Créer des rapports interactifs et riches avec les données de Defender pour le cloud en utilisant des classeurs

  • Article

Les classeurs Azure sont des canevas flexibles que vous pouvez utiliser pour analyser les données et créer des rapports visuels enrichis dans le Portail Microsoft Azure. Dans les classeurs, vous pouvez accéder à plusieurs sources de données dans Azure. Combinez les classeurs en expériences unifiées et interactives.

Les Classeurs fournissent un ensemble riche de fonctionnalités pour la visualisation de vos données Azure. Pour obtenir des informations détaillées à propos de chaque type de visualisation, consultez les exemples de visualisations et la documentation.

Dans Defender pour le cloud, vous pouvez accéder aux classeurs intégrés pour suivre la posture de sécurité de votre organisation. Vous pouvez également créer des classeurs personnalisés pour afficher un vaste éventail de données à partir de Defender pour le cloud ou d’autres sources de données prises en charge.

Screenshot that shows the Secure Score Over Time workbook.

Pour connaître les tarifs, consultez la page de tarification.

Prérequis

Autorisations et rôles nécessaires : pour enregistrer un classeur, vous devez disposer au minimum d’autorisations de Contributeur de classeur pour le groupe de ressources concerné.

Disponibilité dans le cloud : Clouds commerciaux Nationaux (Azure Government, Microsoft Azure géré par 21Vianet)

Dans Defender pour le cloud, vous pouvez utiliser la fonctionnalité intégrée des classeurs Azure pour créer des classeurs interactifs personnalisés qui affichent vos données de sécurité. Defender pour le cloud inclut une bibliothèque de classeurs qui a les classeurs suivants prêts à être personnalisés :

  • Classeur Couverture : suivez la couverture des plans et des extensions Defender pour le cloud dans vos environnements et vos abonnements.
  • Classeur Degré de sécurisation dans le temps : suivez les scores de votre abonnement et les modifications apportées aux suggestions pour vos ressources.
  • Classeur Mises à jour du système : visualisez les mises à jour système manquantes par ressource, système d’exploitation, gravité, etc.
  • Classeur Résultats de l’évaluation des vulnérabilités : visualisez les découvertes des analyses de vulnérabilités de vos ressources Azure.
  • Classeur Conformité dans le temps : afficher l’état de la conformité d’un abonnement avec les normes réglementaires ou industrielles que vous avez sélectionné.
  • Classeur Alertes actives : visualisez les alertes actives par gravité, type, étiquette, tactique MITRE ATT&CK et emplacement.
  • Classeur Estimation des prix : affichez les estimations de prix consolidées mensuelles pour les plans Defender pour le cloud en fonction des données de télémétrie des ressources dans votre environnement. Les chiffres sont des estimations basées sur les prix de détail et ne représentent pas les données de facturation réelles.
  • Classeur de gouvernance : utilisez le rapport de gouvernance dans les paramètres des règles de gouvernance pour suivre la progression des règles qui affectent votre organisation.
  • Classeur Sécurité DevOps (préversion) : affichez une base personnalisable qui vous permet de visualiser l’état de votre posture DevOps pour les connecteurs que vous mettez en place.

En plus des classeurs intégrés, vous pouvez trouver des classeurs utiles dans la catégorie Communauté. Ces classeurs sont fournis en l’état et ne font l’objet d’aucun SLA ni d’aucune prise en charge. Vous pouvez choisir l’un des classeurs fournis ou créer votre propre classeur.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Conseil

Pour personnaliser l’un des classeurs, sélectionnez le bouton Modifier. Au terme des modifications, sélectionnez Enregistrer. Les modifications sont enregistrées dans un nouveau classeur.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Classeur Couverture

Si vous activez Defender pour le cloud dans plusieurs abonnements et environnements (Azure, Amazon Web Services et Google Cloud Platform), il peut être difficile de savoir quels plans sont actifs. C’est particulièrement le cas si vous avez plusieurs abonnements et plusieurs environnements.

