Intégration de Defender pour les points de terminaison/Defender pour la gestion des vulnérabilités

Microsoft Defender pour point de terminaison et Microsoft Defender Vulnerability Management s’intègrent en mode natif à Defender for Cloud pour fournir :

• Fonctionnalités de sécurité intégrées : les fonctionnalités de sécurité fournies par Defender pour point de terminaison, Defender Vulnerability Management et Defender for Cloud se réunissent pour fournir une protection de bout en bout pour les machines protégées par le plan Defender pour serveurs.
• Licences : Les licences Defender pour serveurs offrent aux clients les mêmes avantages sur leurs serveurs que ceux fournis par Defender pour point de terminaison Plan 2 sur les postes clients. Les licences sont facturées par heure plutôt que par utilisateur, ce qui réduit les coûts en protégeant les machines virtuelles uniquement lorsqu’elles sont utilisées.
• Approvisionnement de l’agent : Defender pour cloud peut provisionner automatiquement le capteur Defender pour point de terminaison sur les machines prises en charge connectées à Defender pour cloud.
• Alertes unifiées : les alertes et les données de vulnérabilité provenant de Defender for Endpoint apparaissent dans Defender for Cloud dans le portail Azure. Vous pouvez accéder au portail Defender pour explorer les informations et le contexte détaillés des alertes.

Fonctionnalités de sécurité

Defender pour le Cloud intègre les fonctionnalités de sécurité fournies par Defender for Endpoint et la gestion des vulnérabilités de Defender.

• Gestion des vulnérabilités : fournie par Defender Vulnerability Management.

  • Les fonctionnalités incluent un inventaire des logiciels connus, une évaluation continue des vulnérabilités accompagnée d’insights, un score de sécurité pour les appareils, des recommandations de sécurité classées par ordre de priorité et la correction des vulnérabilités.
  • L’intégration avec Defender Vulnerability Management offre également des fonctionnalités Premium dans Defender pour serveurs Plan 2.

• Réduction de la surface d’attaque : utilisation de règles de réduction de la surface d’attaque pour réduire l’exposition aux risques de sécurité.

• Protection de nouvelle génération fournissant une protection anti-programme malveillant et antivirus.

• Détection et réponse pour les points de terminaison (EDR) : l’EDR détecte, analyse et répond aux menaces avancées, y compris la chasse avancée aux menaces, ainsi que des capacités d’investigation et de correction automatiques.

• Analyse des menaces. Bénéficiez des données de veille des menaces fournies par les chasseurs de menaces et les équipes de sécurité de Microsoft, complétées par les informations de veille fournies par les partenaires. Des alertes de sécurité sont générées lorsque Defender for Endpoint identifie les outils, les techniques et les procédures de l’attaquant.

Architecture d’intégration

Defender pour point de terminaison crée automatiquement un locataire lorsque vous utilisez Defender pour cloud pour surveiller vos machines.

Defender pour Endpoint stocke les données collectées dans l’emplacement géographique du locataire, tel qu'identifié lors du provisionnement.

• Les données des clients, sous forme pseudonymisée, peuvent également être stockées dans des systèmes de stockage et de traitement centralisés aux États-Unis.
• Une fois que vous avez configuré l’emplacement, vous ne pouvez plus le modifier.
• Si vous disposez de votre propre licence Defender for Endpoint et qu’il vous faut déplacer vos données vers un autre emplacement, contactez le support Microsoft pour réinitialiser le locataire.

Découverte des ressources et état d’intégration

Defender pour le Cloud peut découvrir des machines indépendamment de l’intégration de Microsoft Defender pour Endpoint.

Les machines qui existent dans des environnements Azure, avec Azure Arc ou des comptes multicloud connectés (AWS, GCP) sont identifiées par Defender pour Cloud via ses processus de découverte de ressources natifs. Ces machines peuvent apparaître dans l'inventaire des appareils de Defender for Endpoint, même avant l'installation du capteur et le début des rapports.

Dans cet état, les appareils peuvent afficher Defender for Cloud comme source de découverte et un état de Peut être intégré, indiquant que la machine est connue de Defender for Cloud, mais qu’elle n’est pas encore intégrée à Defender pour Endpoint. L’intégration n’a lieu qu’une fois le capteur Defender for Endpoint déployé et lorsqu’il parvient à communiquer correctement avec le service.

Déplacement des abonnements

Vous pouvez déplacer Defender pour point de terminaison pour les serveurs entre les abonnements du même locataire ou entre différents locataires.

• Passez à un autre abonnement dans le même espace client : Pour déplacer votre extension Defender pour Endpoint pour serveurs vers un autre abonnement dans le même espace client, supprimez l’extension MDE.Linux ou l’extension MDE.Windows de la machine virtuelle. Defender pour Cloud le redéploie automatiquement.

• Déplacer des abonnements entre locataires : si vous déplacez votre abonnement Azure entre abonnés Azure, certaines étapes préparatoires manuelles sont requises avant que Defender for Cloud ne déploie Defender for Endpoint. Pour plus d’informations, contactez le support technique Microsoft.

État de santé de Microsoft Defender pour Endpoint

Defender pour serveurs offre une visibilité sur les agents Defender pour point de terminaison installés sur vos machines virtuelles.

Prérequis

Vous devez disposer des éléments suivants :

• Defender pour serveurs P2 activé.
  ou
• Defender CSPM activé avec le plan Defender pour serveurs 1 activé.

Visibilité sur les problèmes d’intégrité dans Defender pour serveurs

Defender pour serveurs offre une visibilité sur deux types principaux de problèmes d’intégrité :

• Problèmes d’installation : erreurs lors de l’installation de l’agent.

• Problèmes de pulsation : problèmes où l’agent est installé mais ne remonte pas correctement les informations.

Dans certains cas, Defender pour point de terminaison ne s’applique pas à certaines machines, comme dans les cas où un système d’exploitation client est installé. Ces appareils doivent être couverts par des licences utilisateur Defender pour point de terminaison, telles que Microsoft 365 E5. Cet état est également affiché comme décrit dans la dernière requête.

Defender pour serveurs affiche des messages d’erreur spécifiques pour chaque type de problème. Ces messages expliquent le problème. Une fois disponible, vous trouverez également des instructions pour résoudre le problème.

L’état d’intégrité est mis à jour toutes les quatre heures. Cela garantit que le problème reflète l’état des quatre dernières heures.

Pour afficher les problèmes d’intégrité liés à Defender for Endpoint, utilisez l’explorateur de sécurité comme suit :

• Pour rechercher toutes les machines virtuelles non saines avec les problèmes mentionnés, exécutez la requête illustrée dans la capture d’écran suivante :

  

• Une autre façon d’accéder à ces données est illustrée dans la capture d’écran suivante :

  

• Pour rechercher toutes les machines virtuelles saines sur lesquelles Defender pour point de terminaison fonctionne correctement, exécutez la requête illustrée dans la capture d’écran suivante :

  

• Pour obtenir la liste des machines virtuelles où Defender pour point de terminaison n’est pas applicable, exécutez la requête présentée dans la capture d’écran suivante :

  

Étapes suivantes

En savoir plus sur les recommandations EDR dans Defender pour serveurs.

Contenu connexe

• Intégrer des serveurs à Defender pour Endpoint
• Compatibilité de la solution antivirus avec Defender pour point de terminaison
• Scénarios de migration de serveurs depuis la précédente solution Microsoft Defender for Endpoint basée sur MMA