stratégie pour spécifier les machines pertinentes en utilisant une balise de ressource ou un groupe de ressources. |
| Désactiver un plan pour des machines spécifiques | Oui/non | Qu’un plan soit activé ou désactivé dans un abonnement, vous pouvez désactiver un plan pour une machine spécifique. | Dans Mettre à jour les tarifications, utilisez une requête PUT pour définir la propriété pricingTier sur gratuit et le subPlan (sous-plan) sur P1. |
| Supprimer la configuration de plan sur des machines individuelles | Oui/non | Supprimez la configuration d’une machine pour rendre effectif le paramètre au niveau de l’abonnement. | Dans Mettre à jour les tarifications, utilisez une requête Supprimer pour supprimer la configuration. |
| Supprimer le plan pour plusieurs ressources | Supprimez la configuration d’un groupe de ressources pour rendre effectif le paramètre au niveau de l’abonnement. | Dans le script, spécifiez les machines pertinentes en utilisant un groupe de ressources ou une balise. Ensuite, suivez simplement les instructions à l’écran. |
Découvrez plus d’informations sur la façon de déployer le plan sur un abonnement et sur des ressources spécifiques.
Considérations relatives à l’espace de travail
Defender pour serveurs a besoin d’un espace de travail Log Analytics quand :
- Vous déployez Defender pour serveurs Plan 2 et que vous souhaitez profiter de l’ingestion quotidienne gratuite pour des types de données spécifiques. Plus d’informations
- Vous déployez Defender pour serveurs Plan 2 et vous utilisez le monitoring de l’intégrité des fichiers. Plus d’informations
Intégration Azure Arc
Nous vous recommandons d’intégrer des machines sur des clouds non-Azure et localement sur Azure en tant que machines virtuelles Azure Arc. L’activation en tant que machines virtuelles Azure Arc permet aux machines de profiter des fonctionnalités de Defender pour serveurs. L’agent Azure Arc Connected Machine est installé sur les machines Azure Arc.
- Lorsque vous utilisez le connecteur multicloud Defender for Cloud pour vous connecter à des comptes AWS et des projets GCP, vous pouvez automatiquement intégrer l’agent Azure Arc aux serveurs AWS ou GCP.
- Nous vous recommandons d’intégrer les machines locales comme étant avec Azure Arc.
- Bien que vous intégriez des machines locales en installant directement l’agent Defender for Endpoint au lieu d’intégrer des machines avec Azure Arc, la fonctionnalité du Plan Defender pour serveurs est disponible. Pour Defender pour serveurs Plan 2, en plus des fonctionnalités du Plan 1, seules les fonctionnalités Premium de Defender Vulnerability Management sont disponibles.
Avant de déployer Azure Arc :
- Passez en revue la liste complète des systèmes d’exploitation pris en charge par Azure Arc.
- Évaluez les suggestions de planification Azure Arc et les prérequis de déploiement.
- Passez en revue les exigences de mise en réseau pour l’agent Connected Machine.
- Ouvrez dans votre pare-feu les ports de réseau pour Azure Arc.
- Passez en revue les exigences pour l’agent Connected Machine :
- Composants de l’agent et données collectées à partir des machines.
- Accès réseau et Internet pour l’agent.
- Options de connexion pour l’agent.