Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure, Microsoft Azure Virtual Machine Scale Sets, conteneurs IaaS et ordinateurs non Azure (notamment les ordinateurs locaux) pour superviser les menaces et vulnérabilités de sécurité. L’agent Log Analytics collecte des données et lit divers journaux d’événements et configurations liées à la sécurité de la machine, puis copie ces données dans votre espace de travail à des fins d’analyse.
Collecte de données
Comment activer la collecte des données ?
La collecte de données est automatiquement activée lorsque vous activez un plan Defender qui nécessite un composant de surveillance.
Que se passe-t-il quand la collecte des données est activée ?
Quand l’approvisionnement automatique est activé, Defender pour le cloud utilise Log Analytics sur toutes les machines virtuelles Azure prises en charge et toutes celles créées. L’approvisionnement automatique est recommandé. Toutefois, l’installation manuelle de l’agent est également disponible. Découvrez comment installer l’extension de l’agent Log Analytics.
L’agent active l’événement de création de processus 4688 et le champ CommandLine à l’intérieur de l’événement 4688. Les processus créés sur la machine virtuelle sont enregistrés par le journal des événements et supervisés par les services de détection de Defender pour le cloud. Pour plus d’informations sur les détails enregistrés pour chaque nouveau processus, voir Description des champs 4688. L’agent collecte également les événements 4688 créés sur la machine virtuelle et les stocke dans la recherche.
L’agent permet également d’activer la collecte de données pour les Contrôles d’application adaptatifs. Defender pour le cloud configure une stratégie AppLocker locale en mode Audit pour autoriser toutes les applications. Cette stratégie amène AppLocker à générer des événements qui sont ensuite collectés et utilisés par Defender pour le cloud. Il est important de remarquer que cette stratégie n’est configurée sur aucune machine dotée d’une stratégie AppLocker déjà configurée.
Quand Defender pour le cloud détecte une activité suspecte sur la machine virtuelle, le client reçoit un e-mail de notification si des informations de contact de sécurité ont été fournies. Une alerte est également visible dans le tableau de bord des alertes de sécurité de Defender pour le cloud.
Agents
Qu’est-ce que l’agent Log Analytics ?
Pour analyser les menaces et les failles de sécurité, Microsoft Defender pour le cloud dépend de l’agent Log Analytics, ce dernier étant le même que celui utilisé par le service Azure Monitor.
Cet agent est parfois appelé Microsoft Monitoring Agent (ou « MMA »).
L’agent collecte différents journaux des événements et détails de configuration liés à la sécurité à partir des ordinateurs connectés, puis copie les données dans votre espace de travail Log Analytics pour une analyse approfondie. Il peut s’agir des données suivantes : type et version de système d’exploitation, journaux d’activité de système d’exploitation (journaux d’événements Windows), processus en cours d’exécution, nom de machine, adresses IP et utilisateur connecté.
Vérifiez que vos machines exécutent l’un des systèmes d’exploitation pris en charge pour l’agent, comme décrit dans les pages suivantes :
Agent Log Analytics pour les systèmes d’exploitation pris en charge par Windows
Agent Log Analytics pour les systèmes d’exploitation pris en charge par Linux
Apprenez-en davantage sur les données collectées par l’agent Log Analytics.
Qu’est-ce qui rend une machine virtuelle apte pour le provisionnement automatique de l’installation de l’agent Log Analytics ?
Les machines virtuelles Windows ou Linux IaaS sont retenues dans les cas suivants :
- L’extension de l’agent Log Analytics n’est actuellement pas installée sur la machine virtuelle.
- La machine virtuelle est en cours d’exécution.
- L’agent de machine virtuelle Azure pour Windows ou Linux est installé.
- La machine virtuelle n’est pas utilisée en tant qu’appliance telle qu’un pare-feu d’applications web ou un pare-feu de nouvelle génération.
Quels sont les événements de sécurité collectés par l’agent Log Analytics ?
Pour obtenir la liste complète des événements de sécurité collectés par l'agent, consultez Quels types d'événements sont stockés pour les paramètres d'événements de sécurité « Commun » et « Minimal » ?.
