Déployer Defender pour serveurs

Le plan Defender pour serveurs dans Microsoft Defender for Cloud protège les machines virtuelles Windows et Linux qui s’exécutent dans Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) et les environnements locaux. Defender pour serveurs fournit des suggestions pour améliorer l’état de la sécurité des machines et protéger ces dernières contre les menaces de sécurité.

Cet article vous aide à déployer un plan Defender pour serveurs.

Remarque

Après l’activation d’un plan, une période d’essai de 30 jours commence. Il n’existe aucun moyen d’arrêter, de suspendre ou de prolonger cette période d’essai. Pour tirer le meilleur parti de l’essai complet de 30 jours, planifiez vos objectifs d’évaluation.

Prérequis

Prérequis	Détails
Planifier votre déploiement	Consultez le guide de planification de Defender pour serveurs. Vérifiez les autorisations nécessaires pour déployer et utiliser le plan, choisissez un plan et une étendue de déploiement et comprenez comment les données sont collectées et stockées.
Comparer les fonctionnalités des plans	Comprenez et comparez les fonctionnalités des plans Defender pour serveurs.
Passer en revue la tarification	Passez en revue la tarification de Defender pour serveurs dans la page de tarification de Defender for Cloud.
Obtenir un abonnement Azure	Cette opération nécessite un abonnement Microsoft Azure . Inscrivez-vous pour en créer un gratuitement si nécessaire.
Activer Defender for Cloud	Vérifiez que Defender for Cloud est disponible dans l’abonnement.
Intégrer les machines AWS/GCP	Pour protéger les machines AWS et GCP, connectez des comptes AWS et des projets GCP à Defender for Cloud. Par défaut, le processus de connexion intègre les machines en tant que machines virtuelles avec Azure Arc.
Intégrer les machines locales	Intégrez les machines locales en tant que machines virtuelles Azure Arc pour bénéficier de toutes les fonctionnalités de Defender pour serveurs. Si vous intégrez des machines locales en installant directement l’agent Defender for Endpoint au lieu d’intégrer Azure Arc, seules les fonctionnalités du Plan 1 sont disponibles. Dans Defender pour serveurs Plan 2, vous bénéficiez uniquement des fonctionnalités Premium de Defender Vulnerability Management en plus des fonctionnalités du Plan 1.
Passer en revue les conditions de prise en charge	Consultez les informations sur les conditions de prise en charge de Defender pour serveurs.
Bénéficier d’une capacité d’ingestion des données gratuite de 500 Mo	Quand vous activez Defender pour serveurs Plan 2, une capacité d’ingestion des données de 500 Mo est disponible gratuitement pour certains types de données. Découvrir les exigences et configurer l’ingestion des données gratuite
Intégration de Defender	Defender for Endpoint et Defender for Vulnerability Management sont intégrés par défaut dans Defender for Cloud. Quand vous activez Defender pour serveurs, vous consentez à ce que le plan Defender pour serveurs accède aux données de Defender for Endpoint liées aux vulnérabilités, aux logiciels installés et aux alertes de point de terminaison.
Activer au niveau des ressources	Bien que nous vous recommandions d’activer Defender pour serveurs pour un abonnement, vous pouvez si nécessaire activer Defender pour serveurs au niveau des ressources pour les machines virtuelles Azure, les serveurs avec Azure Arc et les groupes de machines virtuelles identiques Azure. Vous pouvez activer le Plan 1 au niveau des ressources. Vous pouvez désactiver le Plan 1 et le Plan 2 au niveau des ressources.

Activer sur Azure, AWS ou GCP

Vous pouvez activer un plan Defender pour serveurs pour un abonnement Azure, un compte AWS ou un projet GCP.

1. Connectez-vous au portail Azure

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez l’abonnement Azure, le compte AWS ou le projet GCP approprié.

5. Dans la page Plans Defender, basculez le commutateur Serveurs sur Activé.

   

6. Par défaut, Defender pour serveurs Plan 2 est activé. Si vous souhaitez changer de plan, sélectionnez Changer de plan.

   

7. Dans la fenêtre contextuelle, sélectionnez Plan 2 ou Plan 1.

   

8. Sélectionnez Confirmer.

9. Sélectionnez Enregistrer.

Après avoir activé le plan, vous avez la possibilité de configurer les fonctionnalités du plan en fonction de vos besoins.

