Modifications importantes à venir concernant Microsoft Defender pour le cloud
Important
Les informations sur cette page concernent des produits ou des fonctionnalités en préversion, qui pourraient être considérablement modifiés avant leur commercialisation, le cas échéant. Microsoft n’offre aucun engagement ni garantie, formel ou implicite, concernant les informations contenues dans ce document.
Dans cette page, vous pouvez découvrir les changements planifiés pour Defender pour le cloud. Elle décrit les changements planifiés du produit qui peuvent avoir un impact sur votre degré de sécurisation ou vos workflows.
Conseil
Recevez une notification quand cette page est mise à jour en copiant-collant l’URL suivante dans votre lecteur de flux :
https://aka.ms/mdc/upcoming-rss
Si vous recherchez les notes de publication les plus récentes, vous les trouverez dans Nouveautés de Microsoft Defender pour le cloud.
Changements planifiés
Dépréciation des alertes d’attaque sans fichier
Date de l’annonce : 18 avril 2024
Date estimée de la modification : mai 2024
En mai 2024, pour améliorer la qualité des alertes de sécurité pour Defender pour serveurs, les alertes d’attaque sans fichier spécifiques aux machines virtuelles Windows et Linux seront supprimées. Ces alertes seront générées par Defender pour point de terminaison :
- Détection d’un kit d’attaque sans fichier (VM_FilelessAttackToolkit.Windows)
- Détection d’une technique d’attaque sans fichier (VM_FilelessAttackTechnique.Windows)
- Détection d’un comportement d’attaque sans fichier (VM_FilelessAttackBehavior.Windows)
- Détection d’un kit d’attaques sans fichier (VM_FilelessAttackToolkit.Linux)
- Détection d’une technique d’attaque sans fichier (VM_FilelessAttackTechnique.Linux)
- Détection d’un comportement d’attaque sans fichier (VM_FilelessAttackBehavior.Linux)
Tous les scénarios de sécurité couverts par les alertes déconseillées sont entièrement couverts par les alertes defender pour point de terminaison contre les menaces.
Si l’intégration de Defender pour point de terminaison est déjà activée, aucune action supplémentaire n’est requise. En mai 2024, vous pourriez connaître une baisse du volume de vos alertes, tout en restant protégé(e). Si l’intégration de Defender pour point de terminaison n’est pas activée dans Defender pour serveurs, vous devez l’activer pour maintenir et améliorer la couverture de vos alertes. Tous les clients Defender pour serveurs peuvent accéder à la valeur totale de l’intégration de Defender pour point de terminaison sans coût supplémentaire. Si vous souhaitez obtenir plus d’informations, consultez Activer l’intégration Defender pour point de terminaison.
Changement des ID d’évaluation CIEM
Date de l’annonce : 16 avril 2024
Date estimée de la modification : mai 2024
Les recommandations suivantes vont être remodelées, ce qui entraînera un changement de leurs ID d’évaluation :
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
Dépréciation de la recommandation de chiffrement
Date de l’annonce : 3 avril 2024
Date estimée de la modification : mai 2024
La recommandation Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage va être dépréciée.
Dépréciation de la recommandation de machine virtuelle
Date de l’annonce : 2 avril 2024
Date estimée du changement : 30 avril 2024
La recommandation Les machines virtuelles doivent être migrées vers les nouvelles ressources Azure Resource Manager va être dépréciée. Il ne devrait pas y avoir d’effet sur les clients, car ces ressources n’existent plus.
Disponibilité générale des recommandations de chiffrement de disque unifié
Date de l’annonce : 28 mars 2024
Date estimée du changement : 30 avril 2024
Les recommandations de chiffrement de disque unifié seront publiées en disponibilité générale (GA) dans le cloud public Azure en avril 2024. Les recommandations permettent aux clients d’auditer la conformité du chiffrement des machines virtuelles avec Azure Disk Encryption ou EncryptionAtHost.
Recommandations bientôt en GA :
| Nom de la recommandation | Clé d’évaluation |
|---|---|
| Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost | a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost | 0cb5f317-a94b-6b80-7212-13a9cc8826af |
Azure Disk Encryption (ADE) et EncryptionAtHost fournissent une couverture au repos, comme décrit dans Vue d’ensemble des options de chiffrement de disque managé - Machines virtuelles Azure, et nous vous recommandons d’activer l’une ou l’autre sur les machines virtuelles.
