Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison

Avec Microsoft Defender pour les serveurs, vous pouvez déployer Microsoft Defender pour point de terminaison Plan 2 sur vos ressources serveur. Microsoft Defender pour point de terminaison est une solution holistique de sécurité des points de terminaison dans le cloud. Ses principales fonctionnalités sont les suivantes :

  • Gestion et évaluation des vulnérabilités basées sur les risques
  • Réduction de la surface d’attaque
  • Protection basée sur le comportement et gérée par le cloud
  • Détection de point de terminaison et réponse (EDR)
  • Investigation et correction automatiques
  • Services de chasse gérés

Vous pouvez en savoir plus sur l’intégration de Defender pour le cloud à Microsoft Defender pour point de terminaison en regardant cette vidéo de la série Defender pour le cloud sur le terrain : Intégration de Defender pour serveurs à Microsoft Defender pour point de terminaison

Pour plus d’informations sur la migration de serveurs de Defender pour point de terminaison vers Defender pour le cloud, consultez le Guide de migration de Microsoft Defender pour point de terminaison vers Microsoft Defender pour le cloud.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Nécessite Microsoft Defender pour les serveurs Plan 1 ou Plan 2
Environnements pris en charge : Machines Azure Arc exécutant Windows/Linux
Machines virtuelles Azure exécutant Linux (versions prises en charge)
Machines virtuelles Azure exécutant Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop (anciennement Windows Virtual Desktop), Windows 10 Entreprise multisession (anciennement Entreprise pour bureaux virtuels)
Machines virtuelles Azure exécutant Windows 11 ou Windows 10 (sauf si vous exécutez Azure Virtual Desktop Windows 10 Entreprise multisession)
Rôles et autorisations obligatoires : * Pour activer/désactiver l’intégration : Administrateur de sécurité ou Propriétaire
* Pour afficher les alertes Defender pour point de terminaison dans Defender pour le cloud : Lecteur de sécurité, Lecteur, Contributeur du groupe de ressources, Propriétaire du groupe de ressources, Administrateur de la sécurité, Propriétaire de l’abonnement ou Contributeur de l’abonnement
Clouds : Clouds commerciaux
Azure Government (Windows uniquement)
Azure China 21Vianet
Comptes AWS connectés
Projets GCP connectés

Avantages de l’intégration de Microsoft Defender pour point de terminaison à Defender pour le cloud

Microsoft Defender pour point de terminaison Plan 2 protège vos machines Windows et Linux, qu’elles soient hébergées dans Azure, dans des clouds hybrides (localement) ou un multicloud. Les protections sont les suivantes :

  • Capteurs de détection des violations avancés. Les capteurs de Defender pour point de terminaison collectent un large éventail de signaux comportementaux sur vos machines.

  • Évaluation des vulnérabilités de la solution Microsoft Gestion des menaces et des vulnérabilités. Avec Microsoft Defender pour point de terminaison installé, Defender pour le cloud peut afficher les vulnérabilités découvertes par le module de gestion des menaces et des vulnérabilités et proposer ce module comme solution d’évaluation des vulnérabilités prises en charge. Pour en savoir plus, consultez Investiguer les faiblesses avec la gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.

    Ce module apporte également les fonctionnalités d’inventaire logiciel décrites dans Accéder à un inventaire logiciel et peut être automatiquement activé pour les ordinateurs pris en charge avec les paramètres de déploiement automatique.

  • Détection des violations basée sur des analyses dans le cloud. Defender for Endpoint s’adapte rapidement aux menaces changeantes. Elle utilise l’analytique avancée et le Big Data. Il est amplifié par la puissance d’Intelligent Security Graph avec des signaux à travers Windows, Azure et Office pour détecter les menaces inconnues. Il fournit des alertes actionnables et vous permet de réagir rapidement.

  • Informations sur les menaces. Defender for Endpoint génère des alertes quand il identifie les outils, les techniques et les procédures de l’attaquant. Il utilise les données générées par les chasseurs de menaces de Microsoft et les équipes de sécurité, complétées par les renseignements fournis par les partenaires.

En intégrant Defender pour point de terminaison à Defender pour le cloud, vous bénéficierez des capacités supplémentaires suivantes :

  • Intégration automatisée. Defender pour le cloud active automatiquement le capteur Defender pour point de terminaison sur toutes les machines prises en charge connectées à Defender pour le cloud.

  • Volet unique. Les pages du portail Defender pour le cloud affichent les alertes Defender pour point de terminaison. Pour approfondir vos recherches, utilisez les pages du portail de Microsoft Defender for Endpoint, où vous verrez des informations supplémentaires telles que l’arborescence du processus d’alerte et le graphique d’incident. Vous pouvez également voir une chronologie détaillée de la machine, qui indique tous les comportements pour un historique pouvant s’étendre sur six mois.

