Exporter des alertes et des recommandations avec l’exportation continue

Microsoft Defender pour le cloud fournit une exportation continue de données de sécurité. Cette fonctionnalité vous permet de diffuser des données de sécurité vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique. Vous pouvez analyser et visualiser les données à l’aide des journaux Azure Monitor et d’autres fonctionnalités Azure Monitor.

Lorsque vous mettez en place l’exportation continue, vous pouvez personnaliser entièrement les informations à exporter et leur destination. Par exemple, vous pouvez la configurer de sorte que :

• Toutes les alertes de gravité élevée sont envoyées à un Event Hub Azure.
• Tous les résultats de gravité moyenne ou plus élevée issus des analyses d’évaluation des vulnérabilités de vos ordinateurs exécutant SQL Server sont envoyés à un espace de travail Log Analytics spécifique.
• Les suggestions spécifiques sont transmises à un Event Hub ou à un espace de travail Log Analytics lorsqu’elles sont générées.
• Le score sécurisé pour un abonnement est envoyé à un espace de travail Log Analytics chaque fois que le score d’un contrôle change de 0,01 ou plus.

Quels types de données peuvent être exportés ?

Vous pouvez utiliser l’exportation continue pour exporter les types de données suivants à chaque modification :

• Recommandations relatives à la sécurité.
  • Gravité de la recommandation.
  • Résultats de sécurité.
• Degré de sécurisation.
  • Contrôles.
• Alertes de sécurité.
• Conformité aux normes.
• Chemins d’attaques

La gravité des recommandations, les résultats de sécurité et les contrôles sont des sous-catégories qui appartiennent à une catégorie parente . Par exemple :

• Les suggestions Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) et les Des mises à jour système doivent être installées sur vos machines possèdent chacune une sous-suggestion pour chaque mise à jour système en suspens.
• La suggestion Les machines devraient avoir des résultats de vulnérabilité résolus a une sous-suggestion pour chaque vulnérabilité identifiée par l’analyseur de vulnérabilité.

Remarque

Si vous configurez une exportation continue en utilisant l’API REST, incluez toujours le parent avec les résultats.

Exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire

Vous ne pouvez pas configurer les données à exporter vers un espace de travail Log Analytics dans un autre locataire si vous utilisez Azure Policy pour affecter la configuration. Ce processus ne fonctionne que si vous utilisez l'API REST pour attribuer la configuration et que celle-ci n'est pas prise en charge par le Portail Microsoft Azure (parce qu'elle nécessite un contexte multi-locataire). Azure Lighthouse ne résout pas ce problème avec Azure Policy, bien que vous puissiez utiliser Azure Lighthouse comme méthode d’authentification.

Lorsque vous collectez des données dans un locataire, vous pouvez analyser les données à partir d’un emplacement central.

Pour exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire :

• Dans le locataire disposant de l’espace de travail Log Analytics ou Event Hubs, invitez un utilisateur du locataire qui héberge la configuration d’exportation continue, ou vous pouvez configurer Azure Lighthouse pour le locataire source et de destination.

• Si vous utilisez l'accès des utilisateurs invités d'entreprise à entreprise (B2B) dans Microsoft Entra ID, assurez-vous que l'utilisateur accepte l'invitation à accéder au locataire en tant qu'invité.

• Si vous utilisez un espace de travail Log Analytics, affectez à l’utilisateur dans le locataire de l’espace de travail l’un des rôles suivants : Propriétaire, Contributeur, Contributeur Log Analytics, Contributeur Sentinel ou Contributeur d’analyse.

• Créez et envoyez la requête à l’API REST Azure pour configurer les ressources requises. Vous devez gérer les jetons du porteur dans le contexte du locataire local (espace de travail) et du locataire distant (exportation continue).

Exporter vers un espace de travail Log Analytics

Si vous voulez analyser des données Microsoft Defender pour le cloud dans un espace de travail Log Analytics ou utiliser des alertes Azure avec des alertes Defender pour le cloud, configurez l’exportation continue vers votre espace de travail Log Analytics.

Tables et schémas Log Analytics

Les alertes et les recommandations de sécurité sont stockées dans les tables SecurityAlert et SecurityRecommendation respectivement.

Le nom de la solution Log Analytics qui contient ces tables varie selon que vous avez activé les fonctionnalités de sécurité renforcée : Security (la solution Security and Audit) ou SecurityCenterFree.

Conseil

Pour afficher les données dans l’espace de travail de destination, vous devez activer l’une de ces solutions : Security and Audit ou SecurityCenterFree.

Pour afficher les schémas d’événements des types de données exportés, consultez schémas de table Log Analytics.

Contenu connexe

• Configurer l’exportation continue dans le portail Azure
• Configurer l’exportation continue avec l’API REST
• Configurer l’exportation continue avec Azure Policy