Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender pour le Cloud s'intègre nativement avec Microsoft Defender pour Endpoint afin de fournir des fonctionnalités Defender pour Endpoint et Defender pour la gestion des vulnérabilités dans Defender pour le Cloud.
- Lorsque vous activez le plan Defender pour serveurs dans Defender pour cloud, l’intégration de Defender pour point de terminaison est activée par défaut.
- L’intégration déploie automatiquement l’agent Defender pour point de terminaison sur les machines.
Cet article explique comment activer manuellement l’intégration de Defender pour point de terminaison si nécessaire.
Prérequis
| Prérequis | Détails |
|---|---|
| Prise en charge de Windows | Vérifiez que les machines Windows sont prises en charge par Defender for Endpoint. |
| Prise en charge de Linux | Dans le cas des serveurs Linux, Python doit être installé. Python 3 est recommandé pour toutes les distributions, mais requis pour RHEL 8.x et Ubuntu 20.04 (et versions ultérieures). Le déploiement automatique du capteur Defender for Endpoint sur les machines Linux peut ne pas fonctionner comme prévu si les machines exécutent des services qui utilisent fanotify. Installez manuellement le capteur Defender for Endpoint sur ces machines. |
| Machines virtuelles Azure | Vérifiez que les machines virtuelles peuvent se connecter au service Defender for Endpoint. Si les machines n’ont pas d’accès direct, les paramètres de proxy ou les règles de pare-feu doivent autoriser l’accès aux URL Defender for Endpoint. Passez en revue les paramètres de proxy pour les machines Windows et Linux. |
| Machines virtuelles locales | Nous vous recommandons d’intégrer les machines locales en tant que machines virtuelles avec Azure Arc. Si vous intégrez directement des machines virtuelles locales, les fonctionnalités de Defender pour serveurs Plan 1 sont disponibles, mais la plupart des fonctionnalités de Defender pour serveurs Plan 2 ne fonctionnent pas. |
| Locataire Azure | Si vous avez déplacé votre abonnement entre des locataires Azure, certaines étapes préparatoires manuelles sont également requises. Contactez le Support Microsoft pour obtenir des détails. |
| Windows Server 2016, 2012 R2 | Contrairement aux versions ultérieures de Windows Server, qui sont fournies avec le capteur Defender for Endpoint préinstallé, Defender for Cloud installe le capteur sur les machines exécutant Windows Server 2016/2012 R2 à l’aide de la solution unifiée Defender for Endpoint. |
Activer sur un abonnement
L’intégration de Defender for Endpoint est activée par défaut lorsque vous activez un plan Defender pour serveurs. Si vous désactivez l’intégration de Defender pour point de terminaison sur un abonnement, vous pouvez le réactiver manuellement si nécessaire à l’aide de ces instructions.
Dans Defender for Cloud, sélectionnez Paramètres d’environnement et sélectionnez l’abonnement contenant les machines sur lesquelles vous souhaitez déployer l’intégration de Defender for Endpoint.
Dans Paramètres et surveillance>Endpoint protection, basculez les paramètres de la colonne État sur Activé.
Sélectionnez Enregistrer et Continuer pour enregistrer vos paramètres.
Le capteur Defender pour point de terminaison est déployé sur toutes les machines Windows et Linux de l’abonnement sélectionné.
L’intégration peut prendre jusqu’à une heure. Defender pour cloud détecte les installations précédentes de Defender pour point de terminaison et les reconfigure pour les intégrer à Defender pour cloud.
Remarque
Pour les machines virtuelles Azure créées à partir d’images de système d’exploitation généralisées, MDE ne sera pas automatiquement approvisionné via ce paramètre ; Toutefois, vous pouvez activer manuellement l’agent et l’extension MDE à l’aide d’Azure CLI, de l’API REST ou d’Azure Policy.
Vérifier l’installation sur les machines Linux
Vérifiez l’installation du capteur Defender pour point de terminaison sur une machine Linux en procédant comme suit :
Exécutez la commande de shell suivante sur chaque machine :
mdatp health. Si Microsoft Defender pour les points de terminaison est installé, vous voyez son état de santé :healthy : truelicensed: trueEn outre, dans le portail Azure, vous pouvez vérifier que les machines Linux ont une nouvelle extension Azure nommée
MDE.Linux.
Remarque
Sur les nouveaux abonnements, l’intégration de Defender pour point de terminaison est automatiquement activée et couvre les machines exécutant un système d’exploitation Windows Server ou Linux pris en charge. Les sections suivantes couvrent un opt-in unique qui peut être nécessaire dans certains scénarios uniquement.
