Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’analyse des machines sans agent dans Microsoft Defender for Cloud améliore la posture de sécurité des machines connectées à Defender for Cloud. L’analyse des machines sans agent inclut des fonctionnalités telles que l’analyse de l’inventaire logiciel, des vulnérabilités, des secrets et des programmes malveillants.
- L’analyse sans agent ne nécessite aucun agent installé ni aucune connectivité réseau et n’affecte pas le niveau de performance de l’ordinateur.
- Vous pouvez activer ou désactiver l’analyse sans agent, mais vous ne pouvez pas désactiver les fonctionnalités individuelles.
- Les analyses s’exécutent uniquement sur des machines virtuelles en cours d’exécution. Les machines virtuelles désactivées pendant une analyse ne sont pas analysées.
- L’analyse s’exécute selon une planification non configurée toutes les 24 heures.
Lorsque vous activez Defender pour serveurs Plan 2 ou le plan Gestion de la posture de sécurité cloud (CSPM), l’analyse des machines sans agent est activée par défaut. Si nécessaire, vous pouvez utiliser les instructions de cet article pour permettre l’analyse manuelle des machines sans agent.
Prérequis
| Prérequis | Détails |
|---|---|
| Planification | Pour utiliser l’analyse sans agent, le plan Defender CSPM ou le plan 2 Defender pour serveurs doit être activé. Lorsque vous activez l’analyse sans agent sur l’un ou l’autre plan, le paramètre est activé pour les deux plans. |
| Analyse des programmes malveillants | L’analyse des programmes malveillants est disponible uniquement lorsque le plan 2 Defender pour serveurs est activé. Pour l’analyse des programmes malveillants des machines virtuelles de nœud Kubernetes, le plan 2 Defender pour serveurs ou le plan Defender pour les conteneurs est requis. |
| Machines prises en charge | Vous pouvez analyser des machines virtuelles Azure, des instances AWS (Elastic Compute Cloud) Amazon Web Services (EC2) et des instances de calcul Google Cloud Platform (GCP) sans installer d’agent, s’ils sont connectés à Microsoft Defender pour Cloud. |
| Machines virtuelles Azure | L’analyse sans agent est disponible sur les machines virtuelles standard Azure avec les caractéristiques suivantes : - Taille totale maximale des disques de 4 To (somme de tous les disques). Remarque : Si elle est dépassée, seul le disque du système d’exploitation est analysé, à condition que sa taille soit inférieure à 4 To. – Nombre maximal de disques autorisé : 6 – Groupe de machines virtuelles identiques – Flex Prise en charge des disques suivants : – Non chiffré – Chiffré (disques managés utilisant le chiffrement stockage Azure avec des clés gérées par la plateforme (PMK)) - Chiffré avec des clés gérées par le client. |
| AWS | L’analyse sans agent est disponible sur EC2, les instances de mise à l’échelle automatique et les disques non chiffrés, chiffrés (PMK) et chiffrés (CMK). Les AMIs nécessitant une licence tierce, par exemple à partir de la Place de marché AWS, ne sont pas prises en charge. |
| GCP | L’analyse sans agent est disponible sur les instances de calcul, les groupes d’instances (gérés et non gérés), avec les clés de chiffrement gérées par Google et la clé de chiffrement gérée par le client (CMEK) |
| Nœuds Kubernetes | L’analyse sans agent des vulnérabilités et des programmes malveillants dans les machines virtuelles de nœud Kubernetes est disponible. Pour l’évaluation des vulnérabilités le plan 2 Defender pour serveurs, le plan Defender pour conteneurs, ou le plan Gestion de la posture de sécurité cloud (CSPM) est requis. Pour analyse des programmes malveillants, le plan 2 Defender pour serveurs ou Defender pour les conteneurs est nécessaire. |
| autorisations | Passez en revue les autorisations utilisées par Defender for Cloud pour l’analyse sans agent. |
| Non pris en charge | Type de disque : si l’un des disques de la machine virtuelle figure dans cette liste, la machine virtuelle n’est pas analysée : – UltraSSD_LRS – PremiumV2_LRS - Disques de système d’exploitation éphémères Azure Kubernetes Service (AKS) Type de ressource : – Machine virtuelle Databricks Systèmes de fichiers : - UFS (Système de fichiers Unix) - ReFS (Système de fichiers résilient) - ZFS (membre ZFS) Formats de stockage RAID et Bloc : - OracleASM (Gestion automatique du stockage Oracle) - DRBD (Dispositif de Bloc Répliqué Distribué) - Linux_Raid_Member Mécanismes d’intégrité des données : - DM_Verity_Hash - Permuter |
Activer l’analyse sans agent sur Azure
Dans Microsoft Defender pour le cloud, ouvrez Paramètres d’environnement.