Important
Pour certains services, tels que le Pare-feu Azure, la journalisation d’une ressource qui produit de nombreux journaux peut consommer du stockage dans votre espace de travail Log Analytics. Veillez à utiliser la journalisation détaillée uniquement si c’est nécessaire.
Que se passe-t-il si l’agent Log Analytics est déjà installé en tant qu’extension sur la machine virtuelle ?
Lorsque l’Agent Monitoring est installé en tant qu’extension, la configuration de l’extension permet de rendre compte à un seul espace de travail. Defender pour le cloud n’écrase pas les connexions existantes des espaces de travail utilisateur. Defender pour le cloud stocke les données de sécurité à partir d’une machine virtuelle d’un espace de travail déjà connecté lorsque la solution « Security » ou « SecurityCenterFree » y est installée. Defender pour le cloud pourrait mettre à niveau la version de l’extension vers la dernière version lors de ce processus.
Pour plus d’informations, voir Approvisionnement automatique en cas d’installation d’un agent préexistant.
Que faire si l’agent Log Analytics est installé directement sur la machine, mais pas en tant qu’extension (agent direct) ?
Si l’agent Log Analytics est installé directement sur la machine virtuelle (pas en tant qu’extension Azure), Defender pour le cloud installe l’extension de l’agent Log Analytics, et pourrait mettre à niveau l’agent Log Analytics vers la dernière version.
L’agent installé continue de rendre compte à ses espaces de travail déjà configurés, et à notifier l’espace de travail configuré dans Defender pour le cloud. (Le multihébergement est pris en charge sur les machines Windows.)
Pour les espaces de travail utilisateur personnalisés, vous devez y installer la solution « Security » ou « SecurityCenterFree », afin que Defender pour le cloud puisse traiter les événements à partir de machines virtuelles et d’ordinateurs rendant compte à cet espace de travail.
Pour les machines Linux, le multi-hébergement de l’agent n’est pas encore pris en charge. Si l’installation d’un agent existant est détectée, Defender pour le cloud n’utilise pas automatiquement l’agent, ou ne modifie pas la configuration de la machine.
Pour les machines existantes déployées sur des abonnements intégrés à Defender pour le cloud avant le 17 mars 2019, le multi-hébergement de l’agent n’est pas encore pris en charge. Si l’installation d’un agent existant est détectée, Defender pour le cloud n’utilise pas automatiquement l’agent, ou ne modifie pas la configuration de la machine. Pour ces machines, consultez la recommandation « Résoudre les problèmes d’intégrité de l’agent d’analyse sur vos machines » pour résoudre les problèmes d’installation de l’agent sur ces machines.
Pour plus d’informations, consultez la prochaine section, Que se passe-t-il si l’agent direct System Center Operations Manager ou OMS est déjà installé sur ma machine virtuelle ?
Que se passe-t-il si un agent Operations Manager est déjà installé sur ma machine virtuelle ?
Defender pour le cloud implémente une Azure Policy qui n’autorise pas l’installation de l’agent Log Analytics lorsque l’agent Operations Manager est installé sur l’ordinateur. Les deux agents peuvent multi-héberger et signaler à Operations Manager et à l’espace de travail Log Analytics. L’agent Operations Manager et l’agent Logs Analytics partagent la même bibliothèque de codes à l’exécution. Remarque : si la version 2012 de l’agent Operations Manager est installée, n’activez pas l’approvisionnement automatique (les fonctionnalités de facilité de gestion peuvent être perdues si la version du serveur Operations Manager date également de 2012).
Quel est l’impact de la suppression de ces extensions ?
Si vous supprimez l’extension de la surveillance Microsoft, Defender pour le cloud ne peut pas collecter les données de sécurité de la machine virtuelle et certaines suggestions de sécurité et alertes ne sont pas disponibles. Sous 24 heures, Defender pour le cloud détermine que l’extension est absente de la machine virtuelle et la réinstalle.
Comment empêcher l’installation automatique de l’agent et la création de l’espace de travail ?