Désactiver sur un abonnement

1. Dans Microsoft Defender pour le cloud, sélectionnez paramètres d’environnement.
2. Basculez le commutateur du plan sur Désactivé.

Remarque

Si vous avez activé Defender pour serveurs Plan 2 sur un espace de travail Log Analytics, vous devez le désactiver explicitement. Pour ce faire, accédez à la page des plans de l’espace de travail et basculez le commutateur sur Désactivé.

Activer Defender pour serveurs au niveau des ressources

Bien que nous vous recommandions d’activer le plan pour un abonnement Azure complet, vous devrez peut-être combiner des plans, exclure des ressources spécifiques ou activer uniquement Defender pour serveurs sur des machines spécifiques. Pour ce faire, vous pouvez activer ou désactiver Defender pour serveurs au niveau des ressources. Avant de commencer, passez en revue les options d’étendue du déploiement.

Configurer sur des machines individuelles

Activez et désactivez le plan sur des machines spécifiques.

Activer le Plan 1 sur une machine avec l’API REST

1. Pour activer le Plan 1 pour la machine, dans Mettre à jour la tarification, créez une requête PUT avec le point de terminaison.

2. Dans la requête PUT, remplacez subscriptionId, resourceGroupName et machineName dans l’URL du point de terminaison par vos propres paramètres.

       PUT
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

3. Ajoutez ce corps de la demande.

   {
    "properties": {
   "pricingTier": "Standard",
   "subPlan": "P1"
     }
   }
   

Désactiver le plan sur une machine avec l’API REST

1. Pour désactiver Defender pour serveurs au niveau de la machine, créez une requête PUT avec le point de terminaison.

2. Dans la requête PUT, remplacez subscriptionId, resourceGroupName et machineName dans l’URL du point de terminaison par vos propres paramètres.

       PUT
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

3. Ajoutez ce corps de la demande.

   {
    "properties": {
   "pricingTier": "Free",
     }
   }
   

Supprimer la configuration au niveau des ressources avec l’API REST

1. Pour supprimer la configuration au niveau des machines à l’aide de l’API REST, créez une requête DELETE avec le point de terminaison.

2. Dans la requête DELETE, remplacez subscriptionId, resourceGroupName et machineName dans l’URL du point de terminaison par vos propres paramètres.

       DELETE
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

Configurer plusieurs machines à grande échelle

Activer le Plan 1 avec un script

1. Téléchargez et enregistrez ce fichier en tant que fichier PowerShell.
2. Exécutez le fichier téléchargé.
3. Apportez des personnalisations selon les besoins. Sélectionnez des ressources par étiquette ou par groupe de ressources.
4. Suivez les autres instructions à l’écran.

Activer le Plan 1 avec Azure Policy (sur le groupe de ressources)

1. Connectez-vous au Portail Azure et accédez au tableau de bord Stratégie.
2. Dans le tableau de bord Stratégie, sélectionnez Définitions dans le menu de gauche.
3. Dans la catégorie Security Center – Tarification granulaire, recherchez et sélectionnez Configurer l’activation d’Azure Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (niveau de ressource). Cette stratégie active Defender pour serveurs Plan 1 sur toutes les ressources (machines virtuelles Azure, groupes de machines virtuelles identiques et serveurs avec Azure Arc) sous l’étendue de l’affectation.
4. Sélectionnez la stratégie et examinez-la.
5. Sélectionnez Affecter et modifiez les détails de l’affectation en fonction de vos besoins. Sous l’onglet Informations de base, pour Étendue, sélectionnez votre groupe de ressources approprié.
6. Sous l’onglet Correction, sélectionnez Créer une tâche de correction.
7. Une fois que vous avez modifié tous les détails, sélectionnez **Vérifier + créer. Sélectionnez ensuite Créer.

