Fonctionnalités de sécurité de base et renforcées

Defender pour le cloud offre de nombreuses fonctionnalités de sécurité de base et renforcées qui permettent de protéger votre organisation contre les menaces et les attaques.

Fonctionnalités de base

Quand vous ouvrez Defender pour le cloud dans le Portail Azure pour la première fois ou si vous l’activez par le biais de l’API, le service est activé gratuitement sur tous vos abonnements Azure. Par défaut, Defender pour le cloud fournit des fonctionnalités de gestion de la posture de sécurité cloud (CSPM) de base, notamment, le niveau de sécurité, la stratégie de sécurité et les recommandations de base et l’évaluation de la sécurité réseau pour vous aider à protéger vos ressources Azure.

Tester les fonctionnalités améliorées

Si vous voulez tester les fonctionnalités de sécurité renforcée, activez-les gratuitement pendant une période de 30 jours. Une fois les 30  jours écoulés, si vous décidez de continuer à utiliser le service, votre utilisation est automatiquement facturée. Pour plus d’informations sur la tarification dans votre devise locale ou votre région, consultez la page relative à la tarification.

Fonctionnalités améliorées

Quand vous activez les fonctionnalités de sécurité renforcée (option payante), Defender pour le cloud propose une gestion unifiée de la sécurité et une protection contre les menaces sur vos charges de travail cloud hybrides, notamment :

  • Microsoft Defender pour point de terminaison : Microsoft Defender pour les serveurs comprend Microsoft Defender pour point de terminaison afin d’offrir une protection évolutive des points de terminaison (PEPT) complète. Apprenez-en davantage sur les avantages de l’utilisation de Microsoft Defender pour point de terminaison avec Azure Defender pour le cloud dans Utiliser la solution PEPT intégrée de Defender pour le cloud.

  • Évaluation des vulnérabilités pour les machines virtuelles, les registres de conteneur et les ressources de SQL : activez facilement les solutions d’évaluation des vulnérabilités pour découvrir, gérer et résoudre les vulnérabilités. Affichez, examinez et corrigez les résultats directement depuis Defender pour le cloud.

  • Sécurité multicloud : connectez vos comptes à partir d’Amazon Web Services (AWS) et de Google Cloud Platform (GCP) pour protéger les ressources et les charges de travail sur ces plateformes grâce à une série de fonctionnalités de sécurité de Microsoft Defender pour le cloud.

  • Sécurité hybride : obtenez une vue unifiée de la sécurité sur l’ensemble de vos charges de travail cloud et locales. Appliquez des stratégies de sécurité et évaluez en continu la sécurité de vos charges de travail cloud hybrides pour garantir la conformité aux normes de sécurité. Collectez, recherchez et analysez des données de sécurité à partir d’un large éventail de sources, dont les pare-feu et autres solutions partenaires.

  • Alertes de protection contre les menaces : les analyses comportementales avancées et Microsoft Intelligent Security Graph offrent une longueur d’avance face à l’évolution des attaques informatiques. Les analytiques comportementales intégrées et le machine learning peuvent identifier les attaques et les vulnérabilités zero-day. Supervisez les réseaux, les machines, les magasins de données (serveurs SQL hébergés dans et en dehors d’Azure, bases de données Azure SQL, Azure SQL Managed Instance et Stockage Azure) et les services cloud pour les attaques entrantes et l’activité consécutive à une violation. Simplifiez l’investigation avec des outils interactifs et des informations sur les menaces contextuelles.

  • Veillez au respect de la conformité au moyen d’une série de normes : Defender pour le cloud évalue continuellement votre environnement cloud hybride afin d’analyser les facteurs de risque en fonction des contrôles et des bonnes pratiques du Benchmark de sécurité Microsoft Cloud. Quand vous activez les fonctionnalités de sécurité renforcée, vous pouvez appliquer d’autres normes industrielles, normes réglementaires et points de référence en fonction des besoins de votre organisation. Le tableau de bord de conformité réglementaire vous permet d’ajouter des normes et de veiller au respect de la conformité.

  • Contrôles des accès et des applications : bloquez les programmes malveillants et autres applications indésirables en appliquant les recommandations basées sur le Machine Learning et adaptées à vos charges de travail spécifiques pour créer des listes vertes et des listes de refus. Réduisez la surface d’attaque réseau grâce à un accès contrôlé et juste à temps aux ports de gestion sur les machines virtuelles Azure. Le contrôle de l’accès et des applications réduit considérablement l’exposition aux attaques par force brute et autres attaques réseau.

