Comment Defender pour le cloud collecte-t-il des données ?
Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure, groupes de machines virtuelles identiques, conteneurs IaaS et ordinateurs autres qu’Azure (y compris localement) pour contrôler les menaces et vulnérabilités de sécurité. Certains plans Defender nécessitent des composants de surveillance pour collecter des données à partir de vos charges de travail.
La collecte de données est requise pour fournir une visibilité des mises à jour manquantes, des paramètres de sécurité du système d’exploitation mal configurés, de l’état de protection du point de terminaison ainsi que de l’intégrité et de la protection contre les menaces. La collecte de données est nécessaire seulement pour les ressources de calcul, comme les machines virtuelles, les groupes de machines virtuelles identiques, les conteneurs IaaS et les ordinateurs non-Azure.
Vous pouvez tirer parti de Microsoft Defender pour le cloud même si vous n’approvisionnez pas d’agents. Toutefois, vous disposez d’une sécurité limitée et les fonctionnalités répertoriées ne sont pas prises en charge.
Les données sont collectées à l’aide des éléments suivants :
- Agent Azure Monitor (AMA)
- Microsoft Defender for Endpoint (MDE)
- Agent Log Analytics
- Composants de sécurité, tels que Azure Policy pour Kubernetes
Pourquoi utiliser Defender pour le cloud pour déployer des composants de surveillance ?
La visibilité de la sécurité de vos charges de travail dépend des données que les composants de surveillance collectent. Les composants assurent une couverture de sécurité pour toutes les ressources prises en charge.
Pour vous épargner le processus d’installation manuelle des extensions, Defender pour le cloud réduit la charge de gestion en installant toutes les extensions requises sur les machines existantes et nouvelles. Defender pour le cloud affecte la stratégie appropriée Déployer si n’existe pas aux charges de travail de l’abonnement. Ce type de stratégie garantit que l’extension est provisionnée sur toutes les ressources existantes et futures de ce type.
Conseil
Pour en savoir plus sur les effets d’Azure Policy, notamment de la stratégie Déployer si n’existe pas, consultez Comprendre les effets d’Azure Policy.
Quels plans utilisent des composants de surveillance ?
Les plans utilisant des composants de surveillance pour collecter des données sont les suivants :
- Defender pour les serveurs
- Agent Azure Arc (pour serveurs multicloud et locaux)
- Microsoft Defender for Endpoint
- Évaluation des vulnérabilités
- Agent Azure Monitor ou Agent Log Analytics
- Defender pour les serveurs SQL sur les machines
- Agent Azure Arc (pour serveurs multicloud et locaux)
- Agent Azure Monitor ou Agent Log Analytics
- Détection et inscription automatiques de SQL Server
- Defender pour les conteneurs
- Agent Azure Arc (pour serveurs multicloud et locaux)
- Capteur Defender, Azure Policy pour Kubernetes, données du journal d’audit Kubernetes
Disponibilité des extensions
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Agent Azure Monitor (AMA)
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale (GA) |
| Plan Defender correspondant : | Defender pour les serveurs SQL sur les machines |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire |
| Destinations prises en charge : |  machines virtuelles Azure machines avec Azure Arc |
| Basé sur une stratégie : | Oui |
| Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
En savoir plus sur l’utilisation de l’agent Azure Monitor avec Defender pour Cloud.
Agent Log Analytics
| Aspect | Machines virtuelles Azure | Machines avec Azure Arc |
|---|---|---|
| État de sortie : | Disponibilité générale (GA) | Disponibilité générale (GA) |
| Plan Defender correspondant : | Gestion de la posture de sécurité cloud (CSPM) de base pour les recommandations de sécurité basées sur les agents Microsoft Defender pour les serveurs Microsoft Defender pour SQL |
Gestion de la posture de sécurité cloud (CSPM) de base pour les recommandations de sécurité basées sur les agents Microsoft Defender pour les serveurs Microsoft Defender pour SQL |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire | Propriétaire |
| Destinations prises en charge : | machines virtuelles Azure |
machines avec Azure Arc |
| Basé sur une stratégie : | Non |
Oui |
| Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Systèmes d’exploitation pris en charge pour les agents Log Analytics
Defender pour le cloud dépend de l’agent Log Analytics. Vérifiez que vos machines exécutent l’un des systèmes d’exploitation pris en charge pour cet agent, comme décrit dans les pages suivantes :
- Agent Log Analytics pour les systèmes d’exploitation pris en charge par Windows
- Agent Log Analytics pour les systèmes d’exploitation pris en charge par Linux
Vérifiez également que votre agent Log Analytics est correctement configuré pour envoyer des données à Defender pour le cloud.
