Connecter des environnements cloud hybrides et multiclouds à Microsoft Defender pour le cloud

  • 7 minutes

La connexion d’environnements hybrides et multiclouds à Microsoft Defender pour le cloud est essentielle pour maintenir une posture de sécurité unifiée dans différents paysages informatiques. Grâce aux serveurs avec Azure Arc pour les machines non-Azure, le Connecteur cloud natif et le Connecteur classique, vous pouvez étendre les fonctionnalités de Microsoft Defender pour le cloud aux ressources non-Azure. Cette intégration vous permet de surveiller, détecter et répondre aux menaces de sécurité de manière exhaustive. Nous offrons ici une vue d’ensemble informative du processus, ainsi que des exigences détaillées pour une connexion réussie.

Connecter vos machines non Azure à Microsoft Defender pour le cloud

Microsoft Defender pour le cloud peut surveiller la posture de sécurité de vos machines non-Azure, mais vous devez commencer par les connecter à Azure.

Vous pouvez connecter vos ordinateurs autres qu’Azure de l’une des manières suivantes :

  • Intégration à Azure Arc :
    • Utilisation de serveurs avec Azure Arc (recommandé)
    • En utilisant le portail Azure
  • Intégration directe à Microsoft Defender for Endpoint

Connecter des machines locales à l’aide d’Azure Arc

Une machine avec des serveurs avec Azure Arc devient une ressource Azure. Quand vous y installez l’agent Log Analytics, il apparaît dans Defender pour le cloud avec des recommandations, comme vos autres ressources Azure.

Les serveurs avec Azure Arc offrent des fonctionnalités améliorées, comme l’activation des stratégies de configuration des invités sur la machine et la simplification du déploiement avec d’autres services Azure. Pour une présentation des avantages des serveurs avec Azure Arc, consultez Opérations cloud prises en charge.

Pour déployer Azure Arc sur une seule machine, suivez les instructions fournies dans l’article Démarrage rapide : Connecter des machines hybrides à l’aide de serveurs avec Azure Arc.

Pour déployer Azure Arc sur plusieurs machines à grande échelle, suivez les instructions fournies dans l’article Connecter des machines hybrides à Azure à grande échelle.

Les outils de Defender pour le cloud permettant de déployer automatiquement l’agent Log Analytics fonctionnent avec des machines exécutant Azure Arc. Toutefois, cette fonctionnalité est actuellement en préversion. Une fois que vous connectez vos machines à l’aide d’Azure Arc, utilisez la recommandation de Defender pour le cloud appropriée pour déployer l’agent et tirer parti de l’ensemble des protections offertes par Defender pour le cloud :

  • L’agent Log Analytics doit être installé sur vos machines Azure Arc Linux
  • L’agent Log Analytics doit être installé sur vos machines Azure Arc Windows

Connecter votre compte AWS à Microsoft Defender pour le cloud

Les charges de travail s’étendent généralement sur plusieurs plateformes cloud. Les services de sécurité du cloud doivent faire de même. Microsoft Defender pour le cloud aide à protéger les charges de travail dans Amazon Web Services (AWS), mais vous devez configurer la connexion entre elles et Defender pour le cloud.

Si vous connectez un compte AWS que vous avez précédemment connecté à l’aide du connecteur classique, vous devez d’abord le supprimer. L’utilisation d’un compte AWS connecté par les connecteurs classique et natif peut produire des recommandations en double.

Prérequis

Pour suivre les procédures décrites dans cet article, vous devez disposer des éléments suivants :

  • Un abonnement Microsoft Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire gratuitement.
  • Microsoft Defender pour le cloud configuré sur votre abonnement Azure.
  • Accès à un compte AWS.
  • Autorisation Contributeur pour l’abonnement Azure approprié et autorisation Administrateur sur le compte AWS.

Defender pour les conteneurs

Si vous choisissez le plan Microsoft Defender pour les conteneurs, vous avez besoin des éléments suivants :

  • Au moins un cluster Amazon EKS avec l’autorisation d’accéder au serveur d’API Kubernetes EKS.
  • La capacité de ressources pour créer une file d’attente Amazon Simple Queue Service (SQS), un flux de livraison Kinesis Data Firehose et un compartiment Amazon S3 dans la région du cluster.

Defender pour SQL

Si vous choisissez le plan Microsoft Defender pour SQL, vous avez besoin des éléments suivants :

  • Microsoft Defender pour SQL activé sur votre abonnement. Découvrez comment protéger vos bases de données.
  • Un compte AWS actif, avec des instances EC2 exécutant SQL Server ou RDS (Relational Database Service) Custom pour SQL Server.
  • Azure Arc pour serveurs installé sur vos instances EC2 ou RDS Custom pour SQL Server.