  • Fonctionnalités de sécurité des conteneurs : tirez parti de la gestion des vulnérabilités et de la protection contre les menaces en temps réel sur vos environnements en conteneur. Les frais sont basés sur le nombre d’images conteneur uniques transmises à votre registre connecté. Une fois qu’une image a été analysée une fois, elle ne sera plus facturée à moins qu’elle ne soit modifiée et transmise une fois de plus.

  • Protection étendue contre les menaces pour les ressources connectées à Azure : protection contre les menaces native cloud pour les services Azure communs à toutes vos ressources : Azure Resource Manager, Azure DNS, la couche réseau Azure et Azure Key Vault. Offrant une visibilité unique sur la couche de gestion Azure et la couche Azure DNS, Defender pour le cloud peut protéger les ressources cloud connectées à ces couches.

  • Gérez votre solution de gestion de la posture de sécurité cloud (CSPM) : CSPM vous permet de résoudre les problèmes de sécurité et d’examiner votre posture de sécurité par le biais des outils fournis. Ces outils incluent :

    • Gouvernance de la sécurité et conformité réglementaire
    • Graphique de sécurité du cloud
    • Analyse du chemin d’attaque
    • Analyse sans agent des machines

FAQ – Prix et facturation

Comment suivre les personnes de mon organisation qui ont activé une offre Microsoft Defender dans Defender pour le cloud ?

Des abonnements Azure peuvent avoir plusieurs administrateurs autorisés à modifier les paramètres de tarification. Pour savoir quel utilisateur a effectué une modification, utilisez le journal d’activité Azure.

Journal d’activité Azure montrant un événement de modification de tarif.

Si les informations de l’utilisateur ne sont pas listées dans la colonne Événement lancé par, explorez les données JSON de l’événement pour obtenir les détails correspondants.

Explorateur JSON du journal d’activité Azure.

Quels sont les offres proposées par Defender pour le cloud ?

L’offre gratuite de Microsoft Defender pour le Cloud inclut le niveau de sécurité et les outils associés. L’activation de la sécurité renforcée active toutes les offres Microsoft Defender pour offrir une série d’avantages en matière de sécurité pour toutes vos ressources dans les environnements Azure, hybrides et multiclouds.

Comment activer la sécurité renforcée de Defender pour le cloud pour mon abonnement ?

Pour activer la sécurité renforcée pour votre abonnement, vous pouvez utiliser les méthodes suivantes  :

Méthode Instructions
Defender pour pages cloud du portail Azure Activer les protections renforcées
API REST API pricings
Azure CLI az security pricing
PowerShell Set-AzSecurityPricing
Azure Policy Bundle Pricings

Puis-je activer Microsoft Defender pour les serveurs sur un sous-ensemble de serveurs ?

Non. Lorsque vous activez Microsoft Defender pour serveurs sur un abonnement Azure ou un compte AWS connecté, toutes les machines connectées sont protégées par Defender pour serveurs.

Une autre solution consiste à activer Microsoft Defender pour serveurs au niveau de l’espace de travail Log Analytics. Dans ce cas, seuls les serveurs qui rapportent à cet espace de travail seront protégés et facturés. Toutefois, plusieurs fonctionnalités ne seront pas disponibles. Il s’agit notamment de Microsoft Defender pour point de terminaison, de la solution VA (TVM/Qualys), de l’accès juste-à-temps à la machine virtuelle, etc.

Si j’ai déjà une licence Microsoft Defender pour point de terminaison, puis-je bénéficier d’une remise sur Defender pour les serveurs ?

Si vous disposez déjà d’une licence pour Microsoft Defender pour point de terminaison pour les serveurs Plan 2, vous n’aurez pas à payer pour cette partie de votre licence Microsoft Defender pour les serveurs. En savoir plus sur cette licence.

Pour demander votre remise, contactez l’équipe de support technique de Defender pour le cloud. Fournissez l’ID d’espace de travail, la région et le nombre de licences Microsoft Defender pour point de terminaison pour serveurs qui sont appliquées sur les ordinateurs de l’espace de travail donné.

La remise est effective à compter de la date d’approbation et ne sera pas rétroactive.