Les recommandations dépendent de la Configuration d’invité. Les prérequis pour intégrer la configuration d’invité doivent être activés sur les machines virtuelles pour que les recommandations puissent effectuer les analyses de conformité comme prévu.
Ces recommandations remplacent la recommandation « Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage ».
Modification de l’accès à Offres de conformité et à Actions Microsoft
Date de l’annonce : 3 mars 2024
Date estimée de la modification : 30 septembre 2025
Le 30 septembre 2025, les emplacements où vous accédez à deux fonctionnalités en préversion, Offre de conformité et Actions Microsoft, vont changer.
Le tableau qui liste l’état de conformité des produits Microsoft (accessible à partir du bouton Offres de conformité dans la barre d’outils du tableau de bord de conformité réglementaire de Defender). Une fois ce bouton supprimé dans Defender pour le cloud, vous pourrez néanmoins toujours accéder à ces informations en utilisant le portail d’approbation de services.
Pour un sous-ensemble de contrôles, Actions Microsoft était accessible à partir du bouton Actions Microsoft (préversion) dans le volet des détails des contrôles. Une fois ce bouton supprimé, vous pouvez voir Actions Microsoft en accédant au portail d’approbation de services pour FedRAMP de Microsoft, puis en accédant au document Azure System Security Plan (Plan de sécurité du système Azure).
Microsoft Security Code Analysis (MSCA) n’est plus opérationnel
Date de l’annonce : 26 février 2024
Date estimée du changement : 26 février 2024
En février 2021, la dépréciation de la tâche MSCA a été communiquée à tous les clients et elle est sortie du support de fin de vie depuis mars 2022. Depuis le 26 février 2024, MSCA n’est plus opérationnel officiellement.
Les clients peuvent obtenir les derniers outils de sécurité DevOps de Defender pour le cloud via Microsoft Security DevOps et d’autres outils de sécurité via GitHub Advanced Security pour Azure DevOps.
Mise hors service du fournisseur de ressources Microsoft.SecurityDevOps
Date de l’annonce : 5 février 2024
Date estimée du changement : 6 mars 2024
Microsoft Defender pour le Cloud met hors service le fournisseur de ressources Microsoft.SecurityDevOps qui a été utilisé lors de la préversion publique de la sécurité DevOps, après une migration vers le fournisseur Microsoft.Security existant. Ce changement a pour but d’améliorer l’expérience client en réduisant le nombre de fournisseurs de ressources associés aux connecteurs DevOps.
Les clients qui utilisent encore la version de l’API 2022-09-01-preview sous Microsoft.SecurityDevOps pour interroger les données de sécurité DevOps de Defender pour le cloud seront concernés. Pour éviter toute interruption de service, les clients devront effectuer une mise à niveau vers la nouvelle version de l’API 2023-09-01-preview sous le fournisseur Microsoft.Security.
Les clients qui utilisent actuellement la sécurité DevOps de Microsoft Defender pour le cloud à partir du Portail Azure ne seront pas affectés.
Pour plus d’informations sur la nouvelle version de l’API, consultez API REST Microsoft Defender pour le cloud.
Modifications apportées aux recommandations concernant la protection des points de terminaison
Date de l’annonce : 1 février 2024
Date estimée du changement : mars 2024
L’utilisation de l’agent Azure Monitor (AMA) et de l’agent Log Analytics (également appelé Microsoft Monitoring Agent, MMA) étant progressivement supprimée dans Microsoft Defender pour serveurs, les recommandations existantes concernant les points de terminaison qui s’appuient sur ces agents sont remplacées par de nouvelles recommandations. Les nouvelles recommandations reposent sur l’analyse des machines sans agent. Celle-ci permet aux recommandations de découvrir et d’évaluer la configuration des solutions de protection évolutive des points de terminaison prises en charge et propose des étapes de correction si des problèmes sont détectés.
Ces recommandations en préversion publique seront déconseillées.
| Recommandation | Agent | Date d’obsolescence | Recommandation de remplacement |
|---|---|---|---|
| Endpoint Protection doit être installé sur vos machines (public) | MMA/AMA | Mars 2024 | Nouvelles recommandations sans agent. |
| Les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (public) | MMA/AMA | Mars 2024 | Nouvelles recommandations sans agent. |
Les recommandations actuelles en disponibilité générale resteront prises en charge jusqu’en août 2024.
