Présentation d’Azure Defender pour les serveursIntroduction to Azure Defender for servers

Azure Defender pour les serveurs ajoute la détection des menaces et des défenses avancées pour vos machines Windows et Linux.Azure Defender for servers adds threat detection and advanced defenses for your Windows and Linux machines.

Sous Windows, Azure Defender s’intègre aux services Azure pour superviser et protéger vos machines Windows.For Windows, Azure Defender integrates with Azure services to monitor and protect your Windows-based machines. Security Center présente les alertes et les suggestions de correction de l’ensemble de ces services dans un format facile à utiliser.Security Center presents the alerts and remediation suggestions from all of these services in an easy-to-use format.

Sous Linux, Azure Defender collecte les enregistrements d’audit à partir des machines Linux à l’aide d’ auditd , l’un des frameworks d’audit Linux les plus courants.For Linux, Azure Defender collects audit records from Linux machines by using auditd , one of the most common Linux auditing frameworks. auditd se trouve dans le noyau mainline.auditd lives in the mainline kernel.

Quels sont les avantages d’Azure Defender pour les serveurs ?What are the benefits of Azure Defender for servers?

Les fonctionnalités de détection et de protection des menaces fournies avec Azure Defender pour les serveurs sont les suivantes :The threat detection and protection capabilities provided with Azure Defender for servers include:

  • Licence intégrée pour Microsoft Defender pour point de terminaison (Windows uniquement)  : Azure Defender pour les serveurs comprend Microsoft Defender pour point de terminaison.Integrated license for Microsoft Defender for Endpoint (Windows only) - Azure Defender for servers includes Microsoft Defender for Endpoint. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.Together, they provide comprehensive endpoint detection and response (EDR) capabilities. Plus d’informationsLearn more.

    Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte.When Defender for Endpoint detects a threat, it triggers an alert. L’alerte s’affiche dans Security Center.The alert is shown in Security Center. À partir de Security Center, vous pouvez également accéder à la console Microsoft Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque.From Security Center, you can also pivot to the Defender for Endpoint console, and perform a detailed investigation to uncover the scope of the attack. Découvrez-en plus sur Microsoft Defender pour point de terminaison.Learn more about Microsoft Defender for Endpoint.

    Important

    Le capteur Microsoft Defender pour point de terminaison est automatiquement activé sur les serveurs Windows qui utilisent Security Center.The Microsoft Defender for Endpoint sensor is automatically enabled on Windows servers that use Security Center.

  • Analyse d’évaluation de la vulnérabilité pour les machines virtuelles   : l’analyseur de vulnérabilité inclus avec Azure Security Center est alimenté par Qualys.Vulnerability assessment scanning for VMs - The vulnerability scanner included with Azure Security Center is powered by Qualys.

    L’analyseur de Qualys est l’un des outils de référence pour identifier en temps réel les vulnérabilités dans vos machines virtuelles Azure.Qualys' scanner is one of the leading tools for real-time identification of vulnerabilities in your Azure Virtual Machines. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center.You don't need a Qualys license or even a Qualys account - everything's handled seamlessly inside Security Center. Plus d’informationsLearn more.

  • Accès juste-à-temps (JAT) des machines virtuelles  : les acteurs des menaces repèrent activement les machines accessibles avec des ports de gestion ouverts, par exemple RDP ou SSH.Just-in-time (JIT) virtual machine (VM) access - Threat actors actively hunt accessible machines with open management ports, like RDP or SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque.All of your virtual machines are potential targets for an attack. Lorsqu’une machine virtuelle est compromise, elle est utilisée comme point d’entrée pour attaquer d’autres ressources au sein de votre environnement.When a VM is successfully compromised, it's used as the entry point to attack further resources within your environment.

    Lorsque vous activez Azure Defender pour les serveurs, vous pouvez utiliser l’accès juste-à-temps aux machines virtuelles pour verrouiller le trafic entrant vers vos machines virtuelles, ce qui réduit l’exposition aux attaques et facilite la connexion aux machines virtuelles en cas de besoin.When you enable Azure Defender for servers, you can use just-in-time VM access to lock down the inbound traffic to your VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Plus d’informationsLearn more.