Le classeur Couverture vous aide à suivre quels plans Defender pour le cloud sont actifs dans quelles parties de vos environnements. Ce classeur peut vous aider à protéger entièrement vos environnements et vos abonnements. En ayant accès à des informations détaillées sur la couverture, vous pouvez identifier les domaines qui peuvent nécessiter d’une plus grande protection afin de prendre des mesures pour traiter ces domaines.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

Dans ce classeur, vous pouvez sélectionner un abonnement (ou tous les abonnements), puis afficher les onglets suivants :

  • Informations supplémentaires : affiche les notes de publication et une explication de chaque bouton bascule.
  • Couverture relative : affiche le pourcentage d’abonnements ou de connecteurs pour lesquels un plan Defender pour le cloud spécifique est activé.
  • Couverture absolue : affiche l’état de chaque plan par abonnement.
  • Couverture détaillée : affiche des paramètres supplémentaires qui peuvent être activés ou qui doivent être activés sur les plans pertinents pour tirer le meilleur parti de chaque plan.

Vous pouvez également sélectionner l'environnement Azure, Amazon Web Services ou Google Cloud Platform dans chaque abonnement ou dans tous les abonnements pour voir quels plans et extensions sont activés pour les environnements.

Classeur sur le degré de sécurisation dans le temps

Le classeur sur le degré de sécurisation dans le temps utilise les données de degré de sécurisation de votre espace de travail Log Analytics. Les données doivent être exportées à l’aide de l’outil d’exportation continue, comme décrit dans Configurer l’exportation continue pour Microsoft Defender pour le cloud dans le Portail Microsoft Azure.

Quand vous configurez l’exportation continue, sous Fréquence d’exportation, sélectionnez Diffusion en continu des mises à jour et Captures instantanées (préversion).

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Remarque

Les instantanés sont exportés chaque semaine. Il faut attendre au moins une semaine après l'exportation du premier instantané avant de pouvoir visualiser les données dans le classeur.

Conseil

Pour configurer l’exportation continue au sein de votre organisation, utilisez les stratégies DeployIfNotExist fournies dans Azure Policy qui sont décrites dans Configurer l’exportation continue à grande échelle.

Le classeur du degré de sécurisation dans le temps comporte cinq graphiques pour la création de rapports sur les abonnements qui dépendent des espaces de travail sélectionnés :

Graphique Exemple
Évaluer les tendances de la dernière semaine et du mois
Utilisez cette section pour surveiller le score actuel et les tendances générales des scores de vos abonnements.		 Screenshot that shows trends for secure score on the built-in workbook.
Score agrégé pour tous les abonnements sélectionnés
Pointez votre souris sur un point quelconque de la courbe de tendance afin de voir le score agrégé à n’importe quelle date dans l’intervalle de temps sélectionné.		 Screenshot that shows an aggregated score for all selected subscriptions.
Recommandations avec le plus de ressources non saines
Ce tableau vous aide à trier les suggestions dont le plus de grand nombre ressources est passé à un état non sain au cours de la période sélectionnée.		 Screenshot that shows recommendations that have the most unhealthy resources.
Scores pour des contrôles de sécurité spécifiques
Les contrôles de sécurité dans Defender pour le cloud sont des regroupements logiques de suggestions. Ce graphique vous permet de voir en un clin d’œil les scores hebdomadaires de tous vos contrôles.		 Screenshot that shows scores for your security controls over the selected time period.
Modifications de ressources
Les suggestions qui ont le plus de ressources ayant changé d’état (sain, non sain ou non applicable) pendant la période sélectionnée sont répertoriées ici. Sélectionnez une suggestion dans la liste pour ouvrir une nouvelle table qui répertorie les ressources spécifiques.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Classeur Mises à jour système

Le classeur Mises à jour système est basé sur la suggestion de sécurité selon laquelle les mises à jour système doivent être installées sur vos machines. Le classeur vous aide à identifier les machines qui ont des mises à jour à appliquer.