Dans le cadre de cette dépréciation, nous allons introduire de nouvelles recommandations concernant la protection des points de terminaison sans agent. Ces recommandations seront disponibles dans Defender pour serveurs Plan 2 et le plan CSPM Defender. Elles prendront en charge les machines Azure et multiclouds. Les machines locales ne sont pas prises en charge.
| Nom de la recommandation préliminaire | Date de publication estimée |
|---|---|
| La solution de protection évolutive des points de terminaison (EDR) doit être installée sur les machines virtuelles | Mars 2024 |
| La solution de protection évolutive des points de terminaison (EDR) doit être installée sur les EC2 | Mars 2024 |
| La solution de protection évolutive des points de terminaison (EDR) doit être installée sur les machines virtuelles (GCP) | Mars 2024 |
| Les problèmes de configuration liés à la protection évolutive des points de terminaison (EDR) doivent être résolus sur les machines virtuelles | Mars 2024 |
| Les problèmes de configuration liés à la protection évolutive des points de terminaison (EDR) doivent être résolus sur les EC2 | Mars 2024 |
| Les problèmes de configuration liés à la protection évolutive des points de terminaison (EDR) doivent être résolus sur les machines virtuelles GCP | Mars 2024 |
En savoir plus sur la migration vers l’expérience de recommandations de protection des points de terminaison mise à jour.
Modification des tarifs associés à la détection des menaces pour les conteneurs multiclouds
Date de l’annonce : 30 janvier 2024
Date estimée de la modification : avril 2024
Quand la détection des menaces pour les conteneurs multiclouds passera en disponibilité générale, elle ne sera plus gratuite. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.
Application de la valeur de sécurité DevOps Premium de Defender CSPM
Date de l’annonce : 29 janvier 2024
Date estimée de la modification : 7 mars 2024
Defender pour le cloud commence à appliquer la vérification du plan Defender CSPM pour la valeur de sécurité DevOps Premium à compter du 7 mars 2024. Si vous avez activé le plan CSPM Defender sur un environnement cloud (Azure, AWS, GCP) au sein du même locataire où vos connecteurs DevOps sont créés, vous continuerez à recevoir des fonctionnalités DevOps premium sans frais supplémentaires. Si vous n’êtes pas un client CSPM Defender, vous avez jusqu’au 7 mars 2024 pour activer CSPM Defender avant de perdre l’accès à ces fonctionnalités de sécurité. Pour activer CSPM Defender sur un environnement cloud connecté avant le 7 mars 2024, suivez la documentation d’activation décrite ici.
Pour plus d’informations sur les fonctionnalités de sécurité DevOps disponibles dans les plans CSPM de base et Defender CSPM, consultez notre documentation décrivant la disponibilité des fonctionnalités.
Pour plus d’informations sur la sécurité DevOps dans Defender pour le cloud, consultez la documentation de présentation.
Pour plus d’informations sur les capacités de sécurité du code vers le cloud dans Defender CSPM, consultez Comment protéger vos ressources avec Defender CSPM.
Mise à jour vers un rôle Azure intégré d’analyse de machine virtuelle sans agent
Date de l'annonce : 14 janvier 2024
Date estimée du changement : février 2024
Dans Azure, l’analyse sans agent pour les machines virtuelles utilise un rôle intégré (appelé opérateur de numérisation de machines virtuelles) avec les autorisations minimales nécessaires pour analyser et évaluer vos machines virtuelles pour détecter les problèmes de sécurité. Afin de fournir en permanence des suggestions pertinentes sur l'état de l'analyse et la configuration des machines virtuelles contenant des volumes chiffrés, une mise à jour des autorisations de ce rôle est prévue. La mise à jour inclut l’ajout de l’autorisation Microsoft.Compute/DiskEncryptionSets/read. Cette autorisation permet uniquement d'améliorer l'identification de l'utilisation des disques chiffrés dans les machines virtuelles. Il ne fournit à Microsoft Defender pour le cloud aucune fonctionnalité supplémentaire pour déchiffrer ou accéder au contenu de ces volumes chiffrés au-delà des méthodes de chiffrement déjà prises en charge avant cette modification. Cette modification devrait avoir lieu en février 2024 et aucune action n’est requise de votre part.
Chemin d’accès de mise hors service intégré de Defender pour serveurs (Qualys)
Date de l'annonce : 9 janvier 2024
Date estimée de la modification : mai 2024
La solution d’évaluation des vulnérabilités intégrée à Defender pour serveurs et basée sur la technologie Qualys est sur le point d’être mise hors service, cette opération devant être finalisée le 1er mai 2024. Si vous utilisez actuellement la solution d’évaluation des vulnérabilités optimisée par Qualys, vous devez planifier votre transition vers la solution de gestion des vulnérabilités Microsoft Defender intégrée.
