Partage via


Remédier aux recommandations de configuration des invités

Remarque

Alors que l’agent Log Analytics (également connu sous le nom de MMA) doit être retiré en novembre 2024, toutes les fonctionnalités de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites sur cette page, seront disponibles soit via l’intégration de Microsoft Defender pour point de terminaison, soit via l’analyse sans agent, avant la date de retrait. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.

Defender pour le cloud évalue les erreurs de configuration des configurations de référence pour les machines virtuelles (VM) connectées à votre abonnement. L’évaluation examine vos VM par rapport à des configurations de sécurité prédéfinies, identifiant toute déviation ou erreur de configuration pouvant représenter des risques potentiels. En alignant vos VM sur les bonnes pratiques de sécurité et les politiques organisationnelles, vous pouvez maintenir un environnement informatique robuste et sécurisé.

Les informations sur la machine sont collectées via la configuration des invités Azure Policy et l’évaluation est basée sur les référentiels Microsoft qui couvrent divers référentiels de conformité et réglementations. Par exemple, CIS, STIG, et plus encore. La configuration des invités Azure Policy permet les politiques suivantes sur votre abonnement :

Remarque

Si vous supprimez ces stratégies, vous ne pourrez pas accéder aux avantages de l’extension Configuration Invité Azure Policy.

Prérequis

Important

Notez que les fonctionnalités supplémentaires fournies par la configuration des invités Azure Policy, qui existent en dehors du portail Defender pour le cloud, ne sont pas incluses dans Defender pour le cloud et sont soumises aux politiques de tarification de la configuration des invités Azure Policy. Par exemple, la remédiation et les stratégies personnalisées. Pour plus d’informations, consultez la page de tarification de la configuration des invités Azure Policy.

Examinez et corrigez les recommandations de configuration des invités

Une fois que la configuration des invités Azure Policy est intégrée à votre abonnement, Defender pour le cloud commence à évaluer vos VM par rapport aux configurations de sécurité de référence. En fonction de vos environnements, si des erreurs de configuration sont détectées, les recommandations suivantes peuvent apparaître sur votre page de recommandations :

Pour examiner et corriger celles-ci :

  1. Connectez-vous au portail Azure.

  2. Accédez aux Recommandations** dans Defender pour le cloud>.

  3. Recherchez et sélectionnez l’une des recommandations.

  4. Examinez la recommandation.

  5. Corrigez la recommandation.

Remarque

Pendant le processus de retrait de l’agent Log Analytics, également connu sous le nom d’agent de surveillance Microsoft (MMA), vous pouvez recevoir des recommandations en double pour la même machine. Cela est dû au fait que le MMA et la configuration des invités Azure Policy évaluent tous deux la même machine. Pour éviter cela, vous pouvez désactiver le MMA sur la machine.

Interroger les recommandations avec l’API

Defender pour le cloud utilise Azure Resource Graph pour les API et les requêtes via le portail, afin d’interroger les informations de recommandation. Vous pouvez utiliser ces ressources pour créer vos propres requêtes et récupérer des informations.

Vous pouvez apprendre comment examiner les recommandations dans Azure Resource Graph.

Voici deux exemples de requêtes que vous pouvez utiliser :

  • Interroger toutes les règles non saines pour une ressource spécifique

    Securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | where machineId  == '{machineId}'
    
  • Toutes les règles non saines et nombre de machines non saines pour chacune

    securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with * '/subassessments/' subAssessmentId:string 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | extend status = tostring(properties.status.code) 
    | summarize count() by subAssessmentId, status
    

Vous pouvez apprendre à créer des requêtes plus approfondies en en apprenant davantage sur le langage de requête d’Azure Resource Graph.

Remarque

Pendant le processus de retrait de l’agent Log Analytics, également connu sous le nom d’agent de surveillance Microsoft (MMA), vous pouvez recevoir des recommandations en double pour la même machine. Cela est dû au fait que le MMA et la configuration des invités Azure Policy évaluent tous deux la même machine. Pour éviter cela, vous pouvez désactiver le MMA sur la machine.

Étape suivante