Partager via


Planifier des agents, des extensions et Azure Arc pour Defender pour serveurs

Cet article vous aide à planifier vos agents, extensions et ressources Azure Arc pour votre déploiement Microsoft Defender pour serveurs.

Defender pour serveurs est l’un des plans payés fournis par Microsoft Defender pour le cloud.

Avant de commencer

Cet article est le cinquième du guide de planification Defender pour serveurs. Avant de commencer, passez en revue les articles précédents :

  1. Commencer à planifier votre déploiement.
  2. Comprendre où vos données sont stockées et les exigences de l’espace de travail Log Analytics.
  3. Évaluer les rôles d’accès Defender pour serveur.
  4. Sélectionner un plan pour Defender pour serveurs.

Évaluer les exigences d’Azure Arc

Azure Arc vous aide à intégrer Amazon Web Services (AWS), Google Cloud Platform (GCP) et des machines locales à Azure. Defender pour le cloud utilise Azure Arc pour protéger les machines non-Azure.

Gestion de la posture de sécurité cloud de base

Les fonctionnalités gratuites de la gestion de la posture de sécurité cloud (CSPM) pour les machines AWS et GCP ne nécessitent pas Azure Arc. Pour obtenir des fonctionnalités complètes, nous vous recommandons d’exécuter Azure Arc sur des machines AWS ou GCP.

L’intégration d’Azure Arc est requise pour les machines locales.

Plan Defender pour les serveurs

Pour utiliser Defender pour serveurs, toutes les machines AWS, GCP et locales doivent être compatibles avec Azure Arc.

Vous pouvez intégrer automatiquement l’agent Azure Arc à vos serveurs AWS ou GCP avec le connecteur multicloud AWS ou GCP.

Planifier le déploiement d’Azure Arc

Pour planifier le déploiement d’Azure Arc :

  1. Évaluez les suggestions de planification Azure Arc et les prérequis de déploiement.

  2. Ouvrez dans votre pare-feu les ports de réseau pour Azure Arc.

  3. Azure Arc installe l’agent Connected Machine pour se connecter aux machines hébergées en dehors d’Azure et les gérer. Passez en revue les informations suivantes :

Agent Log Analytics et agent Azure Monitor

Remarque

Étant donné que l’agent Log Analytics est mis hors service en août 2024 et dans le cadre de la stratégie mise à jour de Defender pour Cloud , toutes les fonctionnalités et fonctionnalités de Defender pour serveurs seront fournies via l’intégration de Microsoft Defender pour point de terminaison ou analyse sans agent, sans dépendance vis-à-vis de l’agent Log Analytics (MMA) ou de l’agent Azure Monitor (AMA). Par conséquent, le processus de provisionnement automatique partagé pour les deux agents sera ajusté en conséquence pour plus d’informations sur cette modification, consultez cette annonce.

Defender pour le cloud utilise l’agent Log Analytics et l’agent Azure Monitor pour collecter des informations à partir de ressources de calcul. Ensuite, il envoie les données à un espace de travail Log Analytics pour une analyse plus approfondie. Consultez les différences et les suggestions concernant les deux agents.

Le tableau suivant décrit les agents utilisés dans Defender pour serveurs :

Fonctionnalité Agent Log Analytics Agent Azure Monitor
Suggestions CSPM de base (gratuites) qui dépendent de l’agent : recommandation de base du système d’exploitation (machines virtuelles Azure)

Avec l’agent Azure Monitor, l’extension de configuration invité Azure Policy est utilisée.
CSPM de base : suggestions relatives aux mises à jour système (machines virtuelles Azure) Pas encore disponible.
CSPM de base : suggestions relatives à la protection des logiciels anti-programme malveillant/point de terminaison (machines virtuelles Azure)
Détection des menaces au niveau du système d’exploitation et de la couche réseau, y compris la détection des attaques sans fichier

Le plan 1 s’appuie sur les fonctionnalités de Defender pour point de terminaison pour la détection des attaques.


Plan 2


Plan 2
Monitoring de l’intégrité des fichiers (plan 2 uniquement)

Extension Qualys

L’extension Qualys est disponible dans Defender pour serveurs Plan 2. L'extension est déployée si vous souhaitez utiliser Qualys pour l'évaluation des vulnérabilités.

Voici des informations supplémentaires :

  • L’extension Qualys envoie des métadonnées à des fins d’analyse à l’une des deux régions du centre de données Qualys, en fonction de votre région Azure.

    • Si vous’utilisez une région Azure européenne, le traitement des données se produit dans le centre de données Qualys European Data Center.
    • Pour d’autres régions, le traitement des données se produit au centre de données américain.
  • Pour utiliser Qualys sur un ordinateur, l’extension doit être installée et l’ordinateur doit être en mesure de communiquer avec le point de terminaison réseau approprié :

    • Centre de données Europe : https://qagpublic.qg2.apps.qualys.eu
    • Centre de données États-Unis : https://qagpublic.qg3.apps.qualys.com

Extension Guest Configuration

L’extension effectue des opérations d’audit et de configuration à l’intérieur des machines virtuelles.

  • Si vous utilisez l’agent Azure Monitor, Defender pour le cloud tire parti de cette extension pour analyser les paramètres de base de la sécurité du système d’exploitation sur les machines Windows et Linux.
  • Bien que les serveurs avec Azure Arc et l’extension de configuration invité soient gratuits, des coûts supplémentaires peuvent s’appliquer lors de l’utilisation de stratégies de configuration d’invités sur des serveurs Azure Arc en dehors de l’étendue de Defender pour le cloud.