Pour plus d’informations sur notre décision d’unifier notre offre d’évaluation des vulnérabilités avec Microsoft Defender Vulnerability Management, vous pouvez lire ce billet de blog.
Vous pouvez également consulter les questions courantes sur la transition vers la solution Microsoft Defender Vulnerability Management.
Changement à venir pour la configuration réseau multi-cloud de Defender pour le cloud
Date de l'annonce : 3 janvier 2024
Date estimée de la modification : mai 2024
À partir de mai 2024, nous retirerons les anciennes adresses IP associées à nos services de découverte multi-cloud afin de tenir compte des améliorations et de garantir une expérience plus sûre et plus efficace pour tous les utilisateurs.
Pour garantir un accès ininterrompu à nos services, vous devez mettre à jour votre liste d'adresses IP avec les nouvelles plages indiquées dans les sections suivantes. Vous devez procéder aux ajustements nécessaires des paramètres de votre pare-feu, des groupes de sécurité ou de toute autre configuration applicable à votre environnement.
La liste est applicable à tous les plans et suffisante pour que l'offre de base (gratuite) du CSPM soit pleinement opérationnelle.
Adresses IP à mettre hors service :
- GCP de découverte : 104.208.29.200, 52.232.56.127
- AWS de découverte : 52.165.47.219, 20.107.8.204
- Intégration : 13.67.139.3
Nouvelles plages d’adresses IP spécifiques à une région à ajouter :
- Europe Ouest (weu) : 52.178.17.48/28
- Europe Nord (neu) : 13.69.233.80/28
- USA Centre (cus) : 20.44.10.240/28
- USA Est 2 (eus2) : 20.44.19.128/28
Dépréciation de deux recommandations de sécurité DevOps
Date de l’annonce : 30 novembre 2023
Date estimée du changement : janvier 2024
Avec la disponibilité générale de la gestion de la posture de l'environnement DevOps, nous mettons à jour notre approche pour que les recommandations soient affichées dans le format de sous-évaluation. Auparavant, nous avions des recommandations générales englobant de multiples conclusions. Nous passons maintenant à des recommandations individuelles pour chaque constatation spécifique. Avec ce changement, les deux recommandations générales seront déconseillées :
Azure DevOps Posture Management findings should be resolvedGitHub Posture Management findings should be resolved
Cela signifie qu'au lieu d'une recommandation unique pour toutes les mauvaises configurations découvertes, nous fournirons des recommandations distinctes pour chaque problème, telles que « Les connexions au service Azure DevOps ne devraient pas accorder l'accès à tous les pipelines ». Cette modification vise à améliorer la clarté et la visibilité des questions spécifiques.
Pour plus d’informations, consultez les nouvelles recommandations.
Consolidation des noms de niveau 2 de service de Defender pour le cloud
Date de l’annonce : 1er novembre 2023
Date estimée du changement : décembre 2023
Nous allons consolider les noms de niveau 2 de service hérités pour tous les plans Defender pour le cloud en un seul nouveau nom de niveau 2 de service, Microsoft Defender pour le cloud.
Aujourd’hui, il existe quatre noms de niveau 2 de service : Azure Defender, Advanced Threat Protection, Advanced Data Security et Security Center. Les différents compteurs de Microsoft Defender pour le cloud sont regroupés sous ces noms de niveau 2 de service distincts, ce qui crée une certaine complexité lors de l’utilisation de Cost Management + Facturation et d’autres outils liés à la facturation Azure.
Le changement simplifie le processus d’examen des frais de Defender for Cloud et offre une meilleure clarté dans l’analyse des coûts.
Pour assurer une transition fluide, nous avons pris des mesures pour maintenir la cohérence du nom du produit/service, de la référence SKU et des ID de compteur. Les clients concernés recevront une notification de service Azure informationnelle pour communiquer les modifications.
