Comprendre Microsoft Defender pour les serveurs
Microsoft Defender pour les serveurs fournit la détection des menaces ainsi que des défenses avancées à vos machines Windows et Linux, qu’elles s’exécutent dans Azure, AWS, GCP ou localement. Pour protéger des machines dans des environnements hybrides et multiclouds, Defender pour le cloud utilise Azure Arc.
Microsoft Defender pour les serveurs est disponible dans deux plans :
Microsoft Defender pour les serveurs Plan 1 : déploie Microsoft Defender pour point de terminaison sur vos serveurs et fournit ces fonctionnalités :
- Les licences Microsoft Defender pour point de terminaison sont facturées par heure et non par poste, réduisant ainsi les coûts de protection des machines virtuelles lorsqu’elles sont en cours d’utilisation uniquement.
- Microsoft Defender pour point de terminaison est déployé automatiquement sur toutes les charges de travail cloud afin que vous sachiez qu’elles sont protégées quand elles s’exécutent.
- Les alertes et les données sur les vulnérabilités de Microsoft Defender pour point de terminaison s’affichent dans Microsoft Defender pour le cloud
Microsoft Defender pour les serveurs Plan 2 (anciennement Defender pour les serveurs) : offre les avantages du Plan 1 et prend en charge toutes les autres fonctionnalités de Microsoft Defender pour les serveurs.
Pour activer les plans Microsoft Defender pour les serveurs :
Accédez aux paramètres de l’environnement et sélectionnez votre abonnement.
Si Microsoft Defender pour les serveurs n’est pas activé, affectez-lui la valeur Activé. Le Plan 2 est sélectionné par défaut.
Si vous souhaitez modifier le plan de Defender pour les serveurs :
Dans la colonne Plan/Tarification, sélectionnez Modifier le plan. Sélectionnez le plan souhaité, puis Confirmer.
Fonctionnalités du plan
Le tableau suivant décrit ce qui est inclus dans chaque plan à un niveau élevé.
| Fonctionnalité | Defender pour les serveurs Plan 1 | Defender pour les serveurs Plan 2 |
|---|---|---|
| Intégration automatique des ressources dans Azure, AWS, GCP | Oui | Oui |
| Gestion des menaces et des vulnérabilités Microsoft | Oui | Oui |
| Flexibilité d’utilisation du portail Microsoft Defender pour le cloud ou Microsoft Defender | Oui | Oui |
| intégration de Microsoft Defender pour le cloud et de Microsoft Defender pour point de terminaison (alertes, inventaire logiciel, évaluation des vulnérabilités) | Oui | Oui |
| Log-analytics (500 Mo gratuits) | Oui | |
| Évaluation des vulnérabilités à l’aide de Qualys | Oui | |
| Détections des menaces : niveau du système d’exploitation, couche réseau, plan de contrôle | Oui | |
| Contrôles d’application adaptative | Oui | |
| Monitoring d’intégrité de fichier | Oui | |
| Accès juste-à-temps aux machines virtuelles | Oui | |
| Sécurisation adaptative du réseau | Oui |
Quels sont les avantages de Defender pour les serveurs ?
Les fonctionnalités de détection et de protection des menaces fournies avec Microsoft Defender pour les serveurs sont les suivantes :
Licence intégrée pour Microsoft Defender pour point de terminaison : Microsoft Defender pour les serveurs comprend Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes. Lorsque vous activez Microsoft Defender pour les serveurs, Defender pour le cloud obtient l’accès aux données de Microsoft Defender pour point de terminaison liées aux vulnérabilités, aux logiciels installés et aux alertes de vos points de terminaison.
Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.
Outils d’évaluation des vulnérabilités pour les machines - Microsoft Defender pour les serveurs comprend un choix d’outils de découverte et de gestion des vulnérabilités pour vos machines. Dans les pages de paramètres de Defender pour le cloud, vous pouvez sélectionner les outils à déployer sur vos machines. Les vulnérabilités détectées apparaissent dans une recommandation de sécurité.
Gestion des menaces et des vulnérabilités Microsoft - Découvrez les vulnérabilités et les erreurs de configuration en temps réel avec Microsoft Defender pour point de terminaison, sans avoir besoin d’agents supplémentaires ou d’analyses périodiques. La fonctionnalité Gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces, des détections effectuées dans votre organisation, des informations sensibles sur les appareils vulnérables et du contexte métier.
Analyseur de vulnérabilité avec Qualys - L’analyseur de Qualys est l’un des principaux outils d’identification en temps réel des vulnérabilités de vos machines virtuelles Azure et hybrides. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Defender pour le cloud.
Accès juste-à-temps (JAT) des machines virtuelles : les acteurs des menaces repèrent activement les machines accessibles avec des ports de gestion ouverts, par exemple RDP ou SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque. Lorsqu’une machine virtuelle est compromise, elle est utilisée comme point d’entrée pour attaquer d’autres ressources au sein de votre environnement.
Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser l’accès juste-à-temps aux machines virtuelles pour verrouiller le trafic entrant vers vos machines virtuelles. La fermeture des ports d’accès à distance jusqu’à utilisation réduit l’exposition aux attaques et offre un accès facile pour se connecter aux machines virtuelles si nécessaire.