Découvrez-en plus sur l’extension de la configuration d’invités Azure Policy.

Extension Defender pour point de terminaison

Lorsque vous activez Defender pour serveurs, Defender pour le cloud déploie automatiquement une extension Defender pour point de terminaison. L’extension est une interface de gestion qui exécute un script à l’intérieur du système d’exploitation pour déployer et intégrer le capteur Defender pour point de terminaison sur la machine.

  • Extension de machines virtuelles : MDE.Windows
  • Extension machines Linux : MDE.Linux
  • Les machines doivent répondre aux exigences minimales.
  • Certaines versions de Windows Server ont des exigences spécifiques.

La plupart des services Defender pour point de terminaison peuvent être accessibles via *.endpoint.security.microsoft.com ou via les balises de service Defender pour point de terminaison. Vérifiez que vous êtes connecté(e) au service Defender pour point de terminaison et découvrez les conditions requises pour les mises à jour automatiques et d’autres fonctionnalités..

Vérifier le support du système d’exploitation

Avant de déployer Defender pour serveurs, vérifiez la prise en charge du système d’exploitation pour les agents et les extensions :

Examiner l’approvisionnement d’un agent

Lorsque vous activez des plans dans Defender pour le cloud, incluant Defender pour serveurs, vous pouvez choisir d’approvisionner automatiquement certains agents pertinents pour Defender pour serveurs :

  • Agent Log Analytics et agent Azure Monitor pour machines virtuelles Azure
  • Agent Log Analytics et agent Azure Monitor pour machines virtuelles Azure Arc
  • Agents Qualys
  • Agent de configuration invités

Lorsque vous activez Defender pour serveurs Plan 1 ou Plan 2, l’extension Defender pour point de terminaison est automatiquement configurée sur toutes les machines prises en charge dans l’abonnement.

Considérations relatives à l’approvisionnement

Le tableau suivant décrit les considérations relatives à l’approvisionnement à prendre en compte :

Approvisionnement Détails
Capteur Defender pour point de terminaison Si des machines exécutent Microsoft Antimalware, également appelé System Center Endpoint Protection (SCEP), l’extension Windows les supprime automatiquement de l’ordinateur.

Si vous effectuez un déploiement sur une machine qui dispose déjà du capteur Defender pour point de terminaison hérité de l’agent de surveillance Microsoft (MMA) en cours d’exécution, après avoir correctement installé la solution unifiée Defender pour le cloud/Defender pour point de terminaison, l’extension arrête et désactive le capteur hérité. La modification est transparente et l’historique de protection de la machine est conservé.
Machines AWS et GCP Configurez l’approvisionnement automatique lorsque vous configurez le connecteur AWS ou GCP.
Installation manuelle Si vous ne souhaitez pas que Defender pour le cloud configure l’agent Log Analytics et l’agent Azure Monitor, vous pouvez installer les agents manuellement.

Vous pouvez connecter l’agent à l’espace de travail Defender pour le cloud par défaut ou à un espace de travail personnalisé.

L’espace de travail doit avoir la solution SecurityCenterFree (pour un CSPM de base gratuit) ou la solution Sécurité activée (Defender pour serveurs Plan 2).
Agent Log Analytics en cours d’exécution directe Si l’agent Log Analytics est en cours d’exécution sur une machine virtuelle Windows, mais pas en tant qu’extension de machine virtuelle, Defender pour le cloud installe l’extension. L’agent envoie un rapport à l’espace de travail Defender pour le cloud et l’espace de travail de l’agent existant.

Les machines virtuelles Linux ne prennent pas en charge le multihébergement. S’il existe un agent, l’agent Log Analytics n’est pas automatiquement provisionné.
Agent Operations Manager L’agent Log Analytics peut travailler côte à côte avec l’agent Operations Manager. Les agents partagent des bibliothèques de runtimes communs mises à jour une fois l’agent Log Analytics déployé.
Suppression de l’extension Log Analytics Si vous supprimez l’extension Log Analytics, Defender pour Cloud ne peut pas collecter les données de sécurité et les recommandations, ce qui entraîne des alertes manquantes. Dans les 24 heures, Defender pour le cloud détermine que l’extension est manquante et la réinstalle.

Quand refuser l’approvisionnement automatique

Vous pouvez refuser l’approvisionnement automatique dans les circonstances décrites dans le tableau suivant :

Situation Agent approprié Détails
Vous avez des machines virtuelles critiques qui ne doivent pas avoir d’agents installés Agent Log Analytics et agent Azure Monitor L’approvisionnement automatique concerne l’intégralité d’un abonnement. Vous ne pouvez pas refuser pour des machines spécifiques.
Vous exécutez l’agent System Center Operations Manager version 2012 avec Operations Manager 2012 Agent Log Analytics Avec cette configuration, n’activez pas l’approvisionnement automatique ; les fonctionnalités de gestion peuvent être perdues.
Vous souhaitez configurer un espace de travail personnalisé Agent Log Analytics et agent Azure Monitor Vous disposez de deux options avec un espace de travail personnalisé :

- Désactiver l’approvisionnement automatique lors de la première configuration de Defender pour le cloud. Ensuite, configurez l’approvisionnement sur votre espace de travail personnalisé.

- Laissez l’approvisionnement automatique s’exécuter pour installer les agents Log Analytics sur les machines. Définissez un espace de travail personnalisé, puis reconfigurez les machines virtuelles existantes avec le nouveau paramètre d’espace de travail.

Étapes suivantes

Après avoir suivi les étapes de planification, vous pouvez démarrer le déploiement :