Les organisations qui récupèrent des données de coût en appelant nos API devront mettre à jour les valeurs dans leurs appels pour prendre en charge la modification. Par exemple, dans cette fonction de filtre, les valeurs ne retournent aucune information :
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
La modification devrait être appliquée le 1er décembre 2023.
| ANCIEN nom de niveau 2 de service | NOUVEAU nom de niveau 2 de service | Niveau de service - Niveau 4 de service (aucune modification) |
|---|---|---|
| Advanced Data Security | Microsoft Defender pour le cloud | Defender pour SQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour les registres de conteneurs |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour DNS |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Key Vault |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Kubernetes |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour MySQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour PostgreSQL |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour Resource Manager |
| Protection avancée contre les menaces | Microsoft Defender pour le cloud | Defender pour le stockage |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour la gestion de surface d’attaque externe |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour Azure Cosmos DB |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour les conteneurs |
| Azure Defender | Microsoft Defender pour le cloud | Defender pour MariaDB |
| Security Center | Microsoft Defender pour le cloud | Defender pour App Service |
| Security Center | Microsoft Defender pour le cloud | Defender pour les serveurs |
| Security Center | Microsoft Defender pour le cloud | Defender CSPM |
Modifications apportées à la présentation des coûts de Microsoft Defender pour cloud dans Microsoft Cost Management
Date de l'annonce : 26 octobre 2023
Date estimée du changement : novembre 2023
En novembre, il y aura un changement concernant la présentation des coûts de Microsoft Defender pour cloud dans Cost Management et dans les factures des abonnements.
Les coûts seront présentés pour chaque ressource protégée au lieu d’une agrégation de toutes les ressources de l’abonnement.
Si une balise est appliquée à une ressource (cela est souvent utilisée par les organisations pour effectuer des processus de rétrofacturation financière), cette dernière sera ajoutée aux lignes de facturation appropriées.
Remplacement de la recommandation « Key Vault doit avoir la protection contre la suppression définitive activée » par la recommandation combinée « Key Vault doit avec la protection contre la suppression activée »
Date estimée de la modification : juin 2023
La Key Vaults should have purge protection enabled recommandation est déconseillée à partir de l’initiative (tableau de bord de conformité réglementaire/benchmark de sécurité Azure) et remplacée par une nouvelle recommandation Key Vaults should have deletion protection enabledcombinée .
| Nom de la recommandation | Description | Effet(s) | Version |
|---|---|---|---|
| La protection contre la suppression doit être activée pour les coffres de clés | Une personne malveillante interne à votre organisation peut potentiellement supprimer et vider des coffres de clés. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. | audit, deny, disabled | 2.0.0 |
Consultez l’index complet des définitions de stratégie intégrées d’Azure Policy pour Key Vault.
Passer à la limite quotidienne de Log Analytics
Azure Monitor offre la possibilité de définir une limite quotidienne sur les données ingérées dans vos espaces de travail Log Analytics. Toutefois, les événements de sécurité Defender pour le cloud ne sont actuellement pas pris en charge dans ces exclusions.
À partir du 18 septembre 2023, la limite journalière de Log Analytics n’exclura plus les ensembles de type de données ci-dessous :
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- syslog
À ce moment-là, tous les types de données facturables seront plafonnés si la limite quotidienne est atteinte. Cette modification améliore votre capacité à contenir entièrement les coûts liés à une ingestion de données plus élevée que prévu.
Apprenez-en plus sur espaces de travail avec Microsoft Defender pour le cloud.
Déduplication des ressources DevOps pour Defender pour DevOps
Date estimée du changement : novembre 2023
Pour améliorer l’expérience utilisateur de Defender pour DevOps et permettre l’intégration des nombreuses fonctionnalités de Defender pour le cloud, Defender pour DevOps ne prendra plus en charge l’intégration à un locataire des instances dupliquées d’une organisation DevOps.
Si vous n’avez pas intégré plusieurs fois une instance d’une organisation DevOps à votre organisation, aucune autre action n’est nécessaire. Si vous avez intégré plusieurs instances d’une organisation DevOps à votre locataire, le propriétaire de l’abonnement en est averti, et doit supprimer le ou les connecteurs DevOps qu’il ne souhaite pas conserver en accédant aux paramètres d’environnement Defender pour le cloud.
Les clients auront jusqu'au 14 novembre 2023 pour résoudre ce problème. Après cette date, seul le connecteur DevOps le plus récent créé, où existe une instance de l’organisation DevOps, restera intégré à Defender pour DevOps. Par exemple, si l’organisation Contoso existe à la fois dans connectorA et connectorB, et que connectorB a été créé après connectorA, connectorA est alors supprimé de Defender pour DevOps.