    Centre de sécurité de Microsoft Defender for Endpoint

Quelles sont les exigences de locataire pour Microsoft Defender pour point de terminaison ?

Quand vous utilisez Defender pour le cloud pour analyser vos machines, un abonné Defender pour point de terminaison est créé automatiquement.

  • Emplacement : Les données collectées par Defender for Endpoint sont stockées dans la zone géographique du locataire tel qu’il est identifié lors de l’approvisionnement. Les données des clients, sous forme pseudonymisée, peuvent également être stockées dans des systèmes de stockage et de traitement centralisés aux États-Unis. Une fois que vous avez configuré l’emplacement, vous ne pouvez plus le modifier. Si vous disposez de votre propre licence Microsoft Defender pour point de terminaison et qu’il vous faut déplacer vos données vers un autre emplacement, contactez le support Microsoft pour réinitialiser le locataire.
  • Déplacement des abonnements : si vous avez déplacé votre abonnement Azure entre abonnés Azure, certaines étapes préparatoires manuelles sont requises avant que Defender pour le cloud déploie Defender pour point de terminaison. Pour plus d’informations, contactez le support technique Microsoft.

Activation de l’intégration de Microsoft Defender for Endpoint

Prérequis

Vérifiez que votre machine est conforme aux conditions requises pour Defender pour point de terminaison :

  1. Assurez-vous que la machine est connectée à Azure et à Internet comme requis :

  2. Activez Microsoft Defender pour les serveurs. Consultez Démarrage rapide : activer des fonctionnalités de sécurité renforcée de Defender pour le cloud.

    Important

    L’intégration de Defender pour le cloud avec Microsoft Defender pour point de terminaison est activée par défaut. Ainsi, quand vous activez des fonctionnalités de sécurité renforcée, vous consentez à ce que Microsoft Defender pour les serveurs accède aux données de Microsoft Defender pour point de terminaison liées aux vulnérabilités, aux logiciels installés et aux alertes de vos points de terminaison.

  3. Pour les serveurs Windows, assurez-vous que vos serveurs répondent aux exigences d’intégration de Microsoft Defender pour point de terminaison

  4. Si vous avez déplacé votre abonnement entre locataires Azure, certaines étapes préparatoires manuelles sont également requises. Pour plus d’informations, contactez le support technique Microsoft.

Activer l’intégration

La solution unifiée MDE n’utilise pas ou ne nécessite pas d’installation de l’agent Log Analytics. La solution unifiée est déployée automatiquement pour tous les serveurs Windows connectés via Azure Arc et les serveurs multiclouds connectés via les connecteurs multiclouds, à l’exception des serveurs Windows 2012 R2 et 2016 sur Azure protégés par Defender pour serveurs Plan 2. Vous pouvez choisir de déployer la solution unifiée MDE sur ces machines.

Vous allez déployer Defender pour point de terminaison sur vos machines Windows de deux manières, selon que vous les avez déjà déployées sur vos machines Windows :

Utilisateurs avec Defender pour serveurs activé et Microsoft Defender pour point de terminaison déployé

Si vous avez déjà effectué l’intégration avec Defender pour point de terminaison, vous disposez du contrôle total sur quand et comment déployer la solution unifiée MDE sur vos machines Windows.

Pour déployer la solution unifiée MDE, vous devez appeler l’API REST ou utiliser le Portail Azure :

  1. Dans le menu de Defender pour le cloud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines Windows pour recevoir Defender pour point de terminaison.

  2. Sélectionnez Intégrations. Vous savez que l’intégration est activée, si la case à cocher Autoriser Microsoft Defender pour le point de terminaison à accéder à mes données est sélectionnée, comme indiqué ci-dessous :

    L’intégration entre Microsoft Defender pour le cloud et la solution EDR de Microsoft, Microsoft Defender pour point de terminaison est activée.

  3. Pour déployer la solution unifiée MDE sur vos machines Windows Server 2012 R2 et 2016 :

    1. Sélectionnez Activer la solution unifiée.
    2. Sélectionnez Enregistrer.
    3. Dans l’invite de confirmation, vérifiez les informations et sélectionnez Activer si vous voulez continuer.

    Confirmation de l’utilisation de la solution unifiée MDE pour les machines Windows Server 2012 R2 et 2016.

    Microsoft Defender pour le cloud pourra :

    • Arrêtez le processus MDE existant dans l’agent Log Analytics qui collecte des données pour Defender pour serveurs.
    • Installez la solution unifiée MDE pour toutes les machines Windows Server 2012 R2 et 2016 existantes et nouvelles.
    • Supprimez Activer la solution unifiée des options Intégrations.

    Microsoft Defender pour le cloud intégrera automatiquement vos machines à Microsoft Defender pour point de terminaison. L’intégration peut prendre jusqu’à 12 heures. Pour les nouvelles machines créées après l’activation de l’intégration, l’intégration prend jusqu’à une heure.

    Notes

    Si vous choisissez de ne pas déployer la solution unifiée MDE sur vos serveurs Windows 2012 R2 et 2016 dans Defender pour serveurs Plan 2, puis rétrogradez Defender pour serveurs à Plan 1, la solution unifiée MDE n’est pas déployée sur ces serveurs afin que votre déploiement existant ne soit pas modifié sans votre consentement explicite.

Utilisateurs qui n’ont jamais activé l’intégration avec Microsoft Defender pour le point de terminaison Windows

Si vous n’avez jamais activé l’intégration pour Windows, l’option Autoriser Microsoft Defender pour point de terminaison à accéder à mes données permet à Defender pour le cloud de déployer Defender pour point de terminaison aussi bien sur vos machines Windows que sur vos machines Linux.

Pour déployer la solution unifiée MDE, vous devez appeler l’API REST ou utiliser le Portail Azure :

  1. Dans le menu de Defender pour le cloud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines pour recevoir Defender pour point de terminaison.

  2. Sélectionnez Intégrations.

  3. Sélectionnez Autoriser Microsoft Defender for Endpoint à accéder à mes données, puis Enregistrer.

La solution unifiée de l’agent MDE est déployée sur toutes les machines de l’abonnement sélectionné.

Activer la solution unifiée MDE à grande échelle

Vous pouvez également activer la solution unifiée MDE à grande échelle via l’API REST version 2022-05-01 fournie. Pour plus d’informations, consultez la documentation de l’API.

Il s’agit d’un exemple de corps de demande pour la requête PUT qui permet d’activer la solution unifiée MDE :

URI : https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings&api-version=2022-05-01-preview

{
    "name": "WDATP_UNIFIED_SOLUTION",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Accéder au portail Microsoft Defender for Endpoint

  1. Vérifiez que le compte d’utilisateur dispose des autorisations nécessaires. Pour plus d’informations, consultez Attribuer l'accès utilisateur au Centre de sécurité Microsoft Defender.

  2. Vérifiez si vous avez un proxy ou un pare-feu qui bloque le trafic anonyme. Le capteur Defender for Endpoint se connecte à partir du contexte système, de sorte que le trafic anonyme doit être autorisé. Pour garantir un accès sans entraves au portail Defender for Endpoint, suivez les instructions mentionnées dans Activer l’accès aux URL du service dans le serveur proxy.

  3. Ouvrez le portail du Centre de sécurité Defender pour point de terminaison. En savoir plus sur les fonctionnalités et les icônes du portail dans la vue d’ensemble du portail du Centre de sécurité Defender pour point de terminaison.

Envoyer une alerte de test

Pour générer une alerte de test bénigne de Defender pour point de terminaison, sélectionnez l’onglet correspondant au système d’exploitation de votre point de terminaison :

Pour les points de terminaison exécutant Windows :

  1. Créez un dossier « C:\test-MDATP-test ».

  2. Utilisez Bureau à distance pour accéder à votre ordinateur.

  3. Ouvrez une fenêtre de ligne de commande.

  4. A l'invite, copiez et exécutez la commande suivante. La fenêtre d’invite de commandes se ferme automatiquement.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Une fenêtre d’invite de commandes avec la commande pour générer une alerte de test.

    Si la commande réussit, une nouvelle alerte s’affiche sur le tableau de bord de protection de charge de travail et sur le portail Microsoft Defender for Endpoint. L’alerte peut mettre quelques minutes à s’afficher.

  5. Pour examiner l’alerte dans Defender pour le cloud, accédez à Alertes de sécurité>Ligne de commande PowerShell suspecte.

  6. Dans la fenêtre d’enquête, sélectionnez le lien d’accès au portail Microsoft Defender for Endpoint.

    Conseil

    L’alerte est déclenchée avec la gravité Informations.

Supprimer Defender pour point de terminaison sur une machine

Pour supprimer la solution Defender pour point de terminaison sur vos machines :

  1. Désactiver l’intégration :

    1. Dans le menu de Defender pour le cloud, sélectionnez les paramètres d’environnement et sélectionnez l’abonnement correspondant aux machines concernées.
    2. Ouvrez Intégrations et décochez la case Autoriser Microsoft Defender pour point de terminaison à accéder à mes données.
    3. Sélectionnez Enregistrer.
  2. Supprimez l’extension MDE.Windows/MDE.Linux extension de la machine.