Activer la solution unifiée Defender for Endpoint sur Windows Server 2016/2012 R2
Si Defender pour serveurs est activé et que l’intégration de Defender pour point de terminaison se trouve dans un abonnement qui existait avant le printemps 2022, vous devrez peut-être activer manuellement l’intégration de la solution unifiée pour les machines exécutant Windows Server 2016 ou Windows Server 2012 R2 dans l’abonnement.
Dans Defender for Cloud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines Windows devant recevoir Defender for Endpoint.
Dans la colonne Couverture du monitoring du plan Defender pour serveurs, sélectionnez Paramètres.
L’état du composant Endpoint Protection est Partiel, ce qui signifie que toutes les parties du composant ne sont pas activées.
Sélectionnez Corriger pour voir les composants qui ne sont pas activés.
Dans Composants manquants>Solution unifiée, sélectionnez Activer pour installer automatiquement l’agent Defender for Endpoint sur les machines Windows Server 2012 R2 et 2016 connectées à Microsoft Defender for Cloud.
Pour enregistrer les modifications, sélectionnez Enregistrer en haut de la page. Dans la page Paramètres et surveillance, sélectionnez Continuer.
Defender for Cloud intègre les machines existantes et nouvelles à Defender for Endpoint.
Si vous configurez Defender pour point de terminaison sur le premier abonnement de votre locataire, l’intégration peut prendre jusqu’à 12 heures. Pour les nouveaux ordinateurs et abonnements créés après l’activation de l’intégration pour la première fois, l’intégration prend jusqu’à une heure.
Remarque
L’activation de l’intégration de Defender pour point de terminaison sur les machines Windows Server 2012 R2 et Windows Server 2016 est une action unique. Si vous désactivez le plan et réactivez-le, l’intégration reste activée.
Activer sur des machines Linux (plan/intégration activé)
Si Defender pour serveurs est déjà activé et que l’intégration de Defender pour point de terminaison se trouve dans un abonnement qui existait avant l’été 2021, vous devrez peut-être activer manuellement l’intégration pour les machines Linux.
Dans Defender for Coud, sélectionnez Paramètres d’environnement, puis sélectionnez l’abonnement avec les machines Linux devant recevoir Defender for Endpoint.
Dans la colonne Surveillance de la couverture du plan Defender pour serveurs, sélectionnez Paramètres.
L’état du composant Endpoint Protection est Partiel, ce qui signifie que toutes les parties du composant ne sont pas activées.
Sélectionnez Corriger pour voir les composants qui ne sont pas activés.
Dans Composants manquants>Machines Linux, sélectionnez Activer.
Pour enregistrer les modifications, sélectionnez Enregistrer en haut de la page. Dans la page Paramètres et surveillance, sélectionnez Continuer.
- Defender for Cloud intègre les machines Linux à Defender for Endpoint.
- Defender pour cloud détecte les installations précédentes de Defender pour point de terminaison sur des machines Linux et les reconfigure pour les intégrer à Defender pour cloud.
- Si vous configurez Defender pour point de terminaison sur le premier abonnement de votre locataire, l’intégration peut prendre jusqu’à 12 heures. Pour les nouvelles machines créées après l’activation de l’intégration, l’intégration prend jusqu’à une heure.
Pour vérifier l’installation du capteur Defender for Endpoint sur une machine Linux, exécutez la commande de shell suivante sur chaque machine.
mdatp healthSi Microsoft Defender pour les points de terminaison est installé, vous voyez son état de santé :
healthy : truelicensed: trueDans le portail Azure, vous pouvez vérifier que les machines Linux ont une nouvelle extension Azure nommée
MDE.Linux.
Remarque
L’activation de l’intégration de Defender for Endpoint sur les machines Linux est une action ponctuelle. Si vous désactivez le plan et réactivez-le, l’intégration reste activée.
Activer l’intégration à PowerShell dans plusieurs abonnements
Pour activer l’intégration de Defender pour serveurs pour les machines Linux ou Windows Server 2012 R2 et 2016 avec la solution unifiée MDE sur plusieurs abonnements, vous pouvez utiliser l’un des scripts PowerShell dans le référentiel GitHub Defender pour cloud.
- Utilisez ce script pour activer l’intégration à la solution unifiée moderne Defender pour point de terminaison sur Windows Server 2012 R2 ou Windows Server 2016
- Utilisez ce script pour activer l’intégration de Defender pour point de terminaison sur des machines Linux
Gérer les mises à jour automatiques pour Linux
Dans Windows, les mises à jour de version de Defender for Endpoint sont fournies via des mises à jour continues de la base de connaissances. Dans Linux, vous devez mettre à jour le package Defender pour point de terminaison.
Lorsque vous utilisez Defender pour serveurs avec l’extension
MDE.Linux, les mises à jour automatiques pour Microsoft Defender for Endpoint sont activées par défaut.Si vous souhaitez gérer manuellement les mises à jour de version, vous pouvez désactiver les mises à jour automatiques sur vos machines. Pour ce faire, ajoutez l’étiquette suivante pour les machines intégrées avec l’extension
MDE.Linux.- Nom de la balise :
ExcludeMdeAutoUpdate - Valeur de la balise :
true
- Nom de la balise :
Cette configuration est prise en charge pour les machines virtuelles Azure et les machines Azure Arc, où l’extension lance la MDE.Linux mise à jour automatique.
Activer l’intégration à grande échelle
Vous pouvez activer l’intégration de Defender for Endpoint à grande échelle via la version 2022-05-01 de l’API REST fournie. Pour plus d’informations, consultez la documentation de l’API.
Voici un exemple de corps de requête pour la requête PUT visant à activer l’intégration de Defender for Endpoint :
URI : https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Remarque
La solution unifiée Microsoft Defender pour Endpoint et Microsoft Defender pour Endpoint pour Linux sont automatiquement incluses dans les nouveaux abonnements lorsque vous activez l'intégration de Microsoft Defender pour Endpoint à l'aide de microsoft.security/settings/WDATP.
Les paramètres WDATP_UNIFIED_SOLUTION et WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW sont pertinents pour les abonnements hérités. Ces paramètres s’appliquent aux abonnements qui ont déjà activé l’intégration de Defender pour point de terminaison lorsque ces fonctionnalités ont été introduites en août 2021 et spring 2022.
Suivre l’état du déploiement de Defender for Endpoint
Vous pouvez utiliser le classeur d’état du déploiement Defender for Endpoint pour suivre l’état du déploiement de Defender for Endpoint sur vos machines virtuelles Azure et machines virtuelles avec Azure Arc. Le classeur interactif fournit une vue d’ensemble des machines de votre environnement montrant leur état de déploiement de l’extension Microsoft Defender for Endpoint.
Accéder au portail Microsoft Defender
Vérifiez que vous disposez des autorisations appropriées pour l’accès au portail.
Vérifiez si vous avez un proxy ou un pare-feu qui bloque le trafic anonyme.
- Le capteur Defender for Endpoint se connecte à partir du contexte système, de sorte que le trafic anonyme doit être autorisé.
- Pour garantir un accès non bloqué au portail Microsoft Defender, activez l’accès aux URL de service dans le serveur proxy.
Ouvrez le portail Microsoft Defender. Découvrez les incidents et les alertes dans le portail Microsoft Defender.
Exécuter un test de détection
Suivez les instructions dans le Test de détection EDR pour vérifier l’intégration et les services de génération de rapports de l’appareil.
Supprimer Defender pour point de terminaison sur une machine
Pour supprimer la solution Defender pour point de terminaison sur vos machines :
- Pour désactiver l’intégration, dans Defender for Cloud >Paramètres d’environnement, sélectionnez l’abonnement avec les machines appropriées.
- Dans la page Plans Defender, sélectionnez Paramètres et surveillance.
- Dans l’état du composant Endpoint Protection, sélectionnez Inactif pour désactiver l’intégration à Microsoft Defender for Endpoint pour l’abonnement.
- Sélectionnez Enregistrer et Continuer pour enregistrer vos paramètres.
- Supprimez l'extension
MDE.WindowsouMDE.Linuxde la machine. - Retirez l’appareil du service Microsoft Defender for Endpoint.
Supprimer les balises d’intégration de Defender pour Endpoint
Lorsqu’un appareil Windows est intégré via Defender pour cloud, Defender pour point de terminaison crée des valeurs de Registre associées à Defender pour Cloud. Ces balises de Registre restent sur l’appareil après le retrait et n’affectent pas les fonctionnalités.
Pour supprimer complètement ces balises, procédez comme suit. Sur Linux, le système stocke ces informations en interne et ne l’affiche pas dans le Registre.
Sélectionnez Démarrer, tapez regedit, puis appuyez sur Entrée pour ouvrir l’Éditeur du Registre.
Dans le volet gauche, accédez à :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\DeviceTagsSupprimez ces noms de valeurs s’ils existent :
AzureResourceIdSecurityWorkspaceIdSecurityAgentId
Important
La modification incorrecte du Registre peut entraîner des problèmes sur votre appareil.