Connecter des serveurs activés pour Azure Arc à Microsoft Defender pour le cloud

Cet article contient des conseils sur l’intégration de serveurs activés pour Azure Arc à Microsoft Defender pour le cloud. Cela vous permet de commencer à collecter des configurations liées à la sécurité et des journaux d’événements afin de pouvoir recommander des actions et améliorer l’ensemble de votre posture de sécurité Azure.

Dans les procédures suivantes, vous activez et vous configurez le niveau Standard de Microsoft Defender pour le cloud sur votre abonnement Azure. Cela vous permet de bénéficier d’une protection avancée contre les menaces et de capacités de détection. Ce processus inclut les éléments suivants :

• Configurer un espace de travail Log Analytics dans lequel les journaux et les événements sont agrégés à des fins d’analyse.
• Affecter des stratégies de sécurité Defender pour le cloud par défaut.
• Passer en revue les recommandations de Defender pour le cloud.
• Appliquer les configurations recommandées sur des serveurs avec Azure Arc en utilisant les correctifs rapides.

Important

Les procédures décrites dans cet article supposent que vous avez déjà déployé des machines virtuelles ou des serveurs qui fonctionnent localement ou sur d’autres clouds et que vous les avez connectés à Azure Arc. Si ce n’est pas le cas, les informations suivantes peuvent vous aider à automatiser cette opération.

• Instance Ubuntu pour GCP
• Instance Windows pour GCP
• Instance Ubuntu EC2 pour AWS
• Instance Amazon Linux 2 EC2 pour AWS
• Machine virtuelle Ubuntu pour VMware vSphere
• Machine virtuelle Windows Server pour VMware vSphere
• Box Vagrant pour Ubuntu
• Box Vagrant pour Windows

Prérequis

1. Clonez le référentiel Azure Arc Jumpstart.

   git clone https://github.com/microsoft/azure_arc
   

2. Comme nous l’avons mentionné, ce guide commence au stade où vous avez déjà déployé des machines virtuelles ou des serveurs nus et les avez connectés à Azure Arc. Dans ce scénario, nous utilisons une instance Google Cloud Platform (GCP) déjà connectée à Azure Arc, qui apparaît parmi les ressources dans Azure, Ceci est illustré dans les captures d’écran suivantes :

   

   

3. Installez ou mettez à jour Azure CLI. Azure CLI doit exécuter la version 2.7 ou une version ultérieure. Utilisez az --version pour vérifier la version actuellement installée.

4. Créez un principal de service Azure.

   Pour connecter une machine virtuelle ou un serveur nu à Azure Arc, un principal de service Azure auquel est attribué le rôle Contributeur est requis. Pour le créer, connectez-vous à votre compte Azure et exécutez la commande suivante. Vous pouvez également exécuter cette commande dans Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Par exemple :

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   La sortie doit ressembler à ceci :

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Remarque

Nous vous recommandons vivement d’étendre le principal de service à un abonnement et groupe de ressources Azure spécifique.

Intégrer Microsoft Defender pour le cloud

1. Les données collectées par Microsoft Defender pour le cloud sont stockées dans un espace de travail Log Analytics. Vous pouvez utiliser l’espace de travail par défaut créé par Defender pour le cloud ou un espace personnalisé créé par vos soins. Si vous souhaitez créer un espace de travail dédié, vous pouvez automatiser le déploiement en modifiant le fichier des paramètresdu modèle Azure Resource Manager (modèle ARM), en spécifiant un nom et un emplacement pour votre espace de travail :

   

2. Pour déployer le modèle ARM, accédez au dossier de déploiement et exécutez la commande suivante :

   az deployment group create --resource-group <Name of the Azure resource group> \
   --template-file <The `log_analytics-template.json` template file location> \
   --parameters <The `log_analytics-template.parameters.json` template file location>
   