Vous pouvez consulter l’état de la mise à jour des abonnements sélectionnés grâce à :

  • Une liste de ressources qui ont des mises à jour en cours à appliquer.
  • Une liste des mises à jour qui sont manquantes dans vos ressources.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Classeur Résultats de l’évaluation des vulnérabilités

Defender pour le cloud inclut des scanneurs de vulnérabilité pour vos machines, des conteneurs dans des registres de conteneurs et des ordinateurs exécutant SQL Server.

Apprenez-en davantage sur l’utilisation de ces scanneurs :

Les résultats de chacun de ces types de ressource sont rapportés dans des recommandations séparées :

Le classeur Résultats de l’évaluation des vulnérabilités rassemble ces résultats et les organise par gravité, type de ressource et catégorie.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Classeur Conformité dans le temps

Microsoft Defender pour le cloud compare continuellement la configuration de vos ressources aux exigences des normes, réglementations et tests d’évaluation du secteur. Les normes intégrées incluent NIST SP 800-53, CSCF CSP SWIFT v2020, Canada Federal PBMM, HIPAA HITRUST, etc. Vous pouvez sélectionner les normes qui sont pertinentes pour votre organisation en utilisant le tableau de bord de conformité réglementaire. En savoir plus sur Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.

Le classeur Conformité dans le temps suit votre état de conformité dans le temps en utilisant les différentes normes que vous ajoutez à votre tableau de bord.

Screenshot that shows how to select the standards for your Compliance Over Time report.

Lorsque vous sélectionnez une norme dans la zone vue d’ensemble du rapport, le volet inférieur affiche une répartition plus détaillée :

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Pour afficher les ressources qui ont réussi ou échoué à chaque contrôle, vous pouvez continuer à descendre jusqu’au niveau de suggestion.

Conseil

Pour chaque panneau du rapport, vous pouvez exporter les données vers Excel en utilisant l’option Exporter vers Excel.

Screenshot that shows how to export a compliance workbook data to Excel.

Classeur Alertes actives

Le classeur Alertes actives affiche les alertes de sécurité actives pour vos abonnements sur un tableau de bord. Les alertes de sécurité sont les notifications générées par Defender pour le cloud lorsqu’il détecte des menaces contre vos ressources. Defender pour le cloud hiérarchise et répertorie les alertes avec les informations dont vous avez besoin pour investiguer et remédier rapidement à la situation.

Ce classeur vous aide à prendre conscience des menaces actives dans votre environnement et à les classer par ordre de priorité.

Remarque

La plupart des classeurs utilisent Azure Resource Graph pour interroger des données. Par exemple, pour afficher une carte, les données sont interrogées dans un espace de travail Log Analytics. L’exportation continue doit être activée. Exportez les alertes de sécurité vers l’espace de travail Log Analytics.

Vous pouvez afficher les alertes actives par gravité, groupe de ressources et étiquette.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

Vous pouvez également afficher les alertes les plus importantes de votre abonnement par ressources attaquées, types d’alerte et nouvelles alertes.

Screenshot that highlights the top alerts for your subscriptions.

Pour afficher plus de détails d’une alerte, sélectionnez-la.

Screenshot that shows all high-severity active alerts for a specific resource.

L’onglet des tactiques MITRE ATT&CK répertorie les alertes selon l’ordre de la chaîne de destruction et le nombre d’alertes que l’abonnement comporte à chaque étape.

Screenshot that shows the order of the kill chain and the number of alerts.

Vous pouvez voir toutes les alertes actives dans un tableau et filtrer par colonnes.

Screenshot that shows the table of active alerts.

Pour afficher les détails d’une alerte spécifique, sélectionnez l’alerte dans le tableau, puis sélectionnez le bouton Ouvrir l’affichage des alertes.

Screenshot that shows an alert's details and the Open Alert View button.

Pour afficher toutes les alertes par emplacement dans un affichage de carte, sélectionnez l’onglet Affichage de la carte.

