Agent Azure Monitor dans Defender pour le cloud
Pour sécuriser vos ressources de serveur, Microsoft Defender pour le cloud utilise des agents installés sur vos serveurs afin d’envoyer des informations sur vos serveurs à Microsoft Defender pour le cloud à des fins d’analyse.
Dans cet article, nous vous proposons une vue d’ensemble des préférences de l’agent Azure Monitor (AMA) lorsque vous déployez Defender pour les serveurs SQL sur des machines.
Remarque
Dans le cadre de la stratégie mise à jour de Defender pour le cloud, l’agent Azure Monitor n’est plus nécessaire pour l’offre Defender pour serveurs. Toutefois, il est toujours nécessaire pour Defender pour SQL Server sur les machines. Le processus d’approvisionnement automatique pour les deux agents a donc été ajusté en conséquence. En savoir plus sur cette annonce.
Agent Azure Monitor dans Defender pour serveurs
L’agent Azure Monitor (AMA) est toujours disponible pour le déploiement sur vos serveurs, mais n’est pas requis pour recevoir les fonctionnalités et les capacités de Defender pour serveurs. Pour assurer la sécurité de vos serveurs et recevoir tout le contenu de sécurité de Defender pour serveurs, vérifiez que l’intégration de Defender for Endpoint et l’analyse de disque sans agent sont activées sur vos abonnements. Cela garantit que vous serez constamment à jour et recevrez tous les livrables alternatifs une fois fournis.
L’approvisionnement AMA est disponible via la plateforme Microsoft Defender pour le cloud uniquement via Defender pour serveurs SQL sur des machines. Découvrez comment déployer AMA sur vos serveurs à l’aide de méthodes standard, incluant PowerShell, CLI et les modèles Resource Manager.
Disponibilité
Les informations suivantes sur la disponibilité sont pertinentes pour le plan Defender pour SQL uniquement.
Aspect | Détails |
---|---|
État de sortie : | Disponibilité générale (GA) |
Plan Defender correspondant : | Defender pour les serveurs SQL sur les machines |
Rôles et autorisations obligatoires (au niveau de l’abonnement) : | Propriétaire |
Destinations prises en charge : | machines virtuelles Azure machines avec Azure Arc |
Basé sur une stratégie : | Oui |
Clouds : | Clouds commerciaux Azure Government, Microsoft Azure géré par 21Vianet |
Prérequis
Avant de déployer AMA avec Defender pour le cloud, vous devez réunir les conditions préalables suivantes :
- Vérifiez que vos machines multiclouds et locales disposent d’Azure Arc.
- Machines AWS et GCP
- Intégrez votre connecteur AWS et approvisionnez automatiquement Azure Arc.
- Intégrez votre connecteur GCP et approvisionnez automatiquement Azure Arc.
- Machines locales
- Machines AWS et GCP
- Vérifiez que les plans Defender que l’agent Azure Monitor doit prendre en charge sont bien activés :
Déployer le processus d’approvisionnement automatique AMA ciblé sur SQL Server
Le déploiement de l’agent Azure Monitor avec Defender pour le cloud est disponible pour les serveurs SQL sur les machines, comme indiqué ici.
Impact de l’exécution simultanée des agents Log Analytics et Azure Monitor
Vous pouvez exécuter les agents Log Analytics et Azure Monitor sur la même machine, mais en tenant compte des points suivants :
- Certaines recommandations ou alertes sont signalées par les deux agents et apparaissent deux fois dans Defender pour le cloud.
- Chaque machine est facturée une seule fois dans Defender pour le cloud, mais veillez à suivre la facturation des autres services connectés à Log Analytics et Azure Monitor, tels que l’ingestion des données de l’espace de travail Log Analytics.
- Les deux agents ont un impact sur les performances de la machine.
Lorsque vous activez Defender pour serveurs Plan 2, Defender pour le cloud décide de l’agent à approvisionner. Dans la plupart des cas, l’agent Log Analytics est défini par défaut.
En savoir plus sur la migration vers l’agent Azure Monitor.
Configurations personnalisées
Configurer un espace de travail Log Analytics de destination personnalisé
Lorsque vous installez l’agent Azure Monitor avec l’approvisionnement automatique, vous pouvez définir l’espace de travail de destination des extensions installées. Par défaut, la destination est « l’espace de travail par défaut » créé par Defender pour le cloud pour chaque région de l’abonnement : defaultWorkspace-<subscriptionId>-<regionShortName>
. Defender pour le cloud configure automatiquement les règles de collecte de données, la solution d’espace de travail et les autres extensions pour cet espace de travail.
Si vous configurez un espace de travail Log Analytics personnalisé :
- Defender pour le cloud configure uniquement les règles de collecte de données et les autres extensions pour l’espace de travail personnalisé. Vous devez configurer la solution d’espace de travail sur l’espace de travail personnalisé.
- Les machines avec l’agent Log Analytics qui génère des rapports destinés à un espace de travail Log Analytics contenant la solution de sécurité sont facturées, même lorsque le plan Defender pour serveurs n’est pas activé. Les machines équipées de l’agent Azure Monitor sont facturées uniquement lorsque le plan est activé sur l’abonnement. La solution de sécurité est toujours nécessaire sur l’espace de travail pour pouvoir utiliser les fonctionnalités des plans et bénéficier de l’avantage des 500 Mo.
Solutions d’espace de travail Log Analytics
L’agent Azure Monitor requiert des solutions d’espace de travail Log Analytics. Ces solutions sont automatiquement installées lorsque vous approvisionnez automatiquement l’agent Azure Monitor avec l’espace de travail par défaut.
Les solutions d’espace de travail Log Analytics requises pour les données que vous collectez sont les suivantes :
- Gestion de la posture de sécurité cloud (CSPM) – Solution SecurityCenterFree
- Defender pour serveurs Plan 2 – Solution de sécurité
Collecte d’autres événements de sécurité
Lorsque vous approvisionnez automatiquement l’agent Log Analytics dans Defender pour le cloud, vous pouvez choisir de collecter d’autres événements de sécurité dans l’espace de travail.
Comme dans les espaces de travail Log Analytics, les utilisateurs du plan 2 de Defender pour serveurs peuvent bénéficier de 500 Mo de données gratuites quotidiennement, sur les types de données définis qui incluent des événements de sécurité.
Étapes suivantes
Maintenant que vous avez activé l’agent Log Analytics, consultez les fonctionnalités qu’il prend en charge :