Configurer l’exportation continue avec Azure Policy
L’exportation continue des alertes de sécurité et des suggestions de Microsoft Defender pour le cloud peut vous aider à analyser les données dans Log Analytics ou dans Azure Event Hubs. Vous pouvez configurer l’exportation continue dans Defender pour Cloud à grande échelle à l’aide de modèles Azure Policy fournis.
Conseil
Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Découvrez comment télécharger un fichier CSV.
Prérequis
Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.
Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
Rôles et autorisations obligatoires :
Administrateur de sécurité ou Propriétaire pour le groupe de ressources
Autorisations en écriture pour la ressource cible.
Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
Pour exporter vers un espace de travail Log Analytics :
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/read. - S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/action.
En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Configurer l’exportation continue à grande échelle avec Azure Policy
L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut vous aider à réduire le temps requis pour examiner et atténuer les incidents de sécurité.
Pour déployer vos configurations d’exportation continue à l’échelle de votre organisation, utilisez les stratégies Azure Policy DeployIfNotExist fournies pour créer et configurer des procédures d’exportation continue.
Pour implémenter ces stratégies :
Sélectionnez une stratégie à appliquer :
Objectif Policy ID de stratégie Exportation continue vers Event Hubs Déployer l’exportation vers Event Hubs pour les alertes et recommandations Microsoft Defender pour le cloud cdfcce10-4578-4ecd-9703-530938e4abcb Exportation continue vers l’espace de travail Log Analytics Déployer l’exportation vers l’espace de travail Log Analytics pour les alertes et recommandations Microsoft Defender pour le cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Sélectionnez Attribuer.
Sélectionnez chaque onglet et définissez les paramètres en fonction de vos besoins :
Sur l’onglet Général, définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, attribuez la stratégie au groupe d’administration qui contient les abonnements qui utilisent la configuration de l’exportation continue.
Sous l’onglet Paramètres, définissez le nom du groupe de ressources, l’emplacement et les détails du hub d’événements.
Si vous le souhaitez, pour appliquer cette attribution à des abonnements existants, sélectionnez l’onglet Correction, puis sélectionnez l’option permettant de créer une tâche de correction.
Vérifiez les informations de la page résumé, puis sélectionnez Créer.