Mon abonnement dispose de Microsoft Defender pour serveurs activé, pour quelles machines dois-je payer ?

Lorsque vous activez Microsoft Defender pour serveurs sur un abonnement, toutes les machines de cet abonnement (y compris les machines qui font partie des services PaaS et résident dans cet abonnement) sont facturées en fonction de leur état d’alimentation, comme indiqué dans le tableau suivant :

State Description Facturation de l’utilisation de l’instance
Démarrage en cours La machine virtuelle démarre. Pas de facturation
Exécution en cours État de fonctionnement normal d’une machine virtuelle Facturation
En cours d’arrêt Cet état est transitoire. À l’issue de l’opération, l’état indiqué est Arrêté. Facturation
Arrêté La machine virtuelle a été arrêtée à partir du système d’exploitation invité ou à l’aide des API PowerOff. Le matériel est toujours alloué à la machine virtuelle et demeure sur l’hôte. Facturation
Libération Cet état est transitoire. À l’issue de l’opération, la machine virtuelle indique l’état Désalloué. Pas de facturation
Libéré La machine virtuelle a été arrêtée et supprimée de l’hôte. Pas de facturation

Machines virtuelles Azure montrant une machine désallouée.

Si j’active le plan Serveurs de Defender pour le cloud au niveau de l’abonnement, dois-je l’activer au niveau de l’espace de travail ?

Lorsque vous activez le plan Serveurs au niveau de l’abonnement, Defender pour le cloud active automatiquement le plan Serveurs sur vos espaces de travail par défaut. Connectez-vous à l’espace de travail par défaut en sélectionnant l’option Connecter les machines virtuelles Azure à/aux espace(s) de travail par défaut créé(s) par Defender pour le cloud, puis Appliquer.

Capture d’écran montrant comme provisionner automatiquement Defender pour le cloud afin de gérer vos espaces de travail.

Toutefois, si vous utilisez un espace de travail personnalisé à la place de l’espace de travail par défaut, vous devez activer le plan Serveurs sur tous vos espaces de travail personnalisés qui ne l’ont pas activé.

Si vous utilisez un espace de travail personnalisé et que vous activez le plan au niveau de l’abonnement uniquement, la recommandation Microsoft Defender for servers should be enabled on workspaces s’affiche sur la page Recommandations. Cette recommandation vous offre la possibilité d’activer le plan Serveurs au niveau de l’espace de travail à l’aide du bouton Corriger. Vous êtes facturé pour toutes les machines virtuelles incluses dans l’abonnement, même si le plan Serveurs n’est pas activé pour l’espace de travail. Les machines virtuelles ne bénéficient pas des fonctionnalités qui dépendent de l’espace de travail Log Analytics, comme Microsoft Defender pour point de terminaison, la solution d’évaluation des vulnérabilités (TVM/Qualys) et l’accès juste-à-temps aux machines virtuelles.

L’activation du plan Serveurs à la fois sur l’abonnement et ses espaces de travail connectés n’entraîne pas de double facturation. Le système identifie chaque machine virtuelle unique.

Si vous activez le plan Serveurs sur des espaces de travail inter-abonnements, les machines virtuelles connectées, qui ont l’agent Log Analytics installé, de tous les abonnements sont facturées, y compris les abonnements pour lesquels le plan Serveurs n’est pas activé. Les machines virtuelles connectées, qui ont l’agent Azure Monitor installé, sont facturées uniquement si le plan Serveurs est activé au niveau de l’abonnement.

Les machines sur lesquelles l’agent Log Analytics n’est pas installé seront-elles facturées ?

Oui. Lorsque vous activez Microsoft Defender pour les serveurs sur un abonnement Azure ou un compte AWS connecté, vous êtes facturé pour toutes les machines connectées à votre abonnement Azure ou à votre compte AWS. Le terme « machines » s’applique aux machines virtuelles Azure, aux instances de groupe de machines virtuelles identiques Azure et aux serveurs Azure Arc. Les machines sur lesquelles Log Analytics n’est pas installé sont couvertes par des protections qui ne dépendent pas de l’agent Log Analytics.

Si un agent Log Analytics émet un rapport dans plusieurs espaces de travail, est-il facturé deux fois ?

Si des machines sont rattachées à plusieurs espaces de travail et que Defender pour les serveurs est activé pour tous ceux-ci, les machines sont facturées pour chaque espace de travail rattaché.

