Partager via

Activer l’intégration de Defender for Endpoint

  • Article

Microsoft Defender for Cloud s’intègre en mode natif à Microsoft Defender for Endpoint pour fournir des fonctionnalités Defender for Endpoint et Microsoft Defender Vulnerability Management dans Defender for Cloud.

  • Lorsque vous activez le plan Defender pour serveurs dans Defender for Cloud, l’intégration de Defender for Endpoint est activée par défaut.
  • L’intégration déploie automatiquement l’agent Defender for Endpoint sur les machines.

Cet article explique comment activer manuellement l’intégration de Defender for Endpoint en fonction des besoins.

Prérequis

Prérequis Détails
Prise en charge de Windows Vérifiez que les machines Windows sont prises en charge par Defender for Endpoint.
Prise en charge de Linux Dans le cas des serveurs Linux, Python doit être installé. Python 3 est recommandé pour toutes les distributions, mais requis pour RHEL 8.x et Ubuntu 20.04 (et versions ultérieures).

Le déploiement automatique du capteur Defender for Endpoint sur les machines Linux peut ne pas fonctionner comme prévu si les machines exécutent des services qui utilisent fanotify. Installez manuellement le capteur Defender for Endpoint sur ces machines.
Machines virtuelles Azure Vérifiez que les machines virtuelles peuvent se connecter au service Defender for Endpoint.

Si les machines n’ont pas d’accès direct, les paramètres de proxy ou les règles de pare-feu doivent autoriser l’accès aux URL Defender for Endpoint. Passez en revue les paramètres de proxy pour les machines Windows et Linux.
Machines virtuelles locales Nous vous recommandons d’intégrer les machines locales en tant que machines virtuelles avec Azure Arc.

Si vous intégrez directement des machines virtuelles locales, les fonctionnalités de Defender pour serveurs Plan 1 sont disponibles, mais la plupart des fonctionnalités de Defender pour serveurs Plan 2 ne fonctionnent pas.
Locataire Azure Si vous avez déplacé votre abonnement entre locataires Azure, certaines étapes préparatoires manuelles sont également requises. Contactez le Support Microsoft pour obtenir des détails.
Windows Server 2016, 2012 R2 Contrairement aux versions ultérieures de Windows Server, qui sont fournies avec le capteur Defender for Endpoint préinstallé, Defender for Cloud installe le capteur sur les machines exécutant Windows Server 2016/2012 R2 à l’aide de la solution unifiée Defender for Endpoint. Après avoir activé un plan Defender pour serveurs avec l’intégration, vous ne pouvez pas l’annuler. Même si vous désactivez le plan et que vous le réactivez ensuite, l’intégration sera réactivée.

Activer sur un abonnement

L’intégration de Defender for Endpoint est activée par défaut lorsque vous activez un plan Defender pour serveurs. Si vous désactivez l’intégration de Defender for Endpoint sur un abonnement, vous pouvez la réactiver manuellement en suivant ces instructions.

  1. Dans Defender for Cloud, sélectionnez Paramètres d’environnement et sélectionnez l’abonnement contenant les machines sur lesquelles vous souhaitez déployer l’intégration de Defender for Endpoint.

  2. Dans Paramètres et surveillance>Endpoint protection, basculez les paramètres de la colonne État sur Activé.

    Capture d’écran du bouton bascule État qui active Microsoft Defender for Endpoint.

  3. Sélectionnez Enregistrer et Continuer pour enregistrer vos paramètres.

  4. Le capteur Defender for Endpoint est déployé sur toutes les machines Windows et Linux de l’abonnement sélectionné.

    L’intégration peut prendre jusqu’à une heure. Sur les machines Linux, Defender for Cloud détecte les installations précédentes de Defender for Endpoint et les reconfigure pour l’intégration à Defender for Cloud.

Vérifier l’installation sur les machines Linux

Vérifiez l’installation du capteur Defender for Endpoint sur une machine Linux comme suit :

  1. Exécutez la commande de shell suivante sur chaque machine : mdatp health. Si Microsoft Defender pour point de terminaison est installé, son état d’intégrité s’affiche :

    healthy : true

    licensed: true

  2. En outre, dans le portail Azure, vous pouvez vérifier que les machines Linux ont une nouvelle extension Azure nommée MDE.Linux.

Activer la solution unifiée Defender for Endpoint sur Windows Server 2016/2012 R2

Si Defender pour serveurs est déjà activé et que l’intégration de Defender for Endpoint est activée dans un abonnement, vous pouvez activer manuellement l’intégration de la solution unifiée pour les machines exécutant Windows Server 2016 ou Windows Server 2012 R2 dans l’abonnement.

  1. Dans Defender for Cloud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines Windows devant recevoir Defender for Endpoint.

  2. Dans la colonne Couverture du monitoring du plan Defender pour serveurs, sélectionnez Paramètres.

    L’état du composant Endpoint Protection est Partiel, ce qui signifie que toutes les parties du composant ne sont pas activées.

