Partage via


Comment Defender pour le cloud collecte-t-il des données ?

Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure, groupes de machines virtuelles identiques, conteneurs IaaS et ordinateurs autres qu’Azure (y compris localement) pour contrôler les menaces et vulnérabilités de sécurité. Certains plans Defender nécessitent des composants de surveillance pour collecter des données à partir de vos charges de travail.

La collecte de données est requise pour fournir une visibilité des mises à jour manquantes, des paramètres de sécurité du système d’exploitation mal configurés, de l’état de protection du point de terminaison ainsi que de l’intégrité et de la protection contre les menaces. La collecte de données est nécessaire seulement pour les ressources de calcul, comme les machines virtuelles, les groupes de machines virtuelles identiques, les conteneurs IaaS et les ordinateurs non-Azure.

Vous pouvez tirer parti de Microsoft Defender pour le cloud même si vous n’approvisionnez pas d’agents. Toutefois, vous disposez d’une sécurité limitée et les fonctionnalités répertoriées ne sont pas prises en charge.

Les données sont collectées à l’aide des éléments suivants :

Pourquoi utiliser Defender pour le cloud pour déployer des composants de surveillance ?

La visibilité de la sécurité de vos charges de travail dépend des données que les composants de surveillance collectent. Les composants assurent une couverture de sécurité pour toutes les ressources prises en charge.

Pour vous épargner le processus d’installation manuelle des extensions, Defender pour le cloud réduit la charge de gestion en installant toutes les extensions requises sur les machines existantes et nouvelles. Defender pour le cloud affecte la stratégie appropriée Déployer si n’existe pas aux charges de travail de l’abonnement. Ce type de stratégie garantit que l’extension est provisionnée sur toutes les ressources existantes et futures de ce type.

Conseil

Pour en savoir plus sur les effets d’Azure Policy, notamment de la stratégie Déployer si n’existe pas, consultez Comprendre les effets d’Azure Policy.

Quels plans utilisent des composants de surveillance ?

Les plans utilisant des composants de surveillance pour collecter des données sont les suivants :

Disponibilité des extensions

Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Agent Azure Monitor (AMA)

Aspect Détails
État de sortie : Disponibilité générale (GA)
Plan Defender correspondant : Defender pour les serveurs SQL sur les machines
Rôles et autorisations obligatoires (au niveau de l’abonnement) : Propriétaire
Destinations prises en charge :  machines virtuelles Azure
machines avec Azure Arc
Basé sur une stratégie : Oui
Clouds : Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

En savoir plus sur l’utilisation de l’agent Azure Monitor avec Defender pour Cloud.

Agent Log Analytics

Aspect Machines virtuelles Azure Machines avec Azure Arc
État de sortie : Disponibilité générale (GA) Disponibilité générale (GA)
Plan Defender correspondant : Gestion de la posture de sécurité cloud (CSPM) de base pour les recommandations de sécurité basées sur les agents
Microsoft Defender pour les serveurs
Microsoft Defender pour SQL
Gestion de la posture de sécurité cloud (CSPM) de base pour les recommandations de sécurité basées sur les agents
Microsoft Defender pour les serveurs
Microsoft Defender pour SQL
Rôles et autorisations obligatoires (au niveau de l’abonnement) : Propriétaire Propriétaire
Destinations prises en charge :  machines virtuelles Azure machines avec Azure Arc
Basé sur une stratégie : Non Oui
Clouds : Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

Systèmes d’exploitation pris en charge pour les agents Log Analytics

Defender pour le cloud dépend de l’agent Log Analytics. Vérifiez que vos machines exécutent l’un des systèmes d’exploitation pris en charge pour cet agent, comme décrit dans les pages suivantes :

Vérifiez également que votre agent Log Analytics est correctement configuré pour envoyer des données à Defender pour le cloud.

Déploiement de l’agent Log Analytics dans le cas d’une installation d’agent préexistante

Les cas d’usage suivants expliquent la manière dont le déploiement de l’agent Log Analytics fonctionne quand un agent ou une extension sont déjà installés.

  • L’agent Log Analytics est installé sur la machine, mais pas comme extension (agent direct) – Si l’agent Log Analytics est installé directement sur la machine virtuelle (non pas comme extension Azure), Defender pour le cloud installe l’extension de l’agent Log Analytics et il est possible que l’agent Log Analytics soit mis à niveau vers sa version la plus récente. L’agent installé continue de rendre compte à ses espaces de travail déjà configurés et à l’espace de travail configuré dans Defender pour le cloud. (Le multihébergement est pris en charge sur les machines Windows.)

    Si l’espace de travail Log Analytics configuré est celui de l’utilisateur (et non l’espace de travail par défaut de Defender pour le cloud), vous devez y installer la solution « Security » ou « SecurityCenterFree » pour que Defender pour le cloud commence à traiter les événements provenant des machines virtuelles et des ordinateurs qui rendent compte à cet espace de travail.

    Pour les machines Linux, le multihébergement de l’agent n’est pas encore pris en charge. Si une installation d’agent existante est détectée, l’agent Log Analytics ne sera pas déployé.

    Pour les machines existantes sur les abonnements intégrés à Defender pour le cloud avant le 17 mars 2019, quand un agent existant est détecté, l’extension de l’agent Log Analytics n’est pas installée et la machine n’est pas affectée. Pour ces machines, consultez la recommandation « Résoudre les problèmes d’intégrité de l’agent d’analyse sur vos machines » pour résoudre les problèmes d’installation de l’agent sur ces machines.