Le déploiement d’extensions avec Defender pour le cloud est fortement recommandé si vous souhaitez bénéficier des alertes de sécurité et des recommandations sur les mises à jour système, les vulnérabilités du système d’exploitation et la protection des points de terminaison. La désactivation des extensions limite ces alertes et suggestions. Cependant, vous pouvez désactiver l’approvisionnement automatique d’un agent ou d’une extension spécifique :
Pour désactiver l’approvisionnement automatique pour un agent ou une extension spécifique :
Dans le Portail Azure, ouvrez Defender pour le Cloud et sélectionnez Paramètres d’environnement.
Sélectionnez l’abonnement approprié.
Dans la colonne Surveillance de la couverture du plan Defender pour les serveurs, sélectionnez Paramètres.
Désactivez l’extension dont vous souhaitez arrêter l’approvisionnement automatique.
Sélectionnez Enregistrer.
Dois-je refuser l’installation automatique de l’agent et la création de l’espace de travail ?
Notes
Veillez à consulter les sections Quelles sont les implications d’un refus ? et Étapes recommandées en cas de refus si vous choisissez de refuser le provisionnement automatique.
Vous pourriez souhaiter refuser l’approvisionnement automatique si ces scénarios s’appliquent à vous :
L’installation automatique de l’agent par Defender pour le cloud s’applique à l’ensemble de l’abonnement. Vous ne pouvez pas appliquer l’installation automatique à un sous-ensemble de machines virtuelles. Si des machines virtuelles critiques ne peuvent pas être installées avec l’agent Log Analytics, vous devez refuser l’approvisionnement automatique.
L’installation de l’extension de l’agent Log Analytics met à jour la version de l’agent. Cela s’applique à un agent direct et à un agent System Center Operations Manager (dans le dernier cas, les agents Operations Manager et Log Analytics partagent des bibliothèques Runtime communes, qui sont mises à jour dans le processus). Si l’agent Operations Manager installé est en version 2012 et qu’il est mis à niveau, les fonctionnalités de facilité de gestion peuvent être perdues quand le serveur Operations Manager est également en version 2012. Vous pouvez refuser le provisionnement automatique si l’agent Operations Manager installé est en version 2012.
Si vous souhaitez éviter de créer plusieurs espaces de travail par abonnement et que vous disposez de votre propre espace de travail personnalisé dans l’abonnement, deux options s’offrent à vous :
Vous pouvez refuser le provisionnement automatique. Après la migration, définissez les paramètres d’espace de travail par défaut comme décrit dans Comment puis-je utiliser mon espace de travail Log Analytics existant ?
Vous pouvez aussi autoriser l’exécution de la migration, l’installation de l’agent Log Analytics sur les machines virtuelles et la connexion des machines virtuelles à l’espace de travail créé. Sélectionnez ensuite votre propre espace de travail personnalisé en définissant le paramètre d’espace de travail par défaut avec l’activation de la reconfiguration des agents déjà installés. Pour plus d’informations, consultez Comment puis-je utiliser mon espace de travail Log Analytics existant ?
Quelles sont les implications d’un refus du provisionnement automatique ?
Une fois la migration terminée, Defender pour le cloud n’est pas en mesure de collecter des données de sécurité sur la machine virtuelle, et certaines recommandations de sécurité et alertes ne sont pas disponibles. En cas de refus, installez manuellement l’agent Log Analytics. Consultez les étapes recommandées en cas de refus.
Quelles sont les étapes recommandées en cas de refus du provisionnement automatique ?
Installez manuellement l’extension de l’agent Log Analytics pour que Defender pour le cloud puisse collecter des données de sécurité sur vos machines virtuelles et fournir des suggestions et des alertes. Consultez Installation de l’agent pour les machines virtuelles Windows ou Installation de l’agent pour les machines virtuelles Linux pour obtenir des instructions sur l’installation.
Vous pouvez connecter l’agent à n’importe quel espace de travail personnalisé existant ou à l’espace de travail créé par Defender pour le cloud. Si les solutions « Security » ou « SecurityCenterFree » ne sont pas activées dans un espace de travail personnalisé, vous devez appliquer une solution. Pour ce faire, sélectionnez l’espace de travail personnalisé et appliquez un niveau tarifaire via la page Paramètres d’environnement>Plans Defender.
Defender pour le cloud active la solution appropriée sur l’espace de travail en fonction des options sélectionnées.