Plan et stratégie Defender pour le cloud relatifs à la dépréciation de l’agent Log Analytics
Date estimée de la modification : août 2024
L’agent Azure Log Analytics, également appelé Microsoft Monitoring Agent (MMA), sera mis hors service en août 2024. Par conséquent, les fonctionnalités des deux plans Defender pour le cloud qui s’appuient sur l’agent Log Analytics sont affectées, et elles ont mis à jour des stratégies mises à jour : Defender pour serveurs et Defender pour SQL Server sur des machines.
Points stratégiques clés
- L’agent Azure Monitor (AMA) ne sera pas une exigence de l’offre Defender pour serveurs, mais restera obligatoire dans le cadre de Defender pour SQL.
- Les fonctionnalités et capacités basées sur MMA de Defender pour serveurs seront déconseillées dans leur version Log Analytics en août 2024 et fournies sur d’autres infrastructures, avant la date de dépréciation de MMA.
- En outre, le processus d’approvisionnement automatique actuellement partagé qui fournit l’installation et la configuration des deux agents (MMA/AMA) sera ajusté en conséquence.
Defender pour les serveurs
Le tableau suivant explique comment chaque fonctionnalité sera fournie après la mise hors service de l’agent Log Analytics :
| Fonctionnalité | Plan de dépréciation | Alternative |
|---|---|---|
| Intégration de Microsoft Defender for Endpoint/Defender pour le cloud pour les machines de bas niveau (Windows Server 2012 R2, 2016) | L’intégration de Microsoft Defender for Endpoint qui utilise le capteur Defender pour point de terminaison hérité et l’agent Log Analytics (pour les machines Windows Server 2016 et Windows Server 2012 R2) ne sera pas prise en charge après août 2024. | Activez l’intégration de l’agent unifié en disponibilité générale pour maintenir la prise en charge des machines et recevoir l’ensemble complet des fonctionnalités étendues. Si vous souhaitez obtenir plus d’informations, consultez Activer l’intégration Microsoft Defender for Endpoint. |
| Détection des menaces au niveau du système d’exploitation (basée sur un agent) | La détection des menaces au niveau du système d’exploitation basée sur l’agent Log Analytics ne sera plus disponible après août 2024. Une liste complète des détections déconseillées sera bientôt fournie. | Les détections au niveau du système d’exploitation sont fournies par l’intégration de Microsoft Defender for Endpoint et sont déjà en disponibilité générale. |
| Contrôles d’application adaptative | La version actuelle en disponibilité générale basée sur l’agent Log Analytics sera déconseillée en août 2024, ainsi que la préversion basée sur l’agent Azure Monitor. | La fonctionnalité de contrôles d’application adaptatifs telle qu’elle est aujourd’hui sera abandonnée et de nouvelles fonctionnalités dans l’espace de contrôle des applications (en plus de ce que proposent aujourd’hui Defender for Endpoint et Windows Defender Application Control) seront prises en compte dans le cadre de la future feuille de route de Microsoft Defender pour serveurs. |
| Recommandations pour la détection de la protection des points de terminaison | Les suggestions actuelles de GA pour installer la protection des points de terminaison et résoudre les problèmes d’intégrité dans les solutions détectées seront obsolètes en août 2024. Les suggestions en version préliminaire disponibles aujourd’hui sur l’agent d’analyse des journaux seront obsolètes lorsque l’alternative sera fournie via la fonctionnalité d’analyse de disque sans agent. | Une nouvelle version sans agent sera fournie pour les lacunes de détection et de configuration d’ici avril 2024. Dans le cadre de cette mise à niveau, cette fonctionnalité est fournie comme composant de Defender pour serveurs plan 2 et Defender CSPM, et ne couvre pas les machines locales ou connectées à Arc. |
| Correctifs du système d’exploitation manquants (mises à jour système) | Les recommandations relatives à l’application des mises à jour système basées sur l’agent Log Analytics ne seront pas disponibles après août 2024. La version préliminaire disponible aujourd’hui sur l’agent de configuration invité sera obsolète lorsque l’alternative sera fournie via les fonctionnalités premium de Microsoft Defender Vulnerability Management. La prise en charge de cette fonctionnalité pour Docker-hub et VMMS sera obsolète en août 2024 et sera considérée comme faisant partie de la future feuille de route de Microsoft Defender pour serveurs. | De nouvelles recommandations, basées sur l’intégration à Update Manager, sont déjà en disponibilité générale, sans dépendances d’agent. |
