Defender pour les serveurs
Le plan Defender pour serveurs dans Microsoft Defender for Cloud réduit les risques de sécurité et l’exposition des machines de votre organisation en fournissant des recommandations actionnables pour améliorer et corriger l’état de la sécurité. Defender pour serveurs permet également de protéger les machines contre les menaces et attaques en temps réel.
Remarque
La prise en charge de l’utilisation de l’agent Log Analytics et de l’agent Azure Monitor (AMA) dans Defender pour serveurs a pris fin. Pour la plupart des fonctionnalités du plan, l’utilisation de ces agents est remplacée par l’analyse des machines sans agent ou par l’intégration à Microsoft Defender for Endpoint.
Avantages de Defender pour serveurs
Defender pour serveurs offre un certain nombre d’avantages en matière de sécurité.
- Protection des machines multiclouds et locales : Defender pour serveurs protège les machines Windows et Linux dans les environnements multiclouds (Azure, AWS, GCP) et localement.
- Centralisation de la gestion et de la création de rapports: Defender for Cloud fournit une vue unique des ressources surveillées, y compris les machines protégées par Defender pour serveurs. Vous pouvez filtrer, trier et référencer des données pour comprendre, investiguer et analyser la sécurité des machines.
- Intégration avec les services Defender : Defender pour serveurs s’intègre en mode natif aux fonctionnalités de sécurité fournies par Defender for Endpoint et Microsoft Defender Vulnerability Management.
- Amélioration de l’état de la sécurité et réduction des risques: Defender pour serveurs évalue l’état de la sécurité des machines par rapport aux normes de conformité, et fournit des recommandations de sécurité actionnables afin de corriger et d’améliorer l’état de la sécurité.
- Analyse sans agent : Defender pour serveurs Plan 2 fournit une analyse des machines sans agent. Sans avoir besoin d’un agent sur les points de terminaison, vous pouvez analyser l’inventaire logiciel, évaluer les machines pour détecter les vulnérabilités, rechercher des secrets de machine, et détecter les menaces de programmes malveillants.
- Protection contre les menaces en quasi-temps réel : Defender pour serveurs identifie et analyse les menaces en temps réel, et émet des alertes de sécurité en fonction des besoins.
- Détection intelligente des menaces : Defender for Cloud évalue les événements et détecte les menaces à l’aide d’une analytique de sécurité avancée et de technologies de Machine Learning avec plusieurs sources de veille des menaces, notamment le Centre de réponse aux problèmes de sécurité Microsoft (MSRC).
Intégration de Defender pour point de terminaison
Defender for Endpoint et Defender Vulnerability Management s’intègrent en mode natif à Defender for Cloud.
Cette intégration par défaut permet à Defender pour serveurs de tirer parti des fonctionnalités de protection évolutive des points de terminaison (EDR) de Defender for Endpoint, ainsi que de l’analyse des vulnérabilités, de l’inventaire logiciel et des fonctionnalités Premium fournies par Defender Vulnerability Management.
Apprenez-en davantage sur l’intégration.
Plans Defender pour les serveurs
Defender pour serveurs propose deux plans :
- Defender pour serveurs Plan 1 est le niveau de base. Il est axé sur les fonctionnalités EDR fournies par l’intégration de Defender for Endpoint.
- Defender pour serveurs Plan 2 fournit les mêmes fonctionnalités que Plan 1, ainsi que des fonctionnalités supplémentaires.
Fonctionnalités de protection des plans
Les fonctionnalités des plans sont résumées dans le tableau.