Monitoring d’intégrité de fichier (FIM) : le Monitoring d’intégrité de fichier (FIM), également appelé Monitoring des modifications, recherche les modifications qui sont apportées aux fichiers et registres du système d’exploitation, ainsi qu’aux logiciels d’application et autres systèmes, et qui peuvent indiquer une attaque. Une méthode de comparaison est utilisée pour déterminer si l’état actuel du fichier est différent de la dernière analyse du fichier. Vous pouvez utiliser cette comparaison pour vérifier si des modifications suspectes ou valides ont été apportées à vos fichiers.
Quand vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser le monitoring de l’intégrité des fichiers pour vérifier l’intégrité des fichiers Windows, de vos registres Windows et des fichiers Linux.
Contrôles d’application adaptatifs (AAC) les contrôles d’application adaptatifs sont une solution intelligente et automatisée permettant la définition de listes vertes d’applications réputées sécurisées pour vos ordinateurs.
Lorsque vous avez activé et configuré des contrôles d’application adaptatifs, vous obtenez des alertes de sécurité si une autre application que celles que vous avez définies comme sécurisées s’exécute.
Sécurisation adaptative du réseau (ANH) : l’application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis des ressources améliore votre posture de sécurité réseau. Il peut toutefois rester des cas dans lesquels le trafic réel qui transite via le groupe de sécurité réseau est un sous-ensemble des règles NSG définies. Dans ces cas, une amélioration supplémentaire de la posture de sécurité est possible en renforçant les règles NSG en fonction des modèles de trafic réel.
Le renforcement du réseau adaptatif fournit des recommandations visant à renforcer davantage les règles NSG. Il utilise un algorithme de Machine Learning qui prend en compte le trafic réel, les configurations approuvées connues, le renseignement contre les menaces et d’autres indicateurs de compromission. ANH fournit ensuite des recommandations pour autoriser le trafic provenant de tuples IP et port spécifiques uniquement.
Sécurisation de l’hôte Docker : Microsoft Defender pour le cloud identifie les conteneurs non managés qui sont hébergés sur des machines virtuelles IaaS Linux, ou d’autres machines Linux exécutant des conteneurs Docker. Defender pour le cloud évalue en continu les configurations de ces conteneurs. Il les compare ensuite au document de référence Center for Internet Security (CIS) Docker Benchmark. Defender pour le cloud inclut la totalité des règles définies dans le CIS Docker Benchmark et vous envoie une alerte si vos conteneurs ne satisfont pas à tous les contrôles.
Détection d’attaques sans fichier : les attaques sans fichier injectent des charges utiles malveillantes en mémoire pour ne pas être détectées par les techniques d’analyse sur disque. La charge utile de l’attaquant est alors conservée dans la mémoire des processus compromis et effectue un large éventail d’activités malveillantes.
Avec la détection des attaques sans fichier, les techniques d’investigation automatique de la mémoire identifient les comportements, les techniques et les kits de ressources des attaques sans fichier. Cette solution analyse régulièrement votre machine au moment de l’exécution et extrait des insights directement de la mémoire des processus. Des insights spécifiques incluent l’identification des éléments suivants :
- Trousses à outils et logiciels d’exploration de données de chiffrement connus
- Code d’interpréteur de commandes, un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.
- Injection d’un exécutable malveillant dans la mémoire du processus
La détection d’attaques sans fichier génère des alertes de sécurité détaillées contenant les descriptions accompagnées des métadonnées de processus, telles que l’activité réseau. Ces détails accélèrent le triage des alertes, la corrélation et le temps de réponse en aval. Cette approche complète les solutions EDR basées sur les événements et offre une couverture de détection accrue.
Intégration des alertes auditd Linux et de l’agent Log Analytics (Linux uniquement) : le système auditd se compose d’un sous-système au niveau du noyau, qui est responsable de la supervision des appels système. Il filtre les appels par un ensemble de règles donné et écrit les messages pour ces derniers dans un socket. Defender pour le cloud intègre les fonctionnalités du package auditd dans l’agent Log Analytics. Cette intégration permet la collecte des événements auditd dans toutes les distributions Linux prises en charge, sans prérequis.
L’agent Log Analytics pour Linux collecte les enregistrements d’audit, les enrichit et les agrège dans des événements. Defender pour le cloud enrichit continuellement l’analytique, qui utilise les signaux Linux pour détecter les comportements malveillants sur les machines Linux locales ou dans le cloud. À l’image des fonctionnalités Windows, cette analytique comprend des tests qui vérifient les processus suspects, les tentatives de connexion douteuses, le chargement de modules de noyau et bien d’autres activités. Ces activités peuvent signaler qu’une machine fait l’objet d’une attaque ou qu’elle a subi une violation de la sécurité.
Comment Defender pour les serveurs collecte-t-il des données ?
Sous Windows, Microsoft Defender pour le cloud s’intègre avec des services Azure pour surveiller et protéger vos machines Windows. Defender pour le cloud présente les alertes et les suggestions de correction de l’ensemble de ces services dans un format facile à utiliser.
Sous Linux, Defender pour le cloud collecte les enregistrements d’audit à partir des machines Linux à l’aide d’auditd, l’un des frameworks d’audit Linux les plus courants.
Pour les scénarios hybrides et multiclouds, Defender pour le cloud intègre Azure Arc afin que ces machines non-Azure soient vues comme des ressources Azure.