Connecter des environnements cloud hybrides et multiclouds à Microsoft Defender pour cloud

  • 7 minutes

La connexion d’environnements cloud hybrides et multiclouds à Microsoft Defender pour Cloud est essentielle pour maintenir une posture de sécurité unifiée dans différents paysages informatiques. Avec les serveurs avec Azure Arc pour les machines non-Azure, Native Cloud Connector et Classic Connector, vous pouvez étendre les fonctionnalités de Microsoft Defender pour Cloud à des ressources autres qu’Azure. Cette intégration vous permet de surveiller, détecter et répondre aux menaces de sécurité de manière complète. Ici, nous fournissons une vue d’ensemble informative du processus, ainsi que des exigences détaillées pour une connexion réussie.

Connecter vos machines non-Azure à Microsoft Defender pour Cloud

Microsoft Defender pour Cloud peut surveiller la posture de sécurité de vos machines non-Azure, mais vous devez d’abord les connecter à Azure.

Vous pouvez connecter vos ordinateurs non-Azure de l’une des manières suivantes :

  • Intégration à Azure Arc :
    • À l’aide de serveurs avec Azure Arc (recommandé)
    • À l’aide du portail Azure
  • Intégration directe avec Microsoft Defender for Endpoint

Connecter des machines locales à l’aide d’Azure Arc

Une machine avec des serveurs avec Azure Arc devient une ressource Azure. Lorsque vous installez l’agent Log Analytics sur celui-ci, il apparaît dans Defender pour Cloud avec des recommandations, comme vos autres ressources Azure.

Les serveurs avec Azure Arc offrent des fonctionnalités améliorées, telles que l’activation des stratégies de configuration invité sur la machine et la simplification du déploiement avec d’autres services Azure. Pour obtenir une vue d’ensemble des avantages des serveurs avec Azure Arc, consultez Opérations cloud prises en charge.

Pour déployer Azure Arc sur une machine, suivez les instructions de démarrage rapide : Connecter des machines hybrides avec des serveurs avec Azure Arc.

Pour déployer Azure Arc sur plusieurs machines à grande échelle, suivez les instructions fournies dans Connecter des machines hybrides à Azure à grande échelle.

Les outils Defender pour cloud pour le déploiement automatique de l’agent Log Analytics fonctionnent avec des machines exécutant Azure Arc. Toutefois, cette fonctionnalité est actuellement en préversion. Lorsque vous connectez vos machines à l’aide d’Azure Arc, utilisez la recommandation Defender for Cloud appropriée pour déployer l’agent et tirer parti de la gamme complète de protections proposées par Defender pour cloud :

  • L’agent Log Analytics doit être installé sur vos machines Azure Arc linux
  • L’agent Log Analytics doit être installé sur vos machines Azure Arc windows

Connecter votre compte AWS à Microsoft Defender pour Cloud

Les charges de travail s’étendent généralement sur plusieurs plateformes cloud. Les services de sécurité cloud doivent faire de même. Microsoft Defender pour Cloud permet de protéger les charges de travail dans Amazon Web Services (AWS), mais vous devez configurer la connexion entre eux et Defender pour cloud.

Si vous connectez un compte AWS que vous avez précédemment connecté à l’aide du connecteur classique, vous devez d’abord le supprimer. L’utilisation d’un compte AWS connecté par les connecteurs classiques et natifs peut produire des recommandations en double.

Conditions préalables

Pour effectuer les procédures décrites dans cet article, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire gratuitement.
  • Microsoft Defender pour Cloud configuré sur votre abonnement Azure.
  • Accès à un compte AWS.
  • Autorisation contributeur pour l’abonnement Azure approprié et autorisation Administrateur sur le compte AWS.

Defender pour conteneurs

Si vous choisissez le plan Microsoft Defender pour conteneurs, vous avez besoin des éléments suivants :

  • Au moins un cluster Amazon EKS avec l’autorisation d’accéder au serveur d’API Kubernetes EKS.
  • Capacité des ressources pour créer une file d'attente Amazon Simple Queue Service (SQS), un flux de livraison Amazon Kinesis Data Firehose et un bucket Amazon S3 dans la région du cluster.

Defender pour SQL

Si vous choisissez le plan Microsoft Defender pour SQL, vous avez besoin des éléments suivants :

  • Microsoft Defender pour SQL activé sur votre abonnement. Découvrez comment protéger vos bases de données.
  • Un compte AWS actif, avec des instances EC2 exécutant SQL Server ou RDS (Relational Database Service) personnalisées pour SQL Server.
  • Azure Arc installé sur vos serveurs EC2 ou RDS Custom pour SQL Server.