  • L’agent System Center Operations Manager est installé sur la machine – Defender pour le cloud installe l’extension de l’agent Log Analytics parallèlement au gestionnaire Operations Manager existant. L’agent Operations Manager existant continue de rendre compte normalement au serveur Operations Manager. L’agent Operations Manager et l’agent Log Analytics partagent des bibliothèques runtime communes, qui sont mises à jour vers la dernière version lors de ce processus.

  • Une extension de machine virtuelle préexistante est présente :

    • Lorsque l’Agent Monitoring est installé en tant qu’extension, la configuration de l’extension permet de rendre compte à un seul espace de travail. Defender pour le cloud n’écrase pas les connexions existantes des espaces de travail utilisateur. Defender pour le cloud va stocker les données de sécurité provenant de la machine virtuelle dans un espace de travail déjà connecté, si la solution « Security » ou « SecurityCenterFree » y est installée. Il est possible que Defender pour le cloud mette à niveau la version de l’extension vers la dernière version lors de ce processus.
    • Pour voir à quel espace de travail l’extension existante envoie des données, exécutez l’outil TestCloudConnection.exe pour valider la connectivité avec Microsoft Defender pour Cloud, comme décrit dans Vérifier la connectivité de l’agent Log Analytics. Vous pouvez également ouvrir des espaces de travail Log Analytics, sélectionner un espace de travail, sélectionner la machine virtuelle, puis rechercher la connexion de l'agent Log Analytics.
    • Si vous disposez d’un environnement où l'agent Log Analytics est installé sur les stations de travail clientes et rapportent à un espace de travail Log Analytics existant, consultez la liste des systèmes d’exploitation pris en charge par Microsoft Defender pour le cloud pour vous assurer que votre système d’exploitation est pris en charge.

Apprenez-en davantage sur l’utilisation de l’agent Log Analytics.

Microsoft Defender for Endpoint

Aspect Linux Windows
État de sortie : Disponibilité générale (GA) Disponibilité générale (GA)
Plan Defender correspondant : Microsoft Defender pour les serveurs Microsoft Defender pour les serveurs
Rôles et autorisations obligatoires (au niveau de l’abonnement) : - Pour activer/désactiver l’intégration : Administrateur de sécurité ou Propriétaire
- Pour afficher les alertes Defender for Endpoint dans Defender pour le cloud : Lecteur de sécurité, Lecteur, Contributeur du groupe de ressources, Propriétaire du groupe de ressources, Administrateur de la sécurité, Propriétaire de l’abonnement ou Contributeur de l’abonnement
- Pour activer/désactiver l’intégration : Administrateur de sécurité ou Propriétaire
- Pour afficher les alertes Defender for Endpoint dans Defender pour le cloud : Lecteur de sécurité, Lecteur, Contributeur du groupe de ressources, Propriétaire du groupe de ressources, Administrateur de la sécurité, Propriétaire de l’abonnement ou Contributeur de l’abonnement
Destinations prises en charge : machines avec Azure Arc
 machines virtuelles Azure
machines avec Azure Arc
Machines virtuelles Azure exécutant Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Entreprise multisession
Machines virtuelles Azure exécutant Windows 10
Basé sur une stratégie : Non Non
Clouds : Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

En savoir plus sur Microsoft Defender pour point de terminaison.

Évaluation des vulnérabilités

Aspect Détails
État de sortie : Disponibilité générale (GA)
Plan Defender correspondant : Microsoft Defender pour les serveurs
Rôles et autorisations obligatoires (au niveau de l’abonnement) : Propriétaire
Destinations prises en charge :  machines virtuelles Azure
machines avec Azure Arc
Basé sur une stratégie : Oui
Clouds : Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

Guest Configuration

Aspect Détails
État de sortie : PRÉVERSION
Plan Defender correspondant : Aucun plan requis
Rôles et autorisations obligatoires (au niveau de l’abonnement) : Propriétaire
Destinations prises en charge :  machines virtuelles Azure
Clouds : Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

Apprenez-en davantage sur l’extension Configuration Invité d’Azure.

Extensions Defender pour les conteneurs

Ce tableau présente les informations de disponibilité des composants nécessaires aux protections offertes par Microsoft Defender pour les conteneurs.

Par défaut, les extensions requises sont activées quand vous activez Defender pour les conteneurs à partir du portail Azure.

Aspect Clusters Azure Kubernetes Service Clusters Kubernetes avec Azure Arc
État de sortie : • Capteur Defender : GA
• Azure Policy pour Kubernetes : Disponibilité générale (GA)
• Capteur Defender : Préversion
• Azure Policy pour Kubernetes : Préversion
Plan Defender correspondant : Microsoft Defender pour les conteneurs Microsoft Defender pour les conteneurs
Rôles et autorisations obligatoires (au niveau de l’abonnement) : Propriétaire ou Administrateur de l’accès utilisateur Propriétaire ou Administrateur de l’accès utilisateur
Destinations prises en charge : Le capteur AKS Defender prend uniquement en charge les clusters AKS avec RBAC activé. Consultez les distributions Kubernetes prises en charge pour Kubernetes avec Arc
Basé sur une stratégie : Oui Oui
Clouds : Capteur Defender :
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet
Azure Policy pour Kubernetes :
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet
Capteur Defender :
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet
Azure Policy pour Kubernetes :
Clouds commerciaux
Azure Government, Microsoft Azure géré par 21Vianet

En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.

Dépannage

Étapes suivantes

Cette page vous a présenté les composants de surveillance et la manière de les activer.

Pour en savoir plus :