Si un agent Log Analytics émet un rapport dans plusieurs espaces de travail, l’ingestion de données gratuite de 500 Mo est-elle disponible sur chacun d’eux ?

Oui. Si vous configurez votre agent Log Analytics pour envoyer des données à deux espaces de travail Log Analytics différents ou plus (multihébergement), vous obtenez une ingestion de données gratuite de 500 Mo pour chaque espace de travail. Cela est calculé par nœud, par espace de travail signalé, par jour et disponible pour chaque espace de travail sur lequel la solution « Sécurité » ou « Logiciel anti-programme malveillant » est installée. Toutes les données ingérées au-delà de la limite de 500 Mo vous seront facturées.

L’ingestion de données gratuite de 500 Mo est-elle calculée pour un espace de travail entier ou strictement machine par machine ?

Vous obtiendrez une ingestion de données gratuite de 500 Mo par jour, pour chaque machine virtuelle connectée à l’espace de travail. Spécifiquement pour les types de données de sécurité directement collectés par Defender pour le cloud.

Ces données correspondent à un tarif journalier moyenné sur l’ensemble des nœuds. Votre limite quotidienne totale gratuite est égale à [nombre de machines] x 500 Mo. Par conséquent, même si certaines machines envoient 100 Mo et d’autres 800 Mo, si le total ne dépasse pas la limite quotidienne totale gratuite, aucun supplément ne vous est facturé.

Quels sont les types de données inclus dans l’allocation quotidienne de données de 500 Mo ?

La facturation de Defender pour le cloud est étroitement liée à la facturation de Log Analytics. Microsoft Defender pour les serveurs alloue 500 Mo/nœud/jour pour les machines de chacun des sous-ensembles de types de données de sécurité suivants :

Si l’espace de travail est au niveau tarifaire hérité Par nœud, les allocations de Defender pour le cloud et de Log Analytics sont combinées et appliquées conjointement avec toutes les données ingérées facturables.

Comment puis-je surveiller mon utilisation quotidienne ?

Vous pouvez afficher l’utilisation de vos données de deux façons différentes : à l’aide du Portail Azure ou en exécutant un script.

Pour afficher votre utilisation dans le Portail Azure :

  1. Connectez-vous au portail Azure.

  2. Accédez à Espaces de travail Log Analytics.

  3. Sélectionnez votre espace de travail.

  4. Sélectionnez Utilisation et estimation des coûts.

    Capture d’écran de votre utilisation des données de votre espace de travail Log Analytics.

Vous pouvez également afficher l’estimation des coûts sous différents niveaux tarifaires en sélectionnant pour chaque niveau tarifaire.

Capture d’écran montrant comment afficher l’estimation des coûts sous différents niveaux tarifaires.

Pour afficher votre utilisation à l’aide d’un script :

  1. Connectez-vous au portail Azure.

  2. Accédez à Espaces de travail Log Analytics>Journaux.

  3. Sélectionnez votre intervalle de temps. Découvrez les intervalles de temps.

  4. Copiez et collez la requête suivante dans la section Taper votre requête ici.

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. Sélectionnez Exécuter.

    Capture d’écran montrant où entrer votre requête et où se trouve le bouton de sélection d’exécution.

Vous pouvez apprendre à Analyser l’utilisation dans l’espace de travail Log Analytics.

En fonction de votre utilisation, vous ne serez pas facturé tant que vous n’aurez pas utilisé votre allocation quotidienne. Si vous recevez une facture, elle ne correspond qu’aux données utilisées au-delà de la limite des 500 Mo ou pour d’autres services qui ne sont pas couverts par Defender pour le cloud.

Étapes suivantes

Dans cet article, vous avez découvert les options de tarification de Defender pour le cloud. Consultez les documents connexes suivants :

Important

Le ciblage de solution a été déprécié, car l’agent Log Analytics est remplacé par l’agent Azure Monitor et les solutions dans Azure Monitor sont remplacées par des insights. Vous pouvez continuer à utiliser le ciblage de solution si vous l’avez déjà configuré, mais il n’est pas disponible dans les nouvelles régions. La fonctionnalité ne sera plus prise en charge après le 31 août 2024. Les régions qui prennent en charge le ciblage de solution jusqu’à la date de dépréciation sont les suivantes :

Code de la région Nom de la région
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
Clouds en air gap Code de la région Nom de la région
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
Chine MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest