Remédier aux recommandations de configuration des invités

Remarque

Alors que l’agent Log Analytics (également connu sous le nom de MMA) doit être retiré en novembre 2024, toutes les fonctionnalités de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites sur cette page, seront disponibles soit via l’intégration de Microsoft Defender pour point de terminaison, soit via l’analyse sans agent, avant la date de retrait. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.

Defender pour le cloud évalue les erreurs de configuration des configurations de référence pour les machines virtuelles (VM) connectées à votre abonnement. L’évaluation examine vos VM par rapport à des configurations de sécurité prédéfinies, identifiant toute déviation ou erreur de configuration pouvant représenter des risques potentiels. En alignant vos VM sur les bonnes pratiques de sécurité et les politiques organisationnelles, vous pouvez maintenir un environnement informatique robuste et sécurisé.

Les informations sur la machine sont collectées via la configuration des invités Azure Policy et l’évaluation est basée sur les référentiels Microsoft qui couvrent divers référentiels de conformité et réglementations. Par exemple, CIS, STIG, et plus encore. La configuration des invités Azure Policy permet les politiques suivantes sur votre abonnement :

• Base de référence de configuration d’invité Azure Policy pour Windows

• Configuration des invités Azure Policy pour Linux

Remarque

Si vous supprimez ces stratégies, vous ne pourrez pas accéder aux avantages de l’extension Configuration Invité Azure Policy.

Prérequis

• Activez le plan Defender pour les serveurs Plan 2 sur votre abonnement.

• Pour en savoir plus sur la tarification de Defender pour serveurs Plan 2, passez en revue la page de tarification de Defender pour le cloud.

Important

Notez que les fonctionnalités supplémentaires fournies par la configuration des invités Azure Policy, qui existent en dehors du portail Defender pour le cloud, ne sont pas incluses dans Defender pour le cloud et sont soumises aux politiques de tarification de la configuration des invités Azure Policy. Par exemple, la remédiation et les stratégies personnalisées. Pour plus d’informations, consultez la page de tarification de la configuration des invités Azure Policy.

• Consultez la matrice de prise en charge pour la configuration Invité Azure Policy.

• Installez la configuration Invité Azure Policy sur vos machines.

  • Machines Azure : dans le portail Defender pour le cloud, dans la page des recommandations, recherchez et sélectionnez L’extension Configuration Invité doit être installée sur les machines, puis implémentez la recommandation.

  • Azure VMs uniquement Vous devez attribuer une identité gérée dans le portail Defender pour le cloud. Accédez à la page recommandations. Recherchez et sélectionnez L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système. Ensuite, corrigez la recommandation.

  • (Facultatif) VMs Azure uniquement : Activez la configuration des invités Azure Policy sur l’ensemble de votre abonnement.

  • Activez l’extension de configuration des invités Azure Policy sur vos machines Azure dans l’ensemble de votre abonnement :

    1. Connectez-vous au portail Azure.

    2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

    3. Accédez à Paramètres d’environnement>Votre abonnement>Paramètres et surveillance.

       

    4. Basculez l’agent Configuration Invité (préversion) sur Activé.

       

    5. Sélectionnez Continuer.

  • GCP et AWS : la configuration Invité Azure Policy est automatiquement installée lorsque vous connectez votre projet GCP, ou lorsque vous connectez vos comptes AWS avec le provisionnement automatique Azure Arc activé, à Defender pour le cloud.

  • Machines locales : La configuration des invités Azure Policy est activée par défaut lorsque vous intégrez des machines locales en tant que machine ou VM activée par Azure Arc.

Examinez et corrigez les recommandations de configuration des invités

Une fois que la configuration des invités Azure Policy est intégrée à votre abonnement, Defender pour le cloud commence à évaluer vos VM par rapport aux configurations de sécurité de référence. En fonction de vos environnements, si des erreurs de configuration sont détectées, les recommandations suivantes peuvent apparaître sur votre page de recommandations :

• Les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)
• Les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)

Pour examiner et corriger celles-ci :

1. Connectez-vous au portail Azure.

2. Accédez aux Recommandations** dans Defender pour le cloud>.

3. Recherchez et sélectionnez l’une des recommandations.

4. Examinez la recommandation.

5. Corrigez la recommandation.

Remarque

Pendant le processus de retrait de l’agent Log Analytics, également connu sous le nom d’agent de surveillance Microsoft (MMA), vous pouvez recevoir des recommandations en double pour la même machine. Cela est dû au fait que le MMA et la configuration des invités Azure Policy évaluent tous deux la même machine. Pour éviter cela, vous pouvez désactiver le MMA sur la machine.

Interroger les recommandations avec l’API

Defender pour le cloud utilise Azure Resource Graph pour les API et les requêtes via le portail, afin d’interroger les informations de recommandation. Vous pouvez utiliser ces ressources pour créer vos propres requêtes et récupérer des informations.

Vous pouvez apprendre comment examiner les recommandations dans Azure Resource Graph.

Voici deux exemples de requêtes que vous pouvez utiliser :

• Interroger toutes les règles non saines pour une ressource spécifique

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Toutes les règles non saines et nombre de machines non saines pour chacune

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Vous pouvez apprendre à créer des requêtes plus approfondies en en apprenant davantage sur le langage de requête d’Azure Resource Graph.

Remarque

Pendant le processus de retrait de l’agent Log Analytics, également connu sous le nom d’agent de surveillance Microsoft (MMA), vous pouvez recevoir des recommandations en double pour la même machine. Cela est dû au fait que le MMA et la configuration des invités Azure Policy évaluent tous deux la même machine. Pour éviter cela, vous pouvez désactiver le MMA sur la machine.

Étape suivante

Passer en revue les recommandations relatives au renforcement de l’hôte Docker