| Fonctionnalité | Prise en charge par le plan | Détails |
|---|---|---|
| Prise en charge multicloud et hybride | Pris en charge dans Plan 1 et 2 | Defender pour serveurs peut protéger les machines virtuelles Azure, les machines virtuelles AWS/GCP, et les machines locales connectées à Defender for Cloud. Passez en revue la prise en charge et les exigences de Defender pour serveurs. |
| Intégration automatique de Defender for Endpoint | Pris en charge dans Plan 1 et 2 | Defender for Cloud intègre automatiquement les machines à Defender for Endpoint en installant l’extension Defender for Endpoint sur les machines connectées. |
| EDR Defender for Endpoint | Pris en charge dans Plan 1 et 2 | Les points de terminaison pris en charge reçoivent une détection des menaces en quasi-temps réel à l’aide des fonctionnalités EDR de Defender for Endpoint. |
| Détection des menaces (au niveau du système d’exploitation) | Pris en charge dans Plan 1 et 2 | L’intégration à Defender for Endpoint fournit une détection des menaces au niveau du système d’exploitation. |
| Alertes et incidents intégrés | Pris en charge dans Plan 1 et 2 | Les alertes et incidents Defender for Endpoint pour les machines connectées s’affichent dans Defender for Cloud, avec une exploration dans le portail Defender. Plus d’informations |
| Détection des menaces (couche réseau Azure) | Pris en charge dans Plan 2 uniquement | La détection sans agent détecte les menaces qui sont dirigées vers le plan de contrôle sur le réseau, notamment, notamment grâce à des alertes de sécurité basées sur le réseau pour les machines virtuelles Azure. |
| Découverte de l’inventaire logiciel | Pris en charge dans Plan 1 et 2 | La découverte de l’inventaire logiciel (fournie par Defender Vulnerability Management) est intégrée à Defender for Cloud. |
| Analyse des vulnérabilités (basée sur un agent) | Pris en charge dans Plan 1 et 2 | Avec l’agent Defender for Endpoint, Defender pour serveurs évalue les machines afin de détecter les vulnérabilités avec Defender Vulnerability Management. |
| Analyse des vulnérabilités (sans agent) | Pris en charge dans Plan 2 uniquement | Dans le cadre de ses fonctionnalités d’analyse sans agent, Defender for Cloud fournit une évaluation des vulnérabilités sans agent, à l’aide de Defender Vulnerability Management. L’évaluation sans agent est en complément de l’analyse des vulnérabilités basée sur un agent. |
| Configurations incorrectes de la base de référence de système d’exploitation. | Les recommandations de système d’exploitation basées sur les bases de référence de sécurité de calcul Linux et Windows sont prises en charge uniquement dans Plan 2. D’autres recommandations MCSB dans Defender for Cloud continuent d’être incluses dans la gestion gratuite de la posture fondamentale. |
Defender for Cloud évalue et applique des configurations de sécurité à l’aide d’initiatives de stratégie Azure intégrées, y compris son initiative Microsoft Cloud Security Benchmark (MCSB). Defender pour serveurs collecte des informations sur la machine à l’aide de l’extension de configuration de machine Azure. |
| Évaluation de la conformité réglementaire | Pris en charge dans Plan 1 et 2 | Dans le cadre de sa gestion gratuite de la posture fondamentale, Defender for Cloud fournit quelques normes de conformité par défaut. Si un plan Defender pour serveurs est activé (ou tout autre plan payant), vous pouvez activer des normes de conformité supplémentaires. |
| Mises à jour du système d’exploitation | Pris en charge dans Plan 2 uniquement | Defender pour serveurs évalue la machine pour vérifier que les mises à jour et les correctifs sont installés. Il utilise le Gestionnaire de mise à jour Azure pour collecter des informations sur les mises à jour. Pour tirer parti de l’intégration du Gestionnaire de mise à jour Azure dans Defender pour serveurs Plan 2, les machines locales, AWS et GCP doivent être intégrées à Azure Arc. En savoir plus |
| Fonctionnalités Premium de Defender Vulnerability Management | Pris en charge dans Plan 2 uniquement | Defender pour serveurs Plan 2 inclut des fonctionnalités Premium de Defender for Vulnerability Management. Parmi ces fonctionnalités Premium figurent les évaluations de certificats, les évaluations de base de référence de sécurité du système d’exploitation, et bien plus encore. Elles sont disponibles uniquement dans le portail Defender. |
| Analyse des programmes malveillants (sans agent) | Pris en charge dans Plan 2 uniquement | Outre la protection anti-programme malveillant de nouvelle génération fournie par l’intégration de Defender for Endpoint, Defender pour serveurs Plan 2 fournit une analyse des programmes malveillants dans le cadre de ses fonctionnalités d’analyse sans agent. |
| Analyse des secrets de machine (sans agent) | Pris en charge dans Plan 2 uniquement | Dans le cadre de ses fonctionnalités d’analyse des secrets sans agent, Defender for Cloud fournit une analyse des secrets de machine pour localiser les secrets en texte brut sur les machines. L’analyse des secrets est également disponible avec le plan Defender CSPM (gestion de la posture de sécurité cloud). |
| Supervision de l’intégrité des fichiers | Pris en charge dans Plan 2 uniquement | La surveillance de l’intégrité des fichiers examine les fichiers et registres pour détecter des modifications susceptibles d’indiquer une attaque. Vous configurez la surveillance de l’intégrité des fichiers après l’activation de Defender pour serveurs Plan 2. La surveillance de l’intégrité des fichiers utilise l’extension Defender for Endpoint pour collecter des informations. La méthode de collecte précédente qui utilisait MMA est désormais déconseillée. Apprenez-en davantage sur la migration vers l’extension Defender for Endpoint. |
| Accès juste-à-temps aux machines virtuelles | Pris en charge dans Plan 2 uniquement | L’accès juste-à-temps aux machines virtuelles verrouille les ports de la machine pour réduire la surface d’attaque. |
| Mappage réseau | Pris en charge dans Plan 2 uniquement | Le mappage réseaufournit une vue géographique des recommandations pour la sécurisation renforcée de vos ressources réseau. |
| Ingestion des données gratuite (500 Mo) | Pris en charge dans Plan 2 uniquement | L’ingestion de données gratuite est disponible pour des types de données spécifiques dans les espaces de travail Log Analytics. Plus d’informations |
Étendue du déploiement
Nous vous recommandons d’activer Defender pour serveurs au niveau de l’abonnement, mais vous pouvez activer et désactiver Defender pour serveurs au niveau des ressources si vous avez besoin d’une granularité de déploiement, comme suit :
| Portée | Plan 1 | Plan 2 |
|---|---|---|
| Activer pour un abonnement Azure | Oui | Oui |
| Activer pour une ressource | Oui | Non |
| Désactiver pour une ressource | Oui | Oui |
- Plan 1 peut être activé et désactivé au niveau de la ressource par serveur.
- Plan 2 ne peut pas être activé au niveau de la ressource, mais vous pouvez désactiver le plan au niveau de la ressource.
Après l’activation
Une fois qu’un plan est activé, les éléments suivants s’appliquent :
- Période d’essai : la période d’essai de 30 jours commence. Il n’existe aucun moyen d’arrêter, de suspendre ou de prolonger cette période d’essai. Pour profiter de la version d’essai complète de 30 jours, planifiez à l’avance pour répondre à vos objectifs d’évaluation.
- Protection des points de terminaison : l’extension Defender for Endpoint est automatiquement installée sur toutes les machines prises en charge connectées à Defender for Cloud. Vous pouvez désactiver l’approvisionnement automatique si nécessaire.
- Évaluation des vulnérabilités : Defender Vulnerability Management est activé par défaut sur les machines sur lesquelles l’extension Defender for Endpoint est installée.
- Analyse sans agent : l’analyse sans agent est activée par défaut lorsque vous activez Defender pour serveurs Plan 2.
- Évaluation de la configuration du système d’exploitation: lorsque vous activez Defender pour serveurs Plan 2, Defender for Cloud évalue les paramètres de configuration du système d’exploitation par rapport aux bases de référence de sécurité de calcul dans Microsoft Cloud Security Benchmark. Pour utiliser cette fonctionnalité, les machines doivent exécuter l’extension de configuration de machine Azure. Apprenez-en davantage sur la configuration de l’extension.
- Surveillance de l’intégrité des fichiers : vous configurez la surveillance de l’intégrité des fichiers après l’activation de Defender pour serveurs Plan 2.
Étapes suivantes
- Passez en revue les questions courantes sur Defender pour serveurs.
- Planifiez votre déploiement de Defender pour serveurs.