Comment supprimer des extensions OMS installées par Defender pour le cloud ?
Vous pouvez supprimer manuellement l’agent Log Analytics, mais cette action n’est pas recommandée. La suppression des extensions OMS a pour effet de limiter les recommandations et les alertes de Defender pour le cloud.
Notes
Si la collecte de données est activée, Defender pour le cloud réinstalle l’agent une fois que vous l’avez supprimé. Vous devez désactiver la collecte de données avant de supprimer manuellement l’agent. Consultez Comment empêcher l’installation automatique de l’agent et la création de l’espace de travail ? pour obtenir des instructions sur la désactivation de la collecte de données.
Pour supprimer manuellement l’agent :
Dans le portail, ouvrez Log Analytics.
Sur la page Log Analytics, sélectionnez un espace de travail :
Sélectionnez les machines virtuelles que vous ne souhaitez pas surveiller, puis choisissez Déconnecter.
Notes
Si une machine virtuelle Linux possède déjà un agent OMS qui n’est pas un agent d’extension, la suppression de l’extension a pour effet de supprimer également l’agent. Vous devez alors le réinstaller.
Defender pour le cloud est-il opérationnel avec une passerelle OMS ?
Oui. Microsoft Defender pour le cloud utilise Azure Monitor pour collecter des données à partir de serveurs et de machines virtuelles Azure, avec l’agent Log Analytics. Pour collecter les données, chaque machine virtuelle et chaque serveur doivent se connecter à Internet à l’aide du protocole HTTPS. Il peut s’agir d’une connexion directe, d’une connexion obtenue par un proxy ou bien établie via la passerelle OMS.
Est-ce que l’agent Log Analytics a un impact sur les performances de mes serveurs ?
L’agent utilise une quantité minime de ressources système et n’a donc qu’un faible impact sur les performances. Pour en savoir plus sur l’impact sur les performances, l’agent et l’extension, consultez le Guide de planification et de fonctionnement.
Sans agent
Quelles données sont collectées à partir des instantanés ?
L’analyse sans agent collecte des données similaires aux données qu’un agent collecte pour effectuer la même analyse. Les données brutes, informations d’identification personnelles ou données métiers sensibles ne sont pas collectées, et seuls les résultats des métadonnées sont envoyés à Defender pour le cloud.
Quels sont les coûts liés à l’analyse sans agent ?
L’analyse sans agent est incluse dans les plans Gestion de la posture de sécurité cloud (CSPM) Defender et Defender pour serveurs P2. L’activation de Defender pour le cloud n’occasionne aucun autre coût.
Notes
Frais AWS pour la rétention des captures instantanées de disque. Le processus d’analyse de Defender pour le cloud tente activement de réduire la période pendant laquelle un instantané est stocké dans votre compte (généralement quelques minutes). AWS pourrait facturer un coût de surcharge pour le stockage des instantanés de disque. Consultez AWS pour connaître les coûts qui s’appliquent à vous.
Comment puis-je suivre les coûts AWS engagés pour les captures instantanées de disque créées par Defender pour l’analyse sans agent cloud ?
Les captures instantanées de disque sont créées avec la clé d’étiquette CreatedBy et la valeur de balise Microsoft Defender for Cloud . La balise CreatedBy suit qui a créé la ressource.
Vous devez activer les balises dans la console Facturation et Cost Management. L’activation des balises peut prendre jusqu’à 24 heures.
Une fois que vous avez activé les balises, AWS génère un rapport d’allocation de coûts en tant que valeur séparée par des virgules (. Fichier CSV) avec votre utilisation et votre coût regroupés par vos balises actives.
Espaces de travail
Est-ce que je suis facturé pour Journaux Azure Monitor sur des espaces de travail créés par Defender pour le cloud ?
Une ingestion de données gratuite de 500 Mo existe pour chaque espace de travail. Cela est calculé par nœud, par espace de travail signalé, par jour et disponible pour chaque espace de travail sur lequel la solution « Sécurité » ou « Logiciel anti-programme malveillant » est installée. Toutes les données ingérées au-delà de la limite de 500 Mo vous sont facturées.