Nous vous recommandons d’utiliser le processus d’approvisionner automatique pour installer Azure Arc sur toutes vos instances EC2 existantes et futures. Pour activer l’approvisionnement automatique Azure Arc, vous devez avoir l’autorisation Propriétaire sur l’abonnement pertinent.

AWS System Manager (SSM) gère l’approvisionnement automatique en utilisant l’agent SSM. SSM Agent est préinstallé sur certaines Amazon Machine Images. Si vos instances EC2 ne disposent pas de SSM Agent, installez-le en suivant les instructions suivantes fournies par Amazon : Installation de SSM Agent pour un environnement hybride et multicloud (Windows).

Vérifiez que SSM Agent dispose de la stratégie gérée AmazonSSMManagedInstanceCore. Elle active des fonctionnalités de base pour le service AWS Systems Manager.

Activez ces autres extensions sur les machines connectées à Azure Arc :

  • Microsoft Defender for Endpoint
  • Une solution d’évaluation des vulnérabilités (Gestion des menaces et des vulnérabilités ou Qualys)
  • L’agent Log Analytics sur les machines connectées à Azure Arc ou l’agent Azure Monitor

Vérifiez que la solution de sécurité est installée sur l’espace de travail Log Analytics sélectionné. L’agent Log Analytics et l’agent Azure Monitor sont actuellement configurés au niveau de l’abonnement. Tous les comptes AWS et les projets GCP (Google Cloud Platform) sous le même abonnement héritent des paramètres d’abonnement de l’agent Log Analytics et de l’agent Azure Monitor.

Defender pour les serveurs

Si vous choisissez le plan Microsoft Defender pour serveurs, vous avez besoin des éléments suivants :

  • Microsoft Defender pour les serveurs est activé sur votre abonnement. Pour savoir comment activer des plans, consultez Activation des fonctionnalités de sécurité renforcée.
  • Un compte AWS actif, avec des instances EC2.
  • Azure Arc pour serveurs est installé sur vos instances EC2.

Nous vous recommandons d’utiliser le processus d’approvisionner automatique pour installer Azure Arc sur toutes vos instances EC2 existantes et futures. Pour activer l’approvisionnement automatique Azure Arc, vous devez avoir l’autorisation Propriétaire sur l’abonnement pertinent.

AWS System Manager gère l’approvisionnement automatique en utilisant l’agent SSM. SSM Agent est préinstallé sur certaines Amazon Machine Images. Si vos instances EC2 ne disposent pas de l’agent SSM, installez-le à l’aide des instructions suivantes d’Amazon :

  • Installation de SSM Agent pour un environnement hybride et multicloud (Windows)
  • Installation de SSM Agent pour un environnement hybride et multicloud (Linux)

Assurez-vous que SSM Agent dispose de la stratégie gérée AmazonSSMManagedInstanceCore, qui active les fonctionnalités principales du service AWS Systems Manager.

Si vous souhaitez installer manuellement Azure Arc sur vos instances EC2 existantes et futures, utilisez la recommandation Les instances EC2 doivent être connectées à Azure Arc pour identifier les instances sur lesquelles Azure Arc n’est pas installé.

Activez ces autres extensions sur les machines connectées à Azure Arc :

  • Microsoft Defender for Endpoint
  • Une solution d’évaluation des vulnérabilités (Gestion des menaces et des vulnérabilités ou Qualys)
  • L’agent Log Analytics sur les machines connectées à Azure Arc ou l’agent Azure Monitor

Vérifiez que la solution de sécurité est installée sur l’espace de travail Log Analytics sélectionné. L’agent Log Analytics et l’agent Azure Monitor sont actuellement configurés au niveau de l’abonnement. Tous les comptes AWS et les projets GCP sous le même abonnement héritent des paramètres d’abonnement de l’agent Log Analytics et de l’agent Azure Monitor.

Defender pour serveurs affecte des balises à vos ressources AWS pour gérer le processus d’approvisionnement automatique. Les balises suivantes doivent être correctement affectées à vos ressources afin que Defender pour le cloud puisse les gérer : AccountId, Cloud, InstanceId et MDFCSecurityConnector.

Defender CSPM

Si vous choisissez le plan Gestion de la posture de sécurité cloud Microsoft Defender, vous avez besoin des éléments suivants :

  • Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.
  • Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
  • Connectez vos machines non Azure ou comptes AWS.
  • Pour accéder à toutes les fonctionnalités disponibles à partir du plan CSPM, le plan doit être activé par le propriétaire de l’abonnement.