Déploiement de l’agent Log Analytics dans le cas d’une installation d’agent préexistante
Les cas d’usage suivants expliquent la manière dont le déploiement de l’agent Log Analytics fonctionne quand un agent ou une extension sont déjà installés.
L’agent Log Analytics est installé sur la machine, mais pas comme extension (agent direct) – Si l’agent Log Analytics est installé directement sur la machine virtuelle (non pas comme extension Azure), Defender pour le cloud installe l’extension de l’agent Log Analytics et il est possible que l’agent Log Analytics soit mis à niveau vers sa version la plus récente. L’agent installé continue de rendre compte à ses espaces de travail déjà configurés et à l’espace de travail configuré dans Defender pour le cloud. (Le multihébergement est pris en charge sur les machines Windows.)
Si l’espace de travail Log Analytics configuré est celui de l’utilisateur (et non l’espace de travail par défaut de Defender pour le cloud), vous devez y installer la solution « Security » ou « SecurityCenterFree » pour que Defender pour le cloud commence à traiter les événements provenant des machines virtuelles et des ordinateurs qui rendent compte à cet espace de travail.
Pour les machines Linux, le multihébergement de l’agent n’est pas encore pris en charge. Si une installation d’agent existante est détectée, l’agent Log Analytics ne sera pas déployé.
Pour les machines existantes sur les abonnements intégrés à Defender pour le cloud avant le 17 mars 2019, quand un agent existant est détecté, l’extension de l’agent Log Analytics n’est pas installée et la machine n’est pas affectée. Pour ces machines, consultez la recommandation « Résoudre les problèmes d’intégrité de l’agent d’analyse sur vos machines » pour résoudre les problèmes d’installation de l’agent sur ces machines.
L’agent System Center Operations Manager est installé sur la machine – Defender pour le cloud installe l’extension de l’agent Log Analytics parallèlement au gestionnaire Operations Manager existant. L’agent Operations Manager existant continue de rendre compte normalement au serveur Operations Manager. L’agent Operations Manager et l’agent Log Analytics partagent des bibliothèques runtime communes, qui sont mises à jour vers la dernière version lors de ce processus.
Une extension de machine virtuelle préexistante est présente :
- Lorsque l’Agent Monitoring est installé en tant qu’extension, la configuration de l’extension permet de rendre compte à un seul espace de travail. Defender pour le cloud n’écrase pas les connexions existantes des espaces de travail utilisateur. Defender pour le cloud va stocker les données de sécurité provenant de la machine virtuelle dans un espace de travail déjà connecté, si la solution « Security » ou « SecurityCenterFree » y est installée. Il est possible que Defender pour le cloud mette à niveau la version de l’extension vers la dernière version lors de ce processus.
- Pour voir à quel espace de travail l’extension existante envoie des données, exécutez l’outil TestCloudConnection.exe pour valider la connectivité avec Microsoft Defender pour Cloud, comme décrit dans Vérifier la connectivité de l’agent Log Analytics. Vous pouvez également ouvrir des espaces de travail Log Analytics, sélectionner un espace de travail, sélectionner la machine virtuelle, puis rechercher la connexion de l'agent Log Analytics.
- Si vous disposez d’un environnement où l'agent Log Analytics est installé sur les stations de travail clientes et rapportent à un espace de travail Log Analytics existant, consultez la liste des systèmes d’exploitation pris en charge par Microsoft Defender pour le cloud pour vous assurer que votre système d’exploitation est pris en charge.