Les espaces de travail créés par Defender pour le cloud, même s’ils sont configurés pour une facturation Journaux Azure Monitor par nœud, n’entraînent pas de frais de journaux Azure Monitor. La facturation Defender pour le cloud est toujours basée sur votre stratégie de sécurité Defender pour le cloud et sur les solutions installées sur un espace de travail :
Sécurité renforcée désactivée : Defender pour le Cloud active la solution « SecurityCenterFree » sur l’espace de travail par défaut. Aucuns frais ne sont facturés lorsqu’aucun plan Defender n’est activé.
Tous les plans Microsoft Defender pour le Cloud désactivés : Defender pour le Ccloud active la solution « Security » sur l’espace de travail par défaut.
Pour plus d’informations sur la tarification dans votre devise locale ou votre région, consultez la page relative à la tarification.
Notes
Le niveau tarifaire des analytiques des journaux d'activité des espaces de travail créés par Defender pour le cloud n’affecte pas la facturation Defender pour le cloud.
Notes
Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.
Où est créé l’espace de travail Log Analytics par défaut ?
La localisation de l’espace de travail par défaut dépend de votre région Azure :
- L’espace de travail des machines virtuelles des États-Unis et du Brésil est localisé aux États-Unis
- Pour les machines virtuelles au Canada, la localisation de l’espace de travail est le Canada
- L’espace de travail des machines virtuelles en Europe est localisé en Europe
- L’espace de travail des machines virtuelles du Royaume-Uni est localisé au Royaume-Uni
- L’espace de travail des machines virtuelles des régions Asie Est et Asie Sud-Est est localisé en Asie
- Pour les machines virtuelles en Corée, la localisation de l’espace de travail est la Corée
- Pour les machines virtuelles en Inde, la localisation de l’espace de travail est l’Inde
- Pour les machines virtuelles au Japon, la localisation de l’espace de travail est le Japon
- Pour les machines virtuelles en Chine, la localisation de l’espace de travail est la Chine
- Pour les machines virtuelles en Australie, la localisation de l’espace de travail est l’Australie
Puis-je supprimer les espaces de travail par défaut créés par Defender pour le cloud ?
Il n’est pas recommandé de supprimer l’espace de travail par défaut. Defender pour le cloud utilise les espaces de travail par défaut pour stocker les données de sécurité de vos machines virtuelles. Si vous supprimez un espace de travail, Defender pour le cloud n’est pas en mesure de collecter ces données, et certaines recommandations de sécurité et alertes ne sont pas disponibles.
Pour effectuer une récupération, supprimez l’agent Log Analytics sur les machines virtuelles connectées à l’espace de travail supprimé. Defender pour le cloud réinstalle l’agent et crée des espaces de travail par défaut.
Comment puis-je utiliser mon espace de travail Log Analytics existant ?
Vous pouvez sélectionner un espace de travail Log Analytics existant pour stocker les données collectées par Defender pour le cloud. Pour utiliser votre espace de travail Log Analytics existant :
- L’espace de travail doit être associé à votre abonnement Azure sélectionné.
- Au minimum, vous devez avoir des autorisations de lecture pour accéder à l’espace de travail.
Notes
Pour obtenir des alertes de sécurité de cet agent, assurez-vous que l’agent Log Analytics et la machine sur laquelle l’agent s’exécute sont tous deux liés à un espace de travail Log Analytics dans le même locataire.
Pour sélectionner un espace de travail Log Analytics existant :
Dans le menu de Defender pour le cloud, ouvrez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Dans la colonne Surveillance de la couverture du plan Defender pour les serveurs, sélectionnez Paramètres.
Pour l’agent Log Analytics, sélectionnez Modifier la configuration.
Sélectionnez Espace de travail personnalisé, puis votre espace de travail existant.
Conseil
La liste comprend uniquement les espaces de travail auxquels vous avez accès et ceux qui se trouvent dans votre abonnement Azure.
Sélectionnez Apply.
Sélectionnez Continuer.
Sélectionnez Enregistrer et confirmez que vous souhaitez reconfigurer les machines virtuelles surveillées.
Important
Ce choix n’est pertinent que si vous modifiez la configuration de l’espace de travail par défaut en un espace de travail personnalisé. Si vous changez un espace de travail personnalisé pour un autre, ou pour l’espace de travail par défaut, la modification n’est pas appliquée aux machines existantes.
- Sélectionnez Non si vous souhaitez que les nouveaux paramètres de l’espace de travail s’appliquent uniquement aux nouvelles machines virtuelles. Les nouveaux paramètres de l’espace de travail s’appliquent uniquement aux nouvelles installations d’agent ; machines virtuelles nouvellement détectées sur lesquelles l’agent Log Analytics n’est pas installé.
- Sélectionnez Oui si vous souhaitez que les nouveaux paramètres de l’espace de travail s’appliquent à toutes les machines virtuelles. En outre, chaque machine virtuelle connectée à un espace de travail créé par Defender pour le cloud est reconnectée au nouvel espace de travail cible.
Notes
Si vous sélectionnez Oui, ne supprimez pas les espaces de travail créés par Defender pour le cloud tant que toutes les machines virtuelles n’ont pas été reconnectées au nouvel espace de travail cible. Cette opération échoue si un espace de travail est supprimé trop tôt.
Est-ce que Microsoft Defender pour le cloud remplace les connexions existantes entre les machines virtuelles et les espaces de travail ?
Si l’agent Log Analytics est déjà installé en tant qu’extension Azure sur une machine virtuelle, Defender pour le cloud ne remplace pas la connexion à l’espace de travail existante. Au lieu de cela, Defender pour le cloud utilise l’espace de travail existant. La machine virtuelle est protégée si la solution « Security » ou « SecurityCenterFree » a été installée sur l’espace de travail auquel elle rend compte.
Une solution Defender pour le cloud est installée sur l’espace de travail sélectionné dans l’écran Collection de données, si elle ne l’était pas déjà. La solution est appliquée uniquement aux machines virtuelles appropriées. Lorsque vous ajoutez une solution, elle est déployée automatiquement par défaut sur tous les agents Windows et Linux connectés à votre espace de travail Log Analytics. Le ciblage de solution permet d’appliquer une étendue à vos solutions.
Conseil
Si l’agent Log Analytics est directement installé sur la machine virtuelle (et non en tant qu’extension Azure), Defender pour le cloud n’installe pas l’agent Log Analytics et le monitoring de la sécurité est limitée.
Est-ce que Defender pour le cloud installe des solutions sur mes espaces de travail Log Analytics existants ? Quelles sont les conséquences sur la facturation ?
Lorsque Defender pour le cloud identifie qu’une machine virtuelle est déjà connectée à un espace de travail que vous avez créé, Defender pour le cloud active des solutions sur cet espace de travail en fonction de votre configuration tarifaire. Les solutions sont appliquées uniquement aux ressources pertinentes, via le ciblage de solution, de sorte que la facturation reste la même.
Aucun plan Defender n’est activé : Defender pour le cloud installe la solution « SecurityCenterFree » sur l’espace de travail et vous n’êtes pas facturé pour cette solution.
Activer tous les plans de Microsoft Defender : Defender pour le cloud installe la solution « Security » sur l’espace de travail.
Je dispose déjà d’espaces de travail dans mon environnement. Puis-je les utiliser pour collecter des données de sécurité ?
Si l’agent Log Analytics est déjà installé comme une extension Azure sur une machine virtuelle, Defender pour le cloud utilise l’espace de travail connecté existant. Une solution Defender pour le cloud est installée sur l’espace de travail si elle ne l’était pas déjà. La solution est appliquée uniquement aux machines virtuelles appropriées via le ciblage de solution.
Lorsque Defender pour le cloud installe l’agent Log Analytics sur des machines virtuelles, il utilise les espaces de travail par défaut créés par Defender pour le cloud s’il n’est pas pointé vers un espace de travail existant.
Je dispose déjà de la solution de sécurité sur mes espaces de travail. Quelles sont les conséquences sur la facturation ?
La solution De sécurité et d’audit est utilisée pour activer Microsoft Defender pour serveurs. Si la solution Security & audit est déjà installée sur un espace de travail, Defender pour le cloud utilise la solution existante. Il n’y a aucune modification de la facturation.