Planifier des agents, des extensions et Azure Arc pour Defender pour serveurs
Cet article vous aide à planifier vos agents, extensions et ressources Azure Arc pour votre déploiement Microsoft Defender pour serveurs.
Defender pour serveurs est l’un des plans payés fournis par Microsoft Defender pour le cloud.
Avant de commencer
Cet article est le cinquième du guide de planification Defender pour serveurs. Avant de commencer, passez en revue les articles précédents :
- Commencer à planifier votre déploiement.
- Comprendre où vos données sont stockées et les exigences de l’espace de travail Log Analytics.
- Évaluer les rôles d’accès Defender pour serveur.
- Sélectionner un plan pour Defender pour serveurs.
Évaluer les exigences d’Azure Arc
Azure Arc vous aide à intégrer Amazon Web Services (AWS), Google Cloud Platform (GCP) et des machines locales à Azure. Defender pour le cloud utilise Azure Arc pour protéger les machines non-Azure.
Gestion de la posture de sécurité cloud de base
Les fonctionnalités gratuites de la gestion de la posture de sécurité cloud (CSPM) pour les machines AWS et GCP ne nécessitent pas Azure Arc. Pour obtenir des fonctionnalités complètes, nous vous recommandons d’exécuter Azure Arc sur des machines AWS ou GCP.
L’intégration d’Azure Arc est requise pour les machines locales.
Plan Defender pour les serveurs
Pour utiliser Defender pour serveurs, toutes les machines AWS, GCP et locales doivent être compatibles avec Azure Arc.
Vous pouvez intégrer automatiquement l’agent Azure Arc à vos serveurs AWS ou GCP avec le connecteur multicloud AWS ou GCP.
Planifier le déploiement d’Azure Arc
Pour planifier le déploiement d’Azure Arc :
Évaluez les suggestions de planification Azure Arc et les prérequis de déploiement.
Ouvrez dans votre pare-feu les ports de réseau pour Azure Arc.
Azure Arc installe l’agent Connected Machine pour se connecter aux machines hébergées en dehors d’Azure et les gérer. Passez en revue les informations suivantes :
- Les composants de l’agent et données collectées à partir des machines.
- Accès réseau et Internet pour l’agent.
- Options de connexion pour l’agent.
Agent Log Analytics et agent Azure Monitor
Remarque
Étant donné que l’agent Log Analytics est mis hors service en août 2024 et dans le cadre de la stratégie mise à jour de Defender pour Cloud , toutes les fonctionnalités et fonctionnalités de Defender pour serveurs seront fournies via l’intégration de Microsoft Defender pour point de terminaison ou analyse sans agent, sans dépendance vis-à-vis de l’agent Log Analytics (MMA) ou de l’agent Azure Monitor (AMA). Par conséquent, le processus de provisionnement automatique partagé pour les deux agents sera ajusté en conséquence pour plus d’informations sur cette modification, consultez cette annonce.
Defender pour le cloud utilise l’agent Log Analytics et l’agent Azure Monitor pour collecter des informations à partir de ressources de calcul. Ensuite, il envoie les données à un espace de travail Log Analytics pour une analyse plus approfondie. Consultez les différences et les suggestions concernant les deux agents.
Le tableau suivant décrit les agents utilisés dans Defender pour serveurs :
| Fonctionnalité | Agent Log Analytics | Agent Azure Monitor |
|---|---|---|
| Suggestions CSPM de base (gratuites) qui dépendent de l’agent : recommandation de base du système d’exploitation (machines virtuelles Azure) | 
|
Avec l’agent Azure Monitor, l’extension de configuration invité Azure Policy est utilisée. |
| CSPM de base : suggestions relatives aux mises à jour système (machines virtuelles Azure) |
|
Pas encore disponible. |
| CSPM de base : suggestions relatives à la protection des logiciels anti-programme malveillant/point de terminaison (machines virtuelles Azure) |
|
|
| Détection des menaces au niveau du système d’exploitation et de la couche réseau, y compris la détection des attaques sans fichier Le plan 1 s’appuie sur les fonctionnalités de Defender pour point de terminaison pour la détection des attaques. |
Plan 2 |
Plan 2 |
| Monitoring de l’intégrité des fichiers (plan 2 uniquement) |
|
|
Extension Qualys
L’extension Qualys est disponible dans Defender pour serveurs Plan 2. L'extension est déployée si vous souhaitez utiliser Qualys pour l'évaluation des vulnérabilités.