Screenshot that shows the alerts when viewed in a map in Map View.

Sélectionnez un emplacement sur la carte pour afficher toutes les alertes de cet emplacement.

Screenshot that shows the alerts in a specific location in Map View.

Pour afficher les détails d’une alerte, sélectionnez une alerte, puis sélectionnez le bouton Ouvrir l’affichage des alertes.

Classeur DevOps Security

Le classeur DevOps Security fournit un rapport visuel personnalisable de votre posture de sécurité DevOps. Vous pouvez utiliser ce classeur pour afficher des insights à propos de vos référentiels qui ont le plus grand nombre de vulnérabilités et d’expositions communes (CVE) et de faiblesses, les référentiels actifs pour lesquels Advanced Security (sécurité avancée) est désactivée, les évaluations de posture de sécurité de vos configurations d’environnement DevOps et bien plus encore. Personnalisez et ajoutez vos propres rapports visuels en utilisant l’ensemble complet de données dans Azure Resource Graph pour répondre aux besoins métier de votre équipe de sécurité.

Screenshot that shows a sample results page after you select the DevOps workbook.

Remarque

Pour utiliser ce classeur, votre environnement doit disposer d’un Connecteur GitHub, d’un Connecteur GitLab, ou d’un Connecteur Azure DevOps.

Pour déployez le classeur :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Classeurs.

  3. Sélectionnez le classeur DevOps Security (préversion).

Le classeur charge et affiche l’onglet Vue d’ensemble. Sur cet onglet, vous pouvez voir le nombre de secrets exposés, la sécurité du code et la sécurité DevOps. Les résultats sont affichés par total pour chaque dépôt et par gravité.

Pour afficher le nombre par type de secret, sélectionnez l’onglet Secrets.

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

L’onglet Code affiche le nombre de résultats par outil et référentiel. Il affiche les résultats de l’analyse du code par gravité.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

L’onglet Vulnérabilités OSS affiche les vulnérabilités de la Sécurité Open Source (OSS) par gravité et le nombre de résultats par dépôt.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

L’onglet Infrastructure en tant que code affiche vos résultats par outil et dépôt.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

L’onglet Posture affiche la posture de sécurité par gravité et dépôt.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

L’onglet Menaces et tactiques affiche le nombre de menaces et de tactiques par dépôt et le nombre total.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Importer des classeurs à partir d’autres galeries de classeurs

Pour déplacer des classeurs que vous créez dans d’autres services Azure vers une galerie de classeur de Microsoft Defender pour le cloud :

  1. Ouvrez le classeur que vous voulez importer.

  2. Dans la barre d’outils, sélectionnez Modifier.

    Screenshot that shows how to edit a workbook.

  3. Sur la barre d’outils, sélectionnez </> pour ouvrir l’éditeur avancé.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. Dans le modèle de galerie du classeur, sélectionnez tout le JSON dans le fichier et copiez-le.

  5. Ouvrez la galerie de classeur dans Defender pour le cloud, puis sélectionnez Nouveau dans la barre de menus.

  6. Sélectionnez </> pour ouvrir l’Éditeur avancé.

  7. Collez l’intégralité du code JSON du modèle de galerie.

  8. Sélectionnez Appliquer.

  9. Dans la barre d’outils, sélectionnez Enregistrer sous.

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Pour enregistrer les modifications apportées au classeur, saisissez ou sélectionnez les informations suivantes :

    • Nom du classeur.
    • Région Azure à utiliser.
    • Toute information pertinente sur l'abonnement, le groupe de ressources et le partage.

Pour trouver le classeur enregistré, accédez à la catégorie Classeurs récemment modifiés.

Contenu connexe

Cet article décrit la page du classeur Azure intégré de Defender pour le cloud qui possède des rapports intégrés et l’option permettant de créer vos propres rapports personnalisés et interactifs.

Les classeurs intégrés obtiennent leurs données des suggestions de Defender pour le cloud.