  3. Procédez comme décrit dans la section Retirer des appareils du service Microsoft Defender pour point de terminaison dans la documentation de Defender pour point de terminaison.

FAQ : l’intégration de Microsoft Defender pour le cloud avec Microsoft Defender pour point de terminaison

Qu’est-ce que l’extension « MDE.Windows »/« MDE.Linux » qui s’exécute sur ma machine ?

Auparavant, Microsoft Defender pour point de terminaison était approvisionné par l’agent Log Analytics. Lorsque nous avons étendu la prise en charge de manière à inclure Windows Server 2019 et Linux, nous avons également ajouté une extension pour effectuer l’intégration automatique.

Defender pour le cloud déploie automatiquement l’extension sur les machines exécutant :

  • Windows Server 2019 et Windows Server 2022
  • Windows Server 2012 R2 et 2016 si l’intégration de la solution unifiée MDE est activée
  • Windows 10 sur Azure Virtual Desktop.
  • D’autres versions de Windows Server si Defender pour le cloud ne reconnaît pas la version du système d’exploitation (par exemple, lorsqu’une image de machine virtuelle personnalisée est utilisée). Dans ce cas, Microsoft Defender pour point de terminaison continue d’être approvisionné par l’agent Log Analytics.
  • Linux.

Important

Si vous supprimez l’extension MDE.Windows/MDE.Linux, cela ne supprime pas Microsoft Defender pour point de terminaison. Pour plus d’informations, consultez Retirer des serveurs Windows.

J’ai activé la solution mais l’extension « MDE.Windows » / « MDE.Linux » ne s’affiche pas sur ma machine

Si vous avez activé l’intégration, mais que vous ne voyez toujours pas l’extension en cours d’exécution sur vos machines :

  1. Si vous avez activé la solution il y a moins de 12 heures, vous devez patienter jusqu’à la fin de cette période pour vous assurer qu’il y a un problème à examiner.
  2. Au bout de 12 heures, si vous ne voyez toujours pas l’extension en cours d’exécution sur vos machines, vérifiez que vous avez rempli les prérequis pour l’intégration.
  3. Vérifiez que vous avez activé le plan Microsoft Defender pour les serveurs pour les abonnements associés aux machines que vous examinez.
  4. Si vous avez déplacé votre abonnement Azure entre abonnés Azure, certaines étapes préparatoires manuelles sont requises avant que Defender pour le cloud déploie Defender pour point de terminaison. Pour plus d’informations, contactez le support technique Microsoft.

Quelles sont les conditions de licence pour Microsoft Defender for Endpoint ?

Defender pour point de terminaison est inclus sans coût supplémentaire avec Microsoft Defender pour les serveurs. Vous pouvez également l’acheter séparément pour 50 machines ou plus.

Dois-je acheter une solution anti-programme malveillant distincte pour protéger mes machines ?

Non. L’intégration de MDE dans Defender pour les serveurs vous offre également une protection contre les programmes malveillants sur vos machines.

  • Sur Windows Server 2012 R2 avec l’intégration de la solution unifiée MDE activée, Defender pour les serveurs déploie l’antivirus Microsoft Defender en mode actif.
  • Sur les systèmes d’exploitation Windows Server plus récents, l’antivirus Microsoft Defender fait partie du système d’exploitation et sera activé en mode actif.
  • Sur Linux, Defender pour les serveurs déploie MDE, y compris le composant anti-programme malveillant, et définit le composant en mode passif.

Si j’ai déjà une licence pour Microsoft Defender pour point de terminaison, puis-je bénéficier d’une remise pour Microsoft Defender pour les serveurs ?

Si vous disposez déjà d’une licence pour Microsoft Defender pour point de terminaison pour les serveurs, vous n’aurez pas à payer pour cette partie de votre licence Microsoft Defender pour les serveurs Plan 2. Apprenez-en davantage sur la licence Microsoft 365.

Pour demander votre remise, contactez l’équipe de support technique de Defender pour le cloud. Fournissez l’ID d’espace de travail, la région et le nombre de licences Microsoft Defender pour point de terminaison pour serveurs qui sont appliquées sur les ordinateurs de l’espace de travail donné.

La remise est effective à compter de la date d’approbation et ne sera pas rétroactive.

Comment basculer dessus à partir d’un outil EDR tiers ?

Pour plus d’informations sur le basculement à partir d’une solution de point de terminaison non Microsoft, accédez à la documentation Microsoft Defender for Endpoint : Vue d’ensemble de la migration.

Quel plan Microsoft Defender pour point de terminaison est pris en charge dans Defender pour les serveurs ?

Defender pour les serveurs Plan 1 et Plan 2 offrent les fonctionnalités de Microsoft Defender pour point de terminaison Plan 2. -->

Étapes suivantes