| Mauvaise configuration du système d’exploitation (recommandations Azure Security Benchmark) | La version en disponibilité générale actuelle basée sur l’agent Log Analytics ne sera plus disponible après août 2024. La préversion actuelle qui utilise l’agent Guest Configuration est déconseillée à mesure que l’intégration de Gestion des vulnérabilités Microsoft Defender devient disponible. | Une nouvelle version, basée sur l’intégration à la Gestion des vulnérabilités Microsoft Defender Premium, sera disponible début 2024, dans le cadre de Defender pour serveurs plan 2. |
| Monitoring d’intégrité de fichier | La version en disponibilité générale actuelle basée sur l’agent Log Analytics ne sera plus disponible après août 2024. La version FIM Public Preview basée sur Azure Monitor Agent (AMA) sera obsolète lorsque l’alternative sera fournie via Defender for Endpoint. | Une nouvelle version de cette fonctionnalité sera fournie sur la base de l’intégration de Microsoft Defender pour point de terminaison d’ici juin 2024. |
| L’avantage de 500 Mo pour l’ingestion des données | L’avantage de 500 Mo pour l’ingestion de données sur les tables définies reste pris en charge via l’agent AMA pour les machines sous les abonnements couverts par Defender pour serveurs P2. Chaque machine n’est éligible à l’avantage qu’une seule fois, même si l’agent Log Analytics et l’agent Azure Monitor y sont installés. |
Expérience d’approvisionnement automatique des agents Log Analytics et Azure Monitor
Le processus d’approvisionnement actuel qui fournit l’installation et la configuration des deux agents (MMA/AMA) sera ajusté en fonction du plan mentionné ci-dessus :
Le mécanisme d’approvisionnement automatique MMA et son initiative de stratégie associée resteront facultatifs et pris en charge jusqu’en août 2024 via la plateforme Defender pour le cloud.
En octobre 2023 :
Le mécanisme d’approvisionnement automatique « Agent Log Analytics »/« Agent Azure Monitor » partagé actuel sera mis à jour et appliqué à « Agent Log Analytics » uniquement.
- Les initiatives de stratégie en préversion publique liées à l’agent Azure Monitor (AMA) seront déconseillées et remplacées par le nouveau processus d’approvisionnement automatique pour l’agent Azure Monitor (AMA), ciblant uniquement les serveurs SQL inscrits à Azure (SQL Server sur machines virtuelles Azure/SQL Server avec Arc).
Les clients actuels avec AMA avec l’initiative de stratégie en préversion publique activée seront toujours pris en charge, mais il est recommandé de migrer vers la nouvelle stratégie.
Pour garantir la sécurité de vos serveurs et recevoir toutes les mises à jour de sécurité de Defender pour serveurs, veillez à activer l’intégration de Defender for Endpoint et l’analyse de disque sans agent sur vos abonnements. Cela maintient également vos serveurs à jour avec les autres livrables.
Planification de la migration des agents
Tout d’abord, tous les clients Defender pour serveurs sont invités à activer l’intégration de Defender pour point de terminaison et l’analyse de disque sans agent dans le cadre de l’offre Defender pour serveurs, sans coût supplémentaire. Cela garantit que vous êtes automatiquement couvert par les nouveaux livrables alternatifs, sans aucune intégration supplémentaire nécessaire.
Ensuite, planifiez votre plan de migration en fonction des exigences de votre organisation :
| Agent Azure Monitor (AMA) requis (pour Defender pour SQL ou d’autres scénarios) | FIM/Découverte EPP/Avec une base de référence est requis dans le cadre de Defender pour serveur | Que dois-je faire ? |
|---|---|---|
| Non | Oui | Vous pouvez supprimer MMA à partir d’avril 2024, à l’aide de la version GA des fonctionnalités Defender pour serveur en fonction de vos besoins (les versions préliminaires seront disponibles plus tôt) |
| No | No | Vous pouvez supprimer MMA à partir de maintenant |
| Oui | No | Vous pouvez commencer la migration de MMA vers AMA dès maintenant |
| Oui | Oui | Vous pouvez soit commencer la migration de MMA vers AMA à partir d’avril 2024, soit utiliser les deux agents côte à côte à partir de maintenant. |
Clients avec l’agent Log Analytics(MMA) activé
Si les fonctionnalités suivantes sont requises dans votre organisation : Supervision de l’intégrité des fichiers (FIM), recommandations de protection du point de terminaison, erreurs de configuration du système d’exploitation (recommandations relatives aux bases de référence de sécurité), vous pouvez commencer à mettre hors service MMA en avril 2024 lorsqu’une alternative sera fournie en disponibilité générale (les versions préliminaires seront disponibles plus tôt).