Voici des informations supplémentaires :
L’extension Qualys envoie des métadonnées à des fins d’analyse à l’une des deux régions du centre de données Qualys, en fonction de votre région Azure.
- Si vous’utilisez une région Azure européenne, le traitement des données se produit dans le centre de données Qualys European Data Center.
- Pour d’autres régions, le traitement des données se produit au centre de données américain.
Pour utiliser Qualys sur un ordinateur, l’extension doit être installée et l’ordinateur doit être en mesure de communiquer avec le point de terminaison réseau approprié :
- Centre de données Europe :
https://qagpublic.qg2.apps.qualys.eu - Centre de données États-Unis :
https://qagpublic.qg3.apps.qualys.com
- Centre de données Europe :
Extension Guest Configuration
L’extension effectue des opérations d’audit et de configuration à l’intérieur des machines virtuelles.
- Si vous utilisez l’agent Azure Monitor, Defender pour le cloud tire parti de cette extension pour analyser les paramètres de base de la sécurité du système d’exploitation sur les machines Windows et Linux.
- Bien que les serveurs avec Azure Arc et l’extension de configuration invité soient gratuits, des coûts supplémentaires peuvent s’appliquer lors de l’utilisation de stratégies de configuration d’invités sur des serveurs Azure Arc en dehors de l’étendue de Defender pour le cloud.
Découvrez-en plus sur l’extension de la configuration d’invités Azure Policy.
Extension Defender pour point de terminaison
Lorsque vous activez Defender pour serveurs, Defender pour le cloud déploie automatiquement une extension Defender pour point de terminaison. L’extension est une interface de gestion qui exécute un script à l’intérieur du système d’exploitation pour déployer et intégrer le capteur Defender pour point de terminaison sur la machine.
- Extension de machines virtuelles :
MDE.Windows - Extension machines Linux :
MDE.Linux - Les machines doivent répondre aux exigences minimales.
- Certaines versions de Windows Server ont des exigences spécifiques.
La plupart des services Defender pour point de terminaison peuvent être accessibles via *.endpoint.security.microsoft.com ou via les balises de service Defender pour point de terminaison. Vérifiez que vous êtes connecté(e) au service Defender pour point de terminaison et découvrez les conditions requises pour les mises à jour automatiques et d’autres fonctionnalités..
Vérifier le support du système d’exploitation
Avant de déployer Defender pour serveurs, vérifiez la prise en charge du système d’exploitation pour les agents et les extensions :
- Vérifiez que vos systèmes d’exploitation sont pris en charge par Defender pour point de terminaison.
- Vérifiez les exigences pour l’agent Machine Connect Azure Arc .
- Vérifiez le support du système d’exploitation pour l’agent Log Analytics et l’agent Azure Monitor.
Examiner l’approvisionnement d’un agent
Lorsque vous activez des plans dans Defender pour le cloud, incluant Defender pour serveurs, vous pouvez choisir d’approvisionner automatiquement certains agents pertinents pour Defender pour serveurs :
- Agent Log Analytics et agent Azure Monitor pour machines virtuelles Azure
- Agent Log Analytics et agent Azure Monitor pour machines virtuelles Azure Arc
- Agents Qualys
- Agent de configuration invités
Lorsque vous activez Defender pour serveurs Plan 1 ou Plan 2, l’extension Defender pour point de terminaison est automatiquement configurée sur toutes les machines prises en charge dans l’abonnement.