Nous vous recommandons d’utiliser le processus d’approvisionnement automatique pour installer Azure Arc sur toutes vos instances EC2 existantes et futures. Pour activer l’approvisionnement automatique Azure Arc, vous avez besoin de l’autorisation Propriétaire sur l’abonnement Azure approprié.

AWS Systems Manager (SSM) gère l’approvisionnement automatique à l’aide de l’agent SSM. Certaines Amazon Machine Images ont déjà l'agent SSM préinstallé. Si vos instances EC2 n’ont pas l’agent SSM, installez-la à l’aide de ces instructions à partir d’Amazon : Installer l’agent SSM pour un environnement hybride et multicloud (Windows).

Vérifiez que votre agent SSM a la stratégie managée AmazonSSMManagedInstanceCore. Il active les fonctionnalités principales du service AWS Systems Manager.

Activez ces autres extensions sur les machines connectées à Azure Arc :

  • Microsoft Defender pour point de terminaison
  • Solution d’évaluation des vulnérabilités (Gestion des menaces et des vulnérabilités ou Qualys)
  • Agent Log Analytics sur des machines connectées à Azure Arc ou sur l’agent Azure Monitor

Vérifiez que l’espace de travail Log Analytics sélectionné dispose d’une solution de sécurité installée. L’agent Log Analytics et l’agent Azure Monitor sont actuellement configurés au niveau de l’abonnement. Tous vos comptes AWS et projets Google Cloud Platform (GCP) sous le même abonnement héritent des paramètres d’abonnement de l’agent Log Analytics et de l’agent Azure Monitor.

Defender pour serveurs

Si vous choisissez le plan Microsoft Defender pour serveurs, vous avez besoin des éléments suivants :

  • Microsoft Defender pour serveurs activé sur votre abonnement. Découvrez comment activer des plans dans Activer les fonctionnalités de sécurité améliorées.
  • Un compte AWS actif, avec des instances EC2.
  • Azure Arc pour serveurs installés sur vos instances EC2.

Nous vous recommandons d’utiliser le processus d’approvisionnement automatique pour installer Azure Arc sur toutes vos instances EC2 existantes et futures. Pour activer l’approvisionnement automatique Azure Arc, vous avez besoin de l’autorisation Propriétaire sur l’abonnement Azure approprié.

AWS Systems Manager gère l’approvisionnement automatique à l’aide de l’agent SSM. Certaines des images Amazon Machine ont déjà l'agent SSM préinstallé. Si vos instances EC2 ne disposent pas de l’agent SSM, installez-la à l’aide de l’une des instructions suivantes d’Amazon :

  • Installer l’agent SSM pour un environnement hybride et multicloud (Windows)
  • Installer l’agent SSM pour un environnement hybride et multicloud (Linux)

Vérifiez que votre agent SSM dispose de la stratégie managée AmazonSSMManagedInstanceCore, qui active les fonctionnalités principales du service AWS Systems Manager.

Si vous souhaitez installer manuellement Azure Arc sur vos instances EC2 existantes et futures, utilisez la recommandation « les instances EC2 doivent être connectées à Azure Arc » pour identifier celles sur lesquelles Azure Arc n’est pas installé.

Activez ces autres extensions sur les machines connectées à Azure Arc :

  • Microsoft Defender pour point de terminaison
  • Solution d’évaluation des vulnérabilités (Gestion des menaces et des vulnérabilités ou Qualys)
  • Agent Log Analytics sur des machines connectées à Azure Arc ou sur l’agent Azure Monitor

Vérifiez que l’espace de travail Log Analytics sélectionné dispose d’une solution de sécurité installée. L’agent Log Analytics et l’agent Azure Monitor sont actuellement configurés au niveau de l’abonnement. Tous vos comptes AWS et projets GCP sous le même abonnement héritent des paramètres d’abonnement de l’agent Log Analytics et de l’agent Azure Monitor.

Defender pour serveurs affecte des balises à vos ressources AWS pour gérer le processus d’approvisionnement automatique. Vous devez avoir ces balises correctement affectées à vos ressources afin que Defender pour cloud puisse les gérer : AccountId, Cloud, InstanceIdet MDFCSecurityConnector.

Defender CSPM

Si vous choisissez le plan Microsoft Defender Cloud Security Posture Management, vous avez besoin des éléments suivants :

  • Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire à un abonnement gratuit.
  • Vous devez activer Microsoft Defender pour Cloud sur votre abonnement Azure.
  • Connectez vos machines non-Azure, comptes AWS.
  • Pour accéder à toutes les fonctionnalités disponibles à partir du plan CSPM, le plan doit être activé par le propriétaire de l’abonnement.