Si les fonctionnalités mentionnées ci-dessus sont requises dans votre organisation et que l’agent Azure Monitor (AMA) est également requis pour d’autres services, vous pouvez commencer la migration de MMA vers AMA en avril 2024. Vous pouvez également utiliser MMA et AMA pour obtenir toutes les fonctionnalités en disponibilité générale, puis supprimer MMA en avril 2024.
Si les fonctionnalités mentionnées ci-dessus ne sont pas obligatoires et que l’agent Azure Monitor (AMA) est nécessaire pour d’autres services, vous pouvez commencer à migrer de MMA vers AMA dès maintenant. Toutefois, notez que les fonctionnalités Defender pour serveurs en préversion sur AMA seront déconseillées en avril 2024.
Clients avec l’agent Azure Monitor (AMA) activé
Aucune action n’est requise de votre part.
- Vous recevrez toutes les fonctionnalités en disponibilité générale de Defender pour serveurs via sans agent et Defender pour point de terminaison. Les fonctionnalités suivantes seront disponibles en disponibilité générale en avril 2024 : supervision de l’intégrité des fichiers (FIM), recommandations de protection du point de terminaison, erreurs de configuration du système d’exploitation (recommandations relatives aux bases de référence de sécurité). Les fonctionnalités Defender pour serveurs en préversion sur AMA seront déconseillées en avril 2024.
Important
Si vous souhaitez obtenir plus d’informations sur la planification de cette modification, consultez Microsoft Defender pour le cloud : stratégie et plan vers la dépréciation d’Agent Log Analytics (MMA).
Defender pour SQL Server sur des machines
Le plan Defender pour SQL Server sur des machines s’appuie sur l’agent Log Analytics (MMA) / l’agent Azure Monitor (AMA) pour fournir une évaluation des vulnérabilités et une protection avancée contre les menaces aux instances IaaS SQL Server. Le plan prend en charge l’approvisionnement automatique de l’agent Log Analytics en disponibilité générale et l’approvisionnement automatique de l’agent Azure Monitor en préversion publique.
La section suivante décrit l’introduction planifiée d’un nouveau processus SQL Server amélioré d’approvisionnement automatique de l’agent Azure Monitor (AMA) et de la procédure de dépréciation de l’agent Log Analytics (MMA). Les serveurs SQL locaux utilisant MMA nécessitent l’agent Azure Arc lors de la migration vers le nouveau processus en raison des exigences d’AMA. Les clients qui utilisent le nouveau processus d’approvisionnement automatique bénéficient d’une configuration d’agent simple et transparente, ce qui réduit les erreurs d’intégration et offre une couverture de protection plus large.
| Jalon | Date | Plus d’informations |
|---|---|---|
| Version d’évaluation publique de l’approvisionnement automatique AMA ciblé sur SQL | Octobre 2023 | Le nouveau processus d’approvisionnement automatique cible uniquement les serveurs SQL inscrits sur Azure (SQL Server sur des machines virtuelles Azure/SQL Server avec Arc). Le processus d’approvisionnement automatique AMA actuel et son initiative de stratégie associée seront déconseillés. Ils peuvent toujours être utilisés par des clients, mais ils ne pourront pas bénéficier d’un support. |
| Publication en disponibilité générale de l’approvisionnement automatique AMA ciblé sur SQL | Décembre 2023 | Mise en disponibilité générale d’un processus d’approvisionnement automatique AMA ciblé sur SQL. Après la publication, elle sera définie comme option par défaut pour tous les nouveaux clients. |
| Dépréciation de MMA | Août 2024 | Le processus d’approvisionnement automatique MMA actuel et son initiative de stratégie associée seront déconseillés. Ils peuvent toujours être utilisés par des clients, mais ils ne pourront pas bénéficier d’un support. |
Dépréciation de deux incidents de sécurité
Date estimée du changement : novembre 2023
Suite au processus d'amélioration de la qualité, les incidents de sécurité suivants seront obsolètes : Security incident detected suspicious virtual machines activity et Security incident detected on multiple machines.
Étapes suivantes
Pour toutes les modifications récentes apportées à Defender pour le cloud, consultez Nouveautés de Microsoft Defender pour le cloud.