Considérations relatives à l’approvisionnement
Le tableau suivant décrit les considérations relatives à l’approvisionnement à prendre en compte :
| Approvisionnement | Détails |
|---|---|
| Capteur Defender pour point de terminaison | Si des machines exécutent Microsoft Antimalware, également appelé System Center Endpoint Protection (SCEP), l’extension Windows les supprime automatiquement de l’ordinateur. Si vous effectuez un déploiement sur une machine qui dispose déjà du capteur Defender pour point de terminaison hérité de l’agent de surveillance Microsoft (MMA) en cours d’exécution, après avoir correctement installé la solution unifiée Defender pour le cloud/Defender pour point de terminaison, l’extension arrête et désactive le capteur hérité. La modification est transparente et l’historique de protection de la machine est conservé. |
| Machines AWS et GCP | Configurez l’approvisionnement automatique lorsque vous configurez le connecteur AWS ou GCP. |
| Installation manuelle | Si vous ne souhaitez pas que Defender pour le cloud configure l’agent Log Analytics et l’agent Azure Monitor, vous pouvez installer les agents manuellement. Vous pouvez connecter l’agent à l’espace de travail Defender pour le cloud par défaut ou à un espace de travail personnalisé. L’espace de travail doit avoir la solution SecurityCenterFree (pour un CSPM de base gratuit) ou la solution Sécurité activée (Defender pour serveurs Plan 2). |
| Agent Log Analytics en cours d’exécution directe | Si l’agent Log Analytics est en cours d’exécution sur une machine virtuelle Windows, mais pas en tant qu’extension de machine virtuelle, Defender pour le cloud installe l’extension. L’agent envoie un rapport à l’espace de travail Defender pour le cloud et l’espace de travail de l’agent existant. Les machines virtuelles Linux ne prennent pas en charge le multihébergement. S’il existe un agent, l’agent Log Analytics n’est pas automatiquement provisionné. |
| Agent Operations Manager | L’agent Log Analytics peut travailler côte à côte avec l’agent Operations Manager. Les agents partagent des bibliothèques de runtimes communs mises à jour une fois l’agent Log Analytics déployé. |
| Suppression de l’extension Log Analytics | Si vous supprimez l’extension Log Analytics, Defender pour Cloud ne peut pas collecter les données de sécurité et les recommandations, ce qui entraîne des alertes manquantes. Dans les 24 heures, Defender pour le cloud détermine que l’extension est manquante et la réinstalle. |
Quand refuser l’approvisionnement automatique
Vous pouvez refuser l’approvisionnement automatique dans les circonstances décrites dans le tableau suivant :
| Situation | Agent approprié | Détails |
|---|---|---|
| Vous avez des machines virtuelles critiques qui ne doivent pas avoir d’agents installés | Agent Log Analytics et agent Azure Monitor | L’approvisionnement automatique concerne l’intégralité d’un abonnement. Vous ne pouvez pas refuser pour des machines spécifiques. |
| Vous exécutez l’agent System Center Operations Manager version 2012 avec Operations Manager 2012 | Agent Log Analytics | Avec cette configuration, n’activez pas l’approvisionnement automatique ; les fonctionnalités de gestion peuvent être perdues. |
| Vous souhaitez configurer un espace de travail personnalisé | Agent Log Analytics et agent Azure Monitor | Vous disposez de deux options avec un espace de travail personnalisé : - Désactiver l’approvisionnement automatique lors de la première configuration de Defender pour le cloud. Ensuite, configurez l’approvisionnement sur votre espace de travail personnalisé. - Laissez l’approvisionnement automatique s’exécuter pour installer les agents Log Analytics sur les machines. Définissez un espace de travail personnalisé, puis reconfigurez les machines virtuelles existantes avec le nouveau paramètre d’espace de travail. |
Étapes suivantes
Après avoir suivi les étapes de planification, vous pouvez démarrer le déploiement :
- Activer les plans dans Defender pour serveurs
- Connectez des machines locales à Azure.
- Connectez des comptes AWS à Defender pour le cloud.
- Connectez des projets GCP à Defender pour le cloud.
- En savoir plus sur la mise à l’échelle de votre déploiement Defender pour serveur.