Sélectionnez l’abonnement approprié.
Pour le plan CSPM Defender ou le plan 2 Defender pour serveurs, sélectionnez Paramètres.
Dans Paramètres et surveillance, activez Analyse sans agent des machines.
Cliquez sur Enregistrer.
Activer pour les machines virtuelles Azure avec des disques chiffrés CMK
Pour l’analyse sans agent des machines virtuelles Azure avec des disques chiffrés CMK, vous devez accorder à Defender pour cloud des autorisations supplémentaires sur les coffres de clés utilisés pour le chiffrement CMK pour les machines virtuelles, afin de créer une copie sécurisée des disques.
Pour affecter manuellement les autorisations sur un coffre de clés :
-
Coffres de clés disposant d’autorisations non RBAC : affectez à "Microsoft Defender for Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) ces autorisations : Obtenir la clé, Envelopper la clé, Déballer la clé. -
Coffres de clés utilisant des autorisations RBAC : attribuez le rôle intégré « Fournisseur de ressources Scanner Microsoft Defender pour serveurs cloud » (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) au rôle intégré Utilisateur du service de chiffrement de Key Vault.
-
Coffres de clés disposant d’autorisations non RBAC : affectez à "Microsoft Defender for Cloud Servers Scanner Resource Provider" (
Pour attribuer ces autorisations à grande échelle pour plusieurs coffres de clés, utilisez ce script.
Activer l’analyse sans agent sur AWS
Dans Microsoft Defender pour le cloud, ouvrez Paramètres d’environnement.
Sélectionnez le compte approprié.
Pour le plan Gestion de la posture de sécurité cloud (CSPM) Defender ou Defender pour serveurs P2, sélectionnez Paramètres.
Lorsque vous activez l’analyse sans agent sur l’un ou l’autre plan, le paramètre s’applique aux deux plans.
Dans le volet paramètres, activez Analyse sans agent des machines.
Sélectionnez Enregistrer et Suivant : Configurer l’accès.
Téléchargez le modèle CloudFormation.
Utilisez le modèle CloudFormation téléchargé pour créer la pile dans AWS, conformément aux instructions affichées à l’écran. Si vous intégrez un compte de gestion, vous devez exécuter le modèle CloudFormation à la fois en tant que Stack et StackSet. Des connecteurs sont créés pour les comptes membres jusqu’à 24 heures après l’intégration.
Sélectionnez Suivant : Vérifier et générer.
Sélectionnez Update.
Une fois que vous avez activé l’analyse sans agent, les informations relatives à l’inventaire logiciel et aux vulnérabilités sont mises à jour automatiquement dans Defender pour le cloud.
Activer l’analyse sans agent sur GCP
Dans Microsoft Defender pour le cloud, sélectionnez paramètres d’environnement.
Sélectionnez le projet ou l’organisation approprié.
Pour le plan Gestion de la posture de sécurité cloud (CSPM) Defender ou Defender pour serveurs P2, sélectionnez Paramètres.
Basculez l’analyse sans agent sur Activé.
Sélectionnez Enregistrer et Suivant : Configurer l’accès.
Copiez le script d’intégration.
Exécutez le script d’intégration dans l’étendue de l’organisation/du projet GCP (portail GCP ou CLI gcloud).
Sélectionnez Suivant : Vérifier et générer.
Sélectionnez Update.
Contenu connexe
Pour en savoir plus :