Présentation de Microsoft Defender pour les serveurs

Microsoft Defender pour les serveurs est une des fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud. Utilisez-la pour ajouter la détection des menaces ainsi que des défenses avancées à vos machines Windows et Linux, qu’elles s’exécutent dans un environnement Azure, AWS, GCP et localement.

Pour protéger des machines dans des environnements hybrides et multiclouds, Defender pour le cloud utilise Azure Arc. Connectez vos machines hybrides et multiclouds comme expliqué dans le guide de démarrage rapide approprié :

Conseil

Pour plus d’informations sur les fonctionnalités de Defender pour les serveurs qui s’appliquent aux machines s’exécutant dans d’autres environnements cloud, consultez Fonctionnalités prises en charge pour les machines virtuelles et les serveurs.

Quels sont les plans de Microsoft Defender pour les serveurs ?

Microsoft Defender pour les serveurs fournit la détection des menaces ainsi que des défenses avancées à vos machines Windows et Linux, qu’elles s’exécutent dans Azure, AWS, GCP ou localement. Microsoft Defender pour les serveurs est disponible dans deux plans :

  • Microsoft Defender pour les serveurs Plan 1 : déploie Microsoft Defender pour point de terminaison sur vos serveurs et fournit ces fonctionnalités :

    • Les licences Microsoft Defender pour point de terminaison sont facturées par heure et non par poste, réduisant ainsi les coûts de protection des machines virtuelles lorsqu’elles sont en cours d’utilisation uniquement.
    • Microsoft Defender pour point de terminaison est déployé automatiquement sur toutes les charges de travail cloud afin que vous sachiez qu’elles sont protégées quand elles s’exécutent.
    • Les alertes et les données sur les vulnérabilités de Microsoft Defender pour point de terminaison s’affichent dans Microsoft Defender pour le cloud
  • Microsoft Defender pour les serveurs Plan 2 (anciennement Defender pour les serveurs) : offre les avantages du Plan 1 et prend en charge toutes les autres fonctionnalités de Microsoft Defender pour les serveurs.

Pour plus d’informations sur la tarification dans la devise de votre choix et en fonction de votre région, consultez la page sur les tarifs.

Pour activer les plans Microsoft Defender pour les serveurs :

  1. Accédez aux paramètres de l’environnement et sélectionnez votre abonnement.

  2. Si Microsoft Defender pour les serveurs n’est pas activé, affectez-lui la valeur Activé. Le Plan 2 est sélectionné par défaut.

    Si vous souhaitez modifier le plan de Defender pour les serveurs :

    1. Dans la colonne Plan/Tarification, sélectionnez Modifier le plan.
    2. Sélectionnez le plan souhaité, puis Confirmer.

Le tableau suivant décrit ce qui est inclus dans chaque plan à un niveau élevé.

Fonctionnalité Defender pour les serveurs Plan 1 Defender pour les serveurs Plan 2
Intégration automatique des ressources dans Azure, AWS, GCP
Gestion des menaces et des vulnérabilités Microsoft
Flexibilité d’utilisation de Microsoft Defender pour le cloud ou du portail Microsoft 365 Defender
intégration de Microsoft Defender pour le cloud et de Microsoft Defender pour point de terminaison (alertes, inventaire logiciel, évaluation des vulnérabilités)
Log-analytics (500 Mo gratuits)
Évaluation des vulnérabilités à l’aide de Qualys
Détections des menaces : niveau du système d’exploitation, couche réseau, plan de contrôle
Contrôles d’application adaptative
Monitoring d’intégrité de fichier
Accès juste-à-temps aux machines virtuelles
Durcissement réseau adaptatif

Quels sont les avantages de Defender pour les serveurs ?

Les fonctionnalités de détection et de protection des menaces fournies avec Microsoft Defender pour les serveurs sont les suivantes :

  • Licence intégrée pour Microsoft Defender pour point de terminaison : Microsoft Defender pour les serveurs comprend Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes. Lorsque vous activez Microsoft Defender pour les serveurs, Defender pour le cloud obtient l’accès aux données de Microsoft Defender pour point de terminaison liées aux vulnérabilités, aux logiciels installés et aux alertes de vos points de terminaison.

    Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque. Pour plus d’informations, consultez Protéger vos points de terminaison.

  • Outils d’évaluation des vulnérabilités pour les machines - Microsoft Defender pour les serveurs comprend un choix d’outils de découverte et de gestion des vulnérabilités pour vos machines. Dans les pages de paramètres de Defender pour le cloud, vous pouvez sélectionner les outils à déployer sur vos machines. Les vulnérabilités détectées apparaissent dans une recommandation de sécurité.

  • Accès juste-à-temps (JAT) des machines virtuelles : les acteurs des menaces repèrent activement les machines accessibles avec des ports de gestion ouverts, par exemple RDP ou SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque. Lorsqu’une machine virtuelle est compromise, elle est utilisée comme point d’entrée pour attaquer d’autres ressources au sein de votre environnement.

    Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser l’accès juste-à-temps aux machines virtuelles pour verrouiller le trafic entrant vers vos machines virtuelles. Cela réduit l’exposition aux attaques tout en offrant un accès facile pour la connexion aux machines virtuelles en cas de besoin. Pour plus d’informations, consultez Fonctionnement de l’accès aux machines virtuelles juste-à-temps.

  • Monitoring d’intégrité de fichier (FIM) : le Monitoring d’intégrité de fichier (FIM), également appelé Monitoring des modifications, recherche les modifications qui sont apportées aux fichiers et registres du système d’exploitation, ainsi qu’aux logiciels d’application et autres systèmes, et qui peuvent indiquer une attaque. Une méthode de comparaison est utilisée pour déterminer si l’état actuel du fichier est différent de la dernière analyse du fichier. Vous pouvez utiliser cette comparaison pour vérifier si des modifications suspectes ou valides ont été apportées à vos fichiers.

    Quand vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser le monitoring de l’intégrité des fichiers pour vérifier l’intégrité des fichiers Windows, de vos registres Windows et des fichiers Linux. Pour plus d’informations, consultez Analyse de l’intégrité des fichiers dans Microsoft Defender pour le cloud.

  • Contrôles d’application adaptatifs (AAC) les contrôles d’application adaptatifs sont une solution intelligente et automatisée permettant la définition de listes vertes d’applications réputées sécurisées pour vos ordinateurs.

    Lorsque vous avez activé et configuré des contrôles d’application adaptatifs, vous obtenez des alertes de sécurité si une autre application que celles que vous avez définies comme sécurisées s’exécute. Pour plus d’informations, consultez Utiliser des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines.

  • Sécurisation adaptative du réseau (ANH) : l’application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis des ressources améliore votre posture de sécurité réseau. Il peut toutefois rester des cas dans lesquels le trafic réel qui transite via le groupe de sécurité réseau est un sous-ensemble des règles NSG définies. Dans ces cas, une amélioration supplémentaire de la posture de sécurité est possible en renforçant les règles NSG en fonction des modèles de trafic réel.

    Le renforcement du réseau adaptatif fournit des suggestions visant à renforcer encore les règles NSG. Il utilise un algorithme de Machine Learning qui prend en compte le trafic réel, les configurations approuvées connues, le renseignement contre les menaces et d’autres indicateurs de compromission. ANH fournit ensuite des recommandations pour autoriser le trafic provenant de tuples IP et port spécifiques uniquement. Pour plus d’informations, consultez Améliorer votre posture de sécurité réseau avec le renforcement du réseau adaptatif.

  • Sécurisation de l’hôte Docker : Microsoft Defender pour le cloud identifie les conteneurs non managés qui sont hébergés sur des machines virtuelles IaaS Linux, ou d’autres machines Linux exécutant des conteneurs Docker. Defender pour le cloud évalue en continu les configurations de ces conteneurs. Il les compare ensuite au document de référence Center for Internet Security (CIS) Docker Benchmark. Defender pour le cloud inclut la totalité des règles définies dans le CIS Docker Benchmark et vous envoie une alerte si vos conteneurs ne satisfont pas à tous les contrôles. Pour plus d’informations, consultez Renforcer vos hôtes Docker.