Apprenez-en davantage sur l’utilisation de l’agent Log Analytics.
Microsoft Defender for Endpoint
| Aspect | Linux | Windows |
|---|---|---|
| État de sortie : | Disponibilité générale (GA) | Disponibilité générale (GA) |
| Plan Defender correspondant : | Microsoft Defender pour les serveurs | Microsoft Defender pour les serveurs |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | - Pour activer/désactiver l’intégration : Administrateur de sécurité ou Propriétaire - Pour afficher les alertes Defender for Endpoint dans Defender pour le cloud : Lecteur de sécurité, Lecteur, Contributeur du groupe de ressources, Propriétaire du groupe de ressources, Administrateur de la sécurité, Propriétaire de l’abonnement ou Contributeur de l’abonnement |
- Pour activer/désactiver l’intégration : Administrateur de sécurité ou Propriétaire - Pour afficher les alertes Defender for Endpoint dans Defender pour le cloud : Lecteur de sécurité, Lecteur, Contributeur du groupe de ressources, Propriétaire du groupe de ressources, Administrateur de la sécurité, Propriétaire de l’abonnement ou Contributeur de l’abonnement |
| Destinations prises en charge : | machines avec Azure Arc machines virtuelles Azure |
machines avec Azure Arc Machines virtuelles Azure exécutant Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Entreprise multisession Machines virtuelles Azure exécutant Windows 10 |
| Basé sur une stratégie : | Non |
Non |
| Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
En savoir plus sur Microsoft Defender pour point de terminaison.
Évaluation des vulnérabilités
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale (GA) |
| Plan Defender correspondant : | Microsoft Defender pour les serveurs |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire |
| Destinations prises en charge : | machines virtuelles Azure machines avec Azure Arc |
| Basé sur une stratégie : | Oui |
| Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Guest Configuration
| Aspect | Détails |
|---|---|
| État de sortie : | PRÉVERSION |
| Plan Defender correspondant : | Aucun plan requis |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire |
| Destinations prises en charge : | machines virtuelles Azure |
| Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Apprenez-en davantage sur l’extension Configuration Invité d’Azure.
Extensions Defender pour les conteneurs
Ce tableau présente les informations de disponibilité des composants nécessaires aux protections offertes par Microsoft Defender pour les conteneurs.
Par défaut, les extensions requises sont activées quand vous activez Defender pour les conteneurs à partir du portail Azure.
| Aspect | Clusters Azure Kubernetes Service | Clusters Kubernetes avec Azure Arc |
|---|---|---|
| État de sortie : | • Capteur Defender : GA • Azure Policy pour Kubernetes : Disponibilité générale (GA) |
• Capteur Defender : Préversion • Azure Policy pour Kubernetes : Préversion |
| Plan Defender correspondant : | Microsoft Defender pour les conteneurs | Microsoft Defender pour les conteneurs |
| Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire ou Administrateur de l’accès utilisateur | Propriétaire ou Administrateur de l’accès utilisateur |
| Destinations prises en charge : | Le capteur AKS Defender prend uniquement en charge les clusters AKS avec RBAC activé. | Consultez les distributions Kubernetes prises en charge pour Kubernetes avec Arc |
| Basé sur une stratégie : | Oui |
Oui |
| Clouds : | Capteur Defender : Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet Azure Policy pour Kubernetes : Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Capteur Defender : Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet Azure Policy pour Kubernetes : Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.
Dépannage
- Pour identifier la configuration réseau requise pour l’agent de surveillance, consultez Résolution des problèmes de configuration réseau requise de l’agent de surveillance.
- Pour identifier des problèmes d’intégration manuelle, voir Comment faire pour résoudre les problèmes d’intégration de Microsoft Operations Management Suite.
Étapes suivantes
Cette page vous a présenté les composants de surveillance et la manière de les activer.
Pour en savoir plus :
- Configuration des notifications par e-mail pour les alertes de sécurité
- Protection des charges de travail avec les plans Defender