  3. Sélectionnez Corriger pour voir les composants qui ne sont pas activés.

    Capture d’écran du bouton Corriger qui active la prise en charge de Microsoft Defender for Endpoint.

  4. Dans Composants manquants>Solution unifiée, sélectionnez Activer pour installer automatiquement l’agent Defender for Endpoint sur les machines Windows Server 2012 R2 et 2016 connectées à Microsoft Defender for Cloud.

    Capture d'écran de l'activation de l'utilisation de la solution unifiée Defender for Endpoint pour les machines Windows Server 2012 R2 et 2016.

  5. Pour enregistrer les modifications, sélectionnez Enregistrer en haut de la page. Dans la page Paramètres et surveillance, sélectionnez Continuer.

    Defender for Cloud intègre les machines existantes et nouvelles à Defender for Endpoint.

    L’intégration peut prendre jusqu’à 12 heures. Pour les nouvelles machines créées après l’activation de l’intégration, l’intégration prend jusqu’à une heure.

Activer sur des machines Linux (plan/intégration activé)

Si Defender pour serveurs est déjà activé et que l’intégration de Defender for Endpoint est activée dans l’abonnement, vous pouvez activer manuellement l’intégration pour les machines Linux dans un abonnement.

  1. Dans Defender for Coud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines Linux devant recevoir Defender for Endpoint.

  2. Dans la colonne Surveillance de la couverture du plan Defender pour serveurs, sélectionnez Paramètres.

    L’état du composant Endpoint Protection est Partiel, ce qui signifie que toutes les parties du composant ne sont pas activées.

  3. Sélectionnez Corriger pour voir les composants qui ne sont pas activés.

    Capture d’écran du bouton Corriger qui active la prise en charge de Microsoft Defender for Endpoint.

  4. Dans Composants manquants>Machines Linux, sélectionnez Activer.

    Capture d’écran de l’activation de l’intégration entre Defender pour le cloud et la solution EDR de Microsoft, Microsoft Defender for Endpoint pour Linux.

  5. Pour enregistrer les modifications, sélectionnez Enregistrer en haut de la page. Dans la page Paramètres et surveillance, sélectionnez Continuer.

    • Defender for Cloud intègre les machines Linux à Defender for Endpoint.
    • Defender for Cloud détecte les installations précédentes de Defender for Endpoint sur les machines Linux, et les reconfigure pour l’intégration à Defender for Cloud.
    • L’intégration peut prendre jusqu’à 12 heures. Pour les nouvelles machines créées après l’activation de l’intégration, l’intégration prend jusqu’à une heure.

  6. Pour vérifier l’installation du capteur Defender for Endpoint sur une machine Linux, exécutez la commande de shell suivante sur chaque machine.

    mdatp health

    Si Microsoft Defender pour point de terminaison est installé, son état d’intégrité s’affiche :

    healthy : true

    licensed: true

  7. Dans le portail Azure, vous pouvez vérifier que les machines Linux ont une nouvelle extension Azure nommée MDE.Linux.

Remarque

L’activation de l’intégration de Defender for Endpoint sur les machines Linux est une action ponctuelle. Si vous désactivez le plan et le réactivez ensuite, l’intégration reste activée.

Activer l’intégration sur Linux dans plusieurs abonnements

  1. Dans Defender for Cloud, ouvrez le tableau de bord Protections des charges de travail.

  2. Dans le tableau de bord, passez en revue le panneau Insights afin de voir pour quels abonnements et ressources Defender for Endpoint n’est pas activé pour les machines Linux.

    • Le panneau Insights affiche des informations sur les abonnements pour lesquels l’intégration pour les machines Windows est activée, mais pas l’intégration pour les machines Linux.
    • Les abonnements qui n’ont pas de machines Linux n’affichent aucune ressource affectée.

  3. Dans le panneau Insights, sélectionnez les abonnements sur lesquels activer l’intégration de Defender for Endpoint pour les machines Linux.

  4. Sélectionnez Activer pour activer la protection des points de terminaison pour les machines Linux. Defender pour le cloud :

    • Intègre automatiquement les machines Linux à Defender for Endpoint dans les abonnements sélectionnés.
    • Détecte toutes les installations précédentes de Defender for Endpoint, et les reconfigure pour qu’elles s’intègrent à Defender for Cloud.

Utilisez le classeur d’état du déploiement Defender pour serveurs. Entre autres choses dans ce classeur, vous pouvez vérifier l’état d’installation et de déploiement de Defender for Endpoint sur une machine Linux.

Gérer les mises à jour automatiques pour Linux

Dans Windows, les mises à jour de version de Defender for Endpoint sont fournies via des mises à jour continues de la base de connaissances. Dans Linux, vous devez mettre à jour le package Defender for Endpoint.

  • Lorsque vous utilisez Defender pour serveurs avec l’extension MDE.Linux, les mises à jour automatiques pour Microsoft Defender for Endpoint sont activées par défaut.