Activer le Plan 1 avec Azure Policy (sur l’étiquette de ressource)

1. Connectez-vous au Portail Azure et accédez au tableau de bord Stratégie.
2. Dans le tableau de bord Stratégie, sélectionnez Définitions dans le menu de gauche.
3. Dans la catégorie Security Center – Tarification granulaire, recherchez et sélectionnez Configurer l’activation d’Azure Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources avec l’étiquette sélectionnée. Cette stratégie active Defender pour serveurs Plan 1 sur toutes les ressources (machines virtuelles Azure, groupes de machines virtuelles identiques et serveurs avec Azure Arc) sous l’étendue de l’affectation.
4. Sélectionnez la stratégie et examinez-la.
5. Sélectionnez Affecter et modifiez les détails de l’affectation en fonction de vos besoins.
6. Sous l’onglet Paramètres, décochez Afficher uniquement les paramètres qui nécessitent une entrée ou une évaluation.
7. Dans Nom de l’étiquette d’inclusion, entrez le nom de l’étiquette personnalisée. Entrez la valeur de l’étiquette dans le tableau Valeurs d’étiquette d’inclusion.
8. Sous l’onglet Correction, sélectionnez Créer une tâche de correction.
9. Une fois que vous avez modifié tous les détails, sélectionnez **Vérifier + créer. Sélectionnez ensuite Créer.

Désactiver le plan avec un script

1. Téléchargez et enregistrez ce fichier en tant que fichier PowerShell.
2. Exécutez le fichier téléchargé.
3. Apportez des personnalisations selon les besoins. Sélectionnez des ressources par étiquette ou par groupe de ressources.
4. Suivez les autres instructions à l’écran.

Désactiver le plan avec Azure Policy (pour le groupe de ressources)

1. Connectez-vous au Portail Azure et accédez au tableau de bord Stratégie.
2. Dans le tableau de bord Stratégie, sélectionnez Définitions dans le menu de gauche.
3. Dans la catégorie Security Center – Tarification granulaire, recherchez et sélectionnez Configurer la désactivation d’Azure Defender pour serveurs pour toutes les ressources (niveau de ressource). Cette stratégie désactive Defender pour serveurs sur toutes les ressources (machines virtuelles Azure, groupes de machines virtuelles identiques et serveurs avec Azure Arc) sous l’étendue de l’affectation.
4. Sélectionnez la stratégie et examinez-la.
5. Sélectionnez Affecter et modifiez les détails de l’affectation en fonction de vos besoins. Sous l’onglet Informations de base, pour Étendue, sélectionnez votre groupe de ressources approprié.
6. Sous l’onglet Correction, sélectionnez Créer une tâche de correction.
7. Une fois que vous avez modifié tous les détails, sélectionnez **Vérifier + créer. Sélectionnez ensuite Créer.

Désactiver le plan avec Azure Policy (pour l’étiquette de ressource)

1. Connectez-vous au Portail Azure et accédez au tableau de bord Stratégie.
2. Dans le tableau de bord Stratégie, sélectionnez Définitions dans le menu de gauche.
3. Dans la catégorie Security Center – Tarification granulaire, recherchez et sélectionnez Configurer la désactivation d’Azure Defender pour serveurs pour les ressources (niveau de ressource) comportant l’étiquette sélectionnée. Cette stratégie désactive Defender pour serveurs sur toutes les ressources (machines virtuelles Azure, groupes de machines virtuelles identiques et serveurs avec Azure Arc) sous l’étendue de l’affectation en fonction de l’étiquette que vous avez définie.
4. Sélectionnez la stratégie et examinez-la.
5. Sélectionnez Affecter et modifiez les détails de l’affectation en fonction de vos besoins.
6. Sous l’onglet Paramètres, décochez Afficher uniquement les paramètres qui nécessitent une entrée ou une évaluation.
7. Dans Nom de l’étiquette d’inclusion, entrez le nom de l’étiquette personnalisée. Entrez la valeur de l’étiquette dans le tableau Valeurs d’étiquette d’inclusion.
8. Sous l’onglet Correction, sélectionnez Créer une tâche de correction.
9. Une fois que vous avez modifié tous les détails, sélectionnez **Vérifier + créer. Sélectionnez ensuite Créer.

Supprimer la configuration par ressource avec un script (groupe de ressources ou étiquette)

1. Téléchargez et enregistrez ce fichier en tant que fichier PowerShell.
2. Exécutez le fichier téléchargé.
3. Apportez des personnalisations selon les besoins. Sélectionnez des ressources par étiquette ou par groupe de ressources.
4. Suivez les autres instructions à l’écran.

Étapes suivantes

• Si vous avez activé Defender pour serveurs Plan 2, bénéficiez de l’avantage d’ingestion des données gratuite.
• Après avoir activé Defender pour serveurs Plan 2, tirez parti de la surveillance de l’intégrité des fichiers
• Modifiez les paramètres du plan selon vos besoins.