  • Monitoring d’intégrité de fichier (FIM)  : le Monitoring d’intégrité de fichier (FIM), également appelé Monitoring des modifications, recherche les modifications qui sont apportées aux fichiers et registres du système d’exploitation, ainsi qu’aux logiciels d’application et autres systèmes, et qui peuvent indiquer une attaque.File integrity monitoring (FIM) - File integrity monitoring (FIM), also known as change monitoring, examines files and registries of operating system, application software, and others for changes that might indicate an attack. Une méthode de comparaison est utilisée pour déterminer si l’état actuel du fichier est différent de la dernière analyse du fichier.A comparison method is used to determine if the current state of the file is different from the last scan of the file. Vous pouvez tirer parti de cette comparaison pour vérifier si des modifications suspectes ou valides ont été apportées à vos fichiers.You can leverage this comparison to determine if valid or suspicious modifications have been made to your files.

    Lorsque vous activez Azure Defender pour les serveurs, vous pouvez utiliser FIM pour valider l’intégrité des fichiers Windows, des registres Windows et des fichiers Linux.When you enable Azure Defender for servers, you can use FIM to validate the integrity of Windows files, your Windows registries, and Linux files. Plus d’informationsLearn more.

  • Contrôles d’application adaptatifs (AAC)  les contrôles d’application adaptatifs sont une solution intelligente et automatisée permettant la définition de listes vertes d’applications réputées sécurisées pour vos ordinateurs.Adaptive application controls (AAC) - Adaptive application controls are an intelligent and automated solution for defining allow lists of known-safe applications for your machines.

    Lorsque vous avez activé et configuré des contrôles d’application adaptatifs, vous obtenez des alertes de sécurité si une autre application que celles que vous avez définies comme sécurisées s’exécute.When you've enabled and configured adaptive application controls, you'll get security alerts if any application runs other than the ones you've defined as safe. Plus d’informationsLearn more.

  • Sécurisation adaptative du réseau (ANH)  : l’application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis des ressources améliore votre posture de sécurité réseau.Adaptive network hardening (ANH) - Applying network security groups (NSG) to filter traffic to and from resources, improves your network security posture. Il peut toutefois rester des cas dans lesquels le trafic réel qui transite via le groupe de sécurité réseau est un sous-ensemble des règles NSG définies.However, there can still be some cases in which the actual traffic flowing through the NSG is a subset of the NSG rules defined. Dans ces cas, une amélioration supplémentaire de la posture de sécurité est possible en renforçant les règles NSG en fonction des modèles de trafic réel.In these cases, further improving the security posture can be achieved by hardening the NSG rules, based on the actual traffic patterns.

    Le renforcement du réseau adaptatif fournit des suggestions visant à renforcer encore les règles NSG.Adaptive Network Hardening provides recommendations to further harden the NSG rules. Il utilise un algorithme de Machine Learning factorisé dans le trafic réel, appelé une configuration approuvée, l’intelligence des menaces et d’autres indicateurs de compromis, puis fournit des suggestions pour autoriser uniquement le trafic provenant de tuples IP/port spécifiques.It uses a machine learning algorithm that factors in actual traffic, known trusted configuration, threat intelligence, and other indicators of compromise, and then provides recommendations to allow traffic only from specific IP/port tuples. Plus d’informationsLearn more.

  • Sécurisation de l’hôte Docker  : Azure Security Center identifie les conteneurs non managés qui sont hébergés sur des machines virtuelles IaaS Linux, ou d’autres machines Linux exécutant des conteneurs Docker.Docker host hardening - Azure Security Center identifies unmanaged containers hosted on IaaS Linux VMs, or other Linux machines running Docker containers. Security Center évalue en continu les configurations de ces conteneurs.Security Center continuously assesses the configurations of these containers. Il les compare ensuite au document de référence Center for Internet Security (CIS) Docker Benchmark.It then compares them with the Center for Internet Security (CIS) Docker Benchmark. Security Center inclut la totalité des règles définies dans le CIS Docker Benchmark et vous envoie une alerte si vos conteneurs ne satisfont pas à tous les contrôles.Security Center includes the entire ruleset of the CIS Docker Benchmark and alerts you if your containers don't satisfy any of the controls. Plus d’informationsLearn more.

  • Détection d’attaques sans fichier (Windows uniquement)  : les attaques sans fichier injectent des charges utiles malveillantes en mémoire pour ne pas être détectées par les techniques d’analyse sur disque.Fileless attack detection (Windows only) - Fileless attacks inject malicious payloads into memory to avoid detection by disk-based scanning techniques. La charge utile de l’attaquant est alors conservée dans la mémoire des processus compromis et effectue un large éventail d’activités malveillantes.The attacker’s payload then persists within the memory of compromised processes and performs a wide range of malicious activities.