  • Détection d’attaques sans fichier : les attaques sans fichier injectent des charges utiles malveillantes en mémoire pour ne pas être détectées par les techniques d’analyse sur disque. La charge utile de l’attaquant est alors conservée dans la mémoire des processus compromis et effectue un large éventail d’activités malveillantes.

    Avec la détection des attaques sans fichier, les techniques d’investigation automatique de la mémoire identifient les comportements, les techniques et les kits de ressources des attaques sans fichier. Cette solution analyse régulièrement votre machine au moment de l’exécution et extrait des insights directement de la mémoire des processus. Des insights spécifiques incluent l’identification des éléments suivants :

    • Trousses à outils et logiciels d’exploration de données de chiffrement connus

    • Code d’interpréteur de commandes, un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.

    • Injection d’un exécutable malveillant dans la mémoire du processus

    La détection d’attaques sans fichier génère des alertes de sécurité détaillées contenant les descriptions accompagnées des métadonnées de processus, telles que l’activité réseau. Ces détails accélèrent le triage des alertes, la corrélation et le temps de réponse en aval. Cette approche complète les solutions EDR basées sur les événements et offre une couverture de détection accrue.

    Pour obtenir des détails sur les alertes de détection des attaques sans fichier, consultez la table de référence des alertes.

  • Intégration des alertes auditd Linux et de l’agent Log Analytics (Linux uniquement) : le système auditd se compose d’un sous-système au niveau du noyau, qui est responsable de la supervision des appels système. Il filtre les appels par un ensemble de règles donné et écrit les messages pour ces derniers dans un socket. Defender pour le cloud intègre les fonctionnalités du package auditd dans l’agent Log Analytics. Cette intégration permet la collecte des événements auditd dans toutes les distributions Linux prises en charge, sans prérequis.

    L’agent Log Analytics pour Linux collecte les enregistrements d’audit, les enrichit et les agrège dans des événements. Defender pour le cloud enrichit continuellement l’analytique, qui utilise les signaux Linux pour détecter les comportements malveillants sur les machines Linux locales ou dans le cloud. À l’image des fonctionnalités Windows, cette analytique comprend des tests qui vérifient les processus suspects, les tentatives de connexion douteuses, le chargement de modules de noyau et bien d’autres activités. Ces activités peuvent signaler qu’une machine fait l’objet d’une attaque ou qu’elle a subi une violation de la sécurité.

    Pour obtenir la liste des alertes Linux, consultez la table de référence des alertes.

Comment Defender pour les serveurs collecte-t-il des données ?

Sous Windows, Microsoft Defender pour le cloud s’intègre avec des services Azure pour surveiller et protéger vos machines Windows. Defender pour le cloud présente les alertes et les suggestions de correction de l’ensemble de ces services dans un format facile à utiliser.

Sous Linux, Defender pour le cloud collecte les enregistrements d’audit à partir des machines Linux à l’aide d’auditd, l’un des frameworks d’audit Linux les plus courants.

Pour les scénarios hybrides et multiclouds, Defender pour le cloud intègre Azure Arc afin que ces machines non-Azure soient vues comme des ressources Azure.

Simulation d’alertes

Vous pouvez simuler des alertes en téléchargeant l’un des playbooks suivants :

Étapes suivantes

Dans cet article, vous avez découvert Microsoft Defender pour les serveurs.

Pour obtenir des informations connexes, consultez la page suivante :

  • Que Defender pour le cloud génère une alerte ou reçoive une alerte à partir d’un autre produit de sécurité, vous pouvez exporter les alertes de Defender vers le cloud. Pour exporter vos alertes vers Microsoft Sentinel (ou un système SIEM tiers) ou tout autre outil externe, suivez les instructions indiquées dans Exportation d’alertes vers SIEM.