3. Si vous choisissez un espace de travail défini par l’utilisateur, vous devez indiquer à Defender pour le cloud de l’utiliser à la place de l’espace de travail par défaut avec la commande suivante :

   az security workspace-setting create --name default \
   --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
   

4. Sélectionnez un niveau Microsoft Defender pour le cloud. Le niveau Gratuit est activé par défaut sur tous vos abonnements Azure et fournira une évaluation continue de la sécurité et des recommandations de sécurité pouvant être mises en œuvre. Dans ce guide, vous utilisez le niveau Standard pour Machines virtuelles Microsoft Azure qui étend ces capacités en offrant une gestion unifiée de la sécurité et une protection contre les menaces sur l’ensemble de vos charges de travail cloud hybrides. Pour activer le niveau Standard de Microsoft Defender pour le cloud pour des machines virtuelles, exécutez la commande suivante :

   az security pricing create -n VirtualMachines --tier 'standard'
   

5. Affectez l’initiative de stratégie Defender pour le cloud par défaut. Defender pour le cloud fait ses recommandations de sécurité en fonction des stratégies. Il existe une initiative spécifique qui regroupe les stratégies de Defender pour le cloud avec l’ID de définition 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. La commande suivante va affecter l’initiative Defender pour le cloud à votre abonnement.

   az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
   --scope '/subscriptions/<Your subscription ID>' \
   --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
   

Intégration d’Azure Arc et de Microsoft Defender pour le cloud

Une fois que vous avez intégré Microsoft Defender pour le cloud, vous recevez des recommandations pour vous aider à protéger vos ressources, y compris vos serveurs activés pour Azure Arc. Defender pour le cloud va analyser périodiquement l’état de sécurité de vos ressources Azure afin d’identifier les vulnérabilités potentielles en matière de sécurité.

Dans la section Calcul et applications, sous ordinateur virtuel et serveurs, Microsoft Defender pour le cloud fournit une vue d'ensemble de toutes les recommandations de sécurité découvertes pour vos ordinateurs virtuels et vos ordinateurs, y compris les ordinateurs virtuels Azure, les ordinateurs virtuels classiques Azure, les serveurs et les machines Azure Arc.

Sur les serveurs activés pour Azure Arc, Microsoft Defender pour le cloud recommande l’installation de l’agent Log Analytics. Chaque recommandation comprend également :

• Une brève description de la recommandation.
• Un impact sur le score sécurisé, dans le cas présent, avec un état Élevé.
• Étapes de correction à effectuer pour implémenter la recommandations.

Pour les recommandations spécifiques, comme dans la capture d’écran suivante, vous obtiendrez également un correctif rapide qui vous permet de corriger rapidement une recommandation sur plusieurs ressources.

Le correctif rapide de la correction suivante consiste à utiliser un modèle ARM pour déployer l’extension de l’agent Log Analytics sur la machine Azure Arc.

Vous pouvez déclencher la correction avec le modèle ARM à partir du tableau de bord de protection des charges de travail en sélectionnant l’espace de travail Log Analytics utilisé pour Microsoft Defender pour le cloud, puis en choisissant Corriger 1 ressource.

Une fois que vous avez appliqué la recommandation sur le serveur avec Azure Arc, la ressource est marquée comme saine.

Nettoyer votre environnement

Effectuez les étapes suivantes pour nettoyer votre environnement.

1. Supprimez les machines virtuelles de chaque environnement en suivant les instructions de désactivation de chaque guide.

   • Instance Ubuntu pour GCP et Instance Windows pour GCP
   • Instance Ubuntu EC2 pour AWS
   • Machine virtuelle Ubuntu pour VMware vSphere / Machine virtuelle Windows Server pour VMware vSphere
   • Box Ubuntu pour Vagrant / Box Windows pour Vagrant

2. Supprimez l’espace de travail Log Analytics en exécutant le script suivant dans Azure CLI. Indiquez le nom de l’espace de travail que vous avez utilisé lors de la création de l’espace de travail Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes