Automatiser l’intégration de Microsoft Defender pour le cloud à l’aide de PowerShell
Vous pouvez sécuriser vos charges de travail Azure par programme, à l’aide du module Microsoft Defender pour le cloud avec PowerShell. PowerShell vous permet d’automatiser des tâches et d’éviter toute erreur humaine inhérente aux tâches manuelles. C’est particulièrement utile dans le cadre de déploiements à grande échelle impliquant des dizaines d’abonnements avec des centaines de milliers de ressources qui doivent toutes être sécurisées dès le début.
L’intégration de Microsoft Defender pour le cloud à l’aide de PowerShell vous permet d’automatiser par programme l’intégration et la gestion de vos ressources Azure, ainsi que d’ajouter les contrôles de sécurité nécessaires.
Cet article fournit un exemple de script PowerShell que vous pouvez modifier et utiliser dans votre environnement pour déployer Defender pour le cloud sur tous vos abonnements.
Dans cet exemple, nous allons activer Defender pour le cloud sur un abonnement dont l’ID est : <Subscription ID>
. Nous allons ensuite appliquer les paramètres recommandés, qui fournissent un niveau élevé de protection, en activant les fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud, lequel fournit des fonctionnalités avancées de détection et de protection contre les menaces :
Activez la sécurité renforcée dans Microsoft Defender pour le cloud.
Définissez l’espace de travail Log Analytics auquel l’agent Log Analytics enverra les données collectées sur les machines virtuelles associées à l’abonnement. Dans cet exemple, il s’agit d’un espace de travail défini par l’utilisateur (myWorkspace).
Activez la fonctionnalité de provisionnement automatique d’agent de Defender pour le cloud, qui déploie l’agent Log Analytics.
Définissez le CISO de l’organisation en tant que contact de sécurité pour les événements notables et alertes Defender pour le cloud.
Assignez les stratégies de sécurité par défaut de Defender pour le cloud.
Prérequis
Vous devez effectuer ces étapes avant d’exécuter les cmdlet Defender pour le cloud :
Exécutez PowerShell en tant qu’administrateur.
Exécutez les commandes suivantes dans PowerShell :
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Install-Module -Name Az.Security -Force
Intégrez Defender pour le cloud à l’aide de PowerShell
Inscrivez vos abonnements au fournisseur de ressources Defender pour le cloud :
Set-AzContext -Subscription "<Subscription ID>"
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Facultatif : définissez le niveau de couverture (activation/désactivation des fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud) des abonnements. S’il n’est pas défini, ces fonctionnalités sont désactivées :
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
Configurez un espace de travail Log Analytics auquel les agents rendront compte. Vous devez disposer d’un espace de travail Log Analytics que vous avez créé, auquel les machines virtuelles de l’abonnement rendront compte. Vous pouvez définir plusieurs abonnements rendant compte au même espace de travail. À défaut de définition, l’espace de travail par défaut est utilisé.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
Approvisionnez automatiquement l’installation de l’agent Log Analytics sur vos machines virtuelles Azure :
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
Notes
Nous vous recommandons d’activer l’approvisionnement automatique pour vous assurer que vos machines virtuelles Azure sont automatiquement protégées par Microsoft Defender pour le cloud.
Dans le cadre de la stratégie mise à jour de Defender pour le cloud, l’agent Azure Monitor n’est plus nécessaire pour le produit Defender pour serveurs. Toutefois, il est toujours nécessaire pour Defender pour SQL Server sur les ordinateurs. Par conséquent, le déploiement de l’agent Azure Monitor (AMA) avec le portail Defender pour le cloud est disponible pour les serveurs SQL sur les ordinateurs, avec une nouvelle stratégie de déploiement. Découvrez plus en détail comment migrer vers le processus de provisionnement automatique de l’agent Azure Monitor (AMA) ciblé sur SQL Server.Facultatif : il est fortement recommandé de définir les détails des contacts de sécurité pour les abonnements que vous intégrez, lesquels seront utilisés comme destinataires des alertes et des notifications générées par Defender pour le cloud :
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
Assignez l’initiative de stratégie Defender pour le cloud par défaut :
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
Vous avez correctement intégré Microsoft Defender pour le cloud avec PowerShell.
Vous pouvez désormais utiliser ces cmdlets PowerShell avec des scripts d’automatisation pour itérer par programme dans les abonnements et ressources. Cela permet de gagner du temps et réduit la probabilité d’erreur humaine. Vous pouvez utiliser cette exemple de script en tant que référence.
Voir aussi
Pour en savoir plus sur la façon d’utiliser PowerShell pour automatiser l’intégration de Defender pour le cloud, consultez l’article suivant :
Pour en savoir plus sur Defender pour le cloud, consultez les articles suivants :
- Définition de stratégies de sécurité dans Microsoft Defender pour le cloud. découvrez comment configurer des stratégies de sécurité pour vos groupes de ressources et abonnements Azure.
- Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud. découvrez comment gérer et résoudre les alertes de sécurité.