Partager via


Microsoft Defender pour le cloud dans le portail Microsoft Defender

S’applique à :

Microsoft Defender pour le cloud fait désormais partie de Microsoft Defender XDR. Les équipes de sécurité peuvent désormais accéder aux alertes et aux incidents Defender pour le cloud dans le portail Microsoft Defender, ce qui fournit un contexte plus riche aux investigations qui couvrent les ressources, les appareils et les identités cloud. En outre, les équipes de sécurité peuvent obtenir une image complète d’une attaque, y compris les événements suspects et malveillants qui se produisent dans leur environnement cloud, grâce à des corrélations immédiates d’alertes et d’incidents.

Le portail Microsoft Defender combine des fonctionnalités de protection, de détection, d’investigation et de réponse pour protéger les attaques sur les appareils, les e-mails, la collaboration, les identités et les applications cloud. Les fonctionnalités de détection et d’investigation du portail sont désormais étendues aux entités cloud, offrant aux équipes chargées des opérations de sécurité un volet unique pour améliorer considérablement leur efficacité opérationnelle.

En outre, les incidents et alertes Defender pour le cloud font désormais partie de l’API publique de Microsoft Defender XDR. Cette intégration permet d’exporter des données d’alertes de sécurité vers n’importe quel système à l’aide d’une seule API.

Conditions préalables

Pour garantir l’accès aux alertes Defender pour le cloud dans le portail Microsoft Defender, vous devez être abonné à l’un des plans répertoriés dans Connecter vos abonnements Azure.

Autorisations requises

Remarque

L’autorisation d’afficher les alertes et les corrélations Defender pour le cloud est automatique pour l’ensemble du locataire. L’affichage pour des abonnements spécifiques n’est pas pris en charge. Vous pouvez utiliser le filtre d’ID d’abonnement d’alerte pour afficher les alertes Defender pour le cloud associées à un abonnement Defender pour le cloud spécifique dans les files d’attente d’alertes et d’incidents. En savoir plus sur les filtres.

L’intégration est disponible uniquement en appliquant le rôle RBAC (Contrôle d’accès en fonction du rôle unifié) Microsoft Defender XDR approprié pour Defender pour le cloud. Pour afficher les alertes et les corrélations Defender pour le cloud sans RBAC unifié Defender XDR, vous devez être administrateur général ou administrateur de la sécurité dans Azure Active Directory.

Importante

Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios où vous ne pouvez pas utiliser un rôle existant. Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation.

Expérience d’investigation dans le portail Microsoft Defender

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

La section suivante décrit l’expérience de détection et d’investigation dans le portail Microsoft Defender avec les alertes Defender pour le cloud.

Zone Description
Incidents Tous les incidents Defender pour le cloud seront intégrés au portail Microsoft Defender.

- La recherche de ressources cloud dans la file d’attente des incidents est prise en charge.
- Le graphe du scénario d’attaque affiche la ressource cloud.
- L’onglet Ressources dans une page d’incident affiche la ressource cloud.
- Chaque machine virtuelle a sa propre page d’appareil contenant toutes les alertes et activités associées.

Il n’y aura pas de duplication des incidents provenant d’autres charges de travail Defender.
Alertes Toutes les alertes Defender pour le cloud, y compris les alertes multicloud, internes et externes des fournisseurs, seront intégrées au portail Microsoft Defender. Les alertes Defender pour le cloud s’affichent dans la file d’attente des alertes du portail Microsoft Defender.

La ressource cloud s’affiche sous l’onglet Ressource d’une alerte. Les ressources sont clairement identifiées en tant que ressource Azure, Amazon ou Google Cloud.

Les alertes Defender pour le cloud sont automatiquement associées à un locataire.

Il n’y aura pas de duplication des alertes à partir d’autres charges de travail Defender.
Corrélation des alertes et des incidents Les alertes et les incidents sont automatiquement corrélés, ce qui fournit un contexte robuste aux équipes des opérations de sécurité pour comprendre l’histoire complète des attaques dans leur environnement cloud.
Détection des menaces Correspondance précise des entités virtuelles aux entités d’appareil pour garantir une détection précise et efficace des menaces.
API unifiée Les alertes et incidents Defender pour le cloud sont désormais inclus dans l’API publique de Microsoft Defender XDR, ce qui permet aux clients d’exporter leurs données d’alertes de sécurité vers d’autres systèmes à l’aide d’une API.
Repérage avancé (préversion) Les informations sur les événements d’audit cloud pour différentes plateformes cloud protégées par defender pour le cloud de l’organisation sont disponibles via la table CloudAuditEvents dans la chasse avancée.

Remarque

Les alertes d’information de Defender pour le cloud ne sont pas intégrées au portail Microsoft Defender pour permettre de se concentrer sur les alertes pertinentes et de gravité élevée. Cette stratégie simplifie la gestion des incidents et réduit la fatigue des alertes.

Impact sur les utilisateurs de Microsoft Sentinel

Les clients Microsoft Sentinel qui intègrent des incidents Microsoft Defender XDRet ingèrent des alertes Defender pour le cloud doivent apporter les modifications de configuration suivantes afin de s’assurer que les alertes et incidents en double ne sont pas créés :

  • Connectez le connecteur Microsoft Defender pour le cloud basé sur le locataire (préversion) pour synchroniser la collecte des alertes de tous vos abonnements avec les incidents Defender pour le cloud basés sur le locataire qui sont diffusés en continu via le connecteur Incidents Microsoft Defender XDR.
  • Déconnectez le connecteur d’alertes Microsoft Defender pour le cloud (hérité) basé sur un abonnement pour éviter les doublons d’alertes.
  • Désactivez toutes les règles de analytique ( planifiées (type de requête standard) ou de sécurité Microsoft (création d’incidents) utilisées pour créer des incidents à partir d’alertes Defender pour le cloud. Les incidents Defender pour le cloud sont créés automatiquement dans le portail Defender et synchronisés avec Microsoft Sentinel.
  • Si nécessaire, utilisez des règles d’automatisation pour fermer les incidents bruyants, ou utilisez les fonctionnalités de réglage intégrées dans le portail Defender pour supprimer certaines alertes.

La modification suivante doit également être notée :

  • L’action permettant de lier les alertes aux incidents du portail Microsoft Defender est supprimée.

Pour plus d’informations , consultez Ingérer des incidents Microsoft Defender pour le cloud avec l’intégration de Microsoft Defender XDR.

Désactiver les alertes Defender pour le cloud

Les alertes pour Defender pour le cloud sont activées par défaut. Pour conserver vos paramètres basés sur l’abonnement et éviter la synchronisation basée sur le locataire ou pour refuser l’expérience, procédez comme suit :

  1. Dans le portail Microsoft Defender, accédez à Paramètres>Microsoft Defender XDR.
  2. Dans Paramètres du service d’alerte, recherchez Alertes Microsoft Defender pour le cloud.
  3. Sélectionnez Aucune alerte pour désactiver toutes les alertes Defender pour le cloud. La sélection de cette option arrête l’ingestion de nouvelles alertes Defender pour le cloud dans le portail. Les alertes précédemment ingérées restent dans une page d’alerte ou d’incident.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.