  • Si vous souhaitez gérer manuellement les mises à jour de version, vous pouvez désactiver les mises à jour automatiques sur vos machines. Pour ce faire, ajoutez l’étiquette suivante pour les machines intégrées avec l’extension MDE.Linux.

    • Nom de la balise : ExcludeMdeAutoUpdate
    • Valeur de balise : true

= Cette configuration est prise en charge pour les machines virtuelles Azure et les machines Azure Arc, où l’extension MDE.Linux lance la mise à jour automatique.

Activer l’intégration avec PowerShell sur plusieurs abonnements

Pour activer la protection des points de terminaison sur les machines Linux et les machines Windows exécutant Windows Server 2016/2012 R2 dans plusieurs abonnements, utilisez notre script PowerShell disponible dans le dépôt GitHub Defender for Cloud.

Activer l’intégration à grande échelle

Vous pouvez activer l’intégration de Defender for Endpoint à grande échelle via la version 2022-05-01 de l’API REST fournie. Pour plus d’informations, consultez la documentation de l’API.

Voici un exemple de corps de requête pour la requête PUT visant à activer l’intégration de Defender for Endpoint :

URI : https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Suivre l’état du déploiement de Defender for Endpoint

Vous pouvez utiliser le classeur d’état du déploiement Defender for Endpoint pour suivre l’état du déploiement de Defender for Endpoint sur vos machines virtuelles Azure et machines virtuelles avec Azure Arc. Le classeur interactif fournit une vue d’ensemble des machines de votre environnement montrant leur état de déploiement de l’extension Microsoft Defender for Endpoint.

Accéder au portail Defender

  1. Vérifiez que vous disposez des autorisations appropriées pour l’accès au portail.

  2. Vérifiez si vous avez un proxy ou un pare-feu qui bloque le trafic anonyme.

  3. Ouvrez le portail Microsoft Defender. Découvrez Microsoft Defender for Endpoint dans Microsoft Defender XDR.

Envoyer une alerte de test à partir de Defender for Endpoint

Pour générer une alerte de test bénigne de Defender pour point de terminaison, sélectionnez l’onglet correspondant au système d’exploitation de votre point de terminaison :

Test sur Windows

Pour les points de terminaison exécutant Windows :

  1. Créez un dossier « C:\test-MDATP-test ».

  2. Utilisez Bureau à distance pour accéder à votre ordinateur.

  3. Ouvrez une fenêtre de ligne de commande.

  4. A l'invite, copiez et exécutez la commande suivante. La fenêtre d’invite de commandes se ferme automatiquement.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Une fenêtre d’invite de commandes avec la commande pour générer une alerte de test.

    Si la commande réussit, une nouvelle alerte s’affiche sur le tableau de bord de protection de charge de travail et sur le portail Microsoft Defender for Endpoint. L’alerte peut mettre quelques minutes à s’afficher.

  5. Pour examiner l’alerte dans Defender pour le cloud, accédez à Alertes de sécurité>Ligne de commande PowerShell suspecte.

  6. Dans la fenêtre d’enquête, sélectionnez le lien d’accès au portail Microsoft Defender for Endpoint.

    Conseil

    L’alerte est déclenchée avec la gravité Informations.

Test sur Linux

Pour les points de terminaison exécutant Linux :

  1. Télécharger l’outil d’alerte de test sur https://aka.ms/LinuxDIY

  2. Extrayez le contenu du fichier zip et exécutez ce script d’interpréteur de commandes :

    ./mde_linux_edr_diy

    Si la commande réussit, une nouvelle alerte s’affiche sur le tableau de bord de protection de charge de travail et sur le portail Microsoft Defender for Endpoint. L’alerte peut mettre quelques minutes à s’afficher.

  3. Pour voir l’alerte dans Defender pour le cloud, accédez à Alertes de sécurité>Énumération des fichiers contenant des données sensibles.

  4. Dans la fenêtre d’enquête, sélectionnez le lien d’accès au portail Microsoft Defender for Endpoint.

    Conseil

    L’alerte est déclenchée avec la gravité Basse.

Supprimer Defender pour point de terminaison sur une machine

Pour supprimer la solution Defender pour point de terminaison sur vos machines :

  1. Pour désactiver l’intégration, dans Defender for Cloud >Paramètres d’environnement, sélectionnez l’abonnement avec les machines appropriées.
  2. Dans la page Plans Defender, sélectionnez Paramètres et surveillance.
  3. Dans l’état du composant Endpoint Protection, sélectionnez Inactif pour désactiver l’intégration à Microsoft Defender for Endpoint pour l’abonnement.
  4. Sélectionnez Enregistrer et Continuer pour enregistrer vos paramètres.
  5. Supprimez l’extension MDE.Windows/MDE.Linux extension de la machine.
  6. Retirez l’appareil du service Microsoft Defender for Endpoint.