    Avec la détection des attaques sans fichier, les techniques d’investigation automatique de la mémoire identifient les comportements, les techniques et les kits de ressources des attaques sans fichier.With fileless attack detection, automated memory forensic techniques identify fileless attack toolkits, techniques, and behaviors. Cette solution analyse régulièrement votre machine au moment de l’exécution et extrait des insights directement de la mémoire des processus.This solution periodically scans your machine at runtime, and extracts insights directly from the memory of processes. Des insights spécifiques incluent l’identification des éléments suivants :Specific insights include the identification of:

    • Trousses à outils et logiciels d’exploration de données de chiffrement connusWell-known toolkits and crypto mining software

    • Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielleShellcode, which is a small piece of code typically used as the payload in the exploitation of a software vulnerability.

    • Injection d’un exécutable malveillant dans la mémoire du processusInjected malicious executable in process memory

    La détection d’attaques sans fichier génère des alertes de sécurité détaillées contenant les descriptions accompagnées de métadonnées de processus supplémentaires, telles que l’activité réseau.Fileless attack detection generates detailed security alerts containing the descriptions with additional process metadata, such as network activity. Cela accélère le triage des alertes, la corrélation et le temps de réponse en aval.This accelerates alert triage, correlation, and downstream response time. Cette approche complète les solutions EDR basées sur les événements et offre une couverture de détection accrue.This approach complements event based EDR solutions, and provides increased detection coverage.

    Pour obtenir des détails sur les alertes de détection des attaques sans fichier, consultez la table de référence des alertes.For details of the fileless attack detection alerts, see the Reference table of alerts.

  • Intégration des alertes auditd Linux et de l’agent Log Analytics (Linux uniquement)  : le système auditd se compose d’un sous-système au niveau du noyau, qui est responsable de la supervision des appels système.Linux auditd alerts and Log Analytics agent integration (Linux only) - The auditd system consists of a kernel-level subsystem, which is responsible for monitoring system calls. Il filtre les appels par un ensemble de règles donné et écrit les messages pour ces derniers dans un socket.It filters them by a specified rule set, and writes messages for them to a socket. Security Center intègre les fonctionnalités du package auditd à l’agent Log Analytics.Security Center integrates functionalities from the auditd package within the Log Analytics agent. Cette intégration permet la collecte des événements auditd dans toutes les distributions Linux prises en charge, sans prérequis.This integration enables collection of auditd events in all supported Linux distributions, without any prerequisites.

    Les enregistrements auditd sont collectés, enrichis et agrégés dans des événements à l’aide de l’agent Log Analytics pour Linux.auditd records are collected, enriched, and aggregated into events by using the Log Analytics agent for Linux agent. Security Center enrichit continuellement l’analytique, qui utilise les signaux Linux pour détecter les comportements malveillants sur les machines Linux locales ou dans le cloud.Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines. À l’image des fonctionnalités Windows, cette analytique englobe les processus suspects, les tentatives de connexion douteuses, le chargement de modules de noyau et diverses autres activités.Similar to Windows capabilities, these analytics span across suspicious processes, dubious sign-in attempts, kernel module loading, and other activities. Ces activités peuvent signaler qu’une machine fait l’objet d’une attaque ou qu’elle a subi une violation de la sécurité.These activities can indicate a machine is either under attack or has been breached.

    Pour obtenir la liste des alertes Linux, consultez la table de référence des alertes.For a list of the Linux alerts, see the Reference table of alerts.

Simulation d’alertesSimulating alerts

Vous pouvez simuler des alertes en téléchargeant l’un des playbooks suivants :You can simulate alerts by downloading one of the following playbooks:

Étapes suivantesNext steps

Dans cet article, vous avez découvert Azure Defender pour les serveurs.In this article, you learned about Azure Defender for servers.

Pour des informations connexes, consultez les articles suivants :For related material, see the following articles:

  • Qu’une alerte soit générée par Security Center ou reçue par Security Center à partir d’un autre produit de sécurité, vous pouvez l’exporter.Whether an alert is generated by Security Center, or received by Security Center from a different security product, you can export it. Pour exporter vos alertes vers Azure Sentinel (ou un système SIEM tiers) ou tout autre outil externe, suivez les instructions indiquées dans Exportation d’alertes vers SIEM.To export your alerts to Azure Sentinel, any third-party SIEM, or any other external tool, follow the instructions in Exporting alerts to a SIEM.