Connecter es alertes Microsoft Defender pour le cloud à Microsoft Sentinel

Notes

Azure Sentinel s’appelle maintenant Microsoft Sentinel et nous mettrons à jour ces pages dans les semaines à venir. En savoir plus sur les améliorations récentes de la sécurité Microsoft.

Arrière-plan

Notes

  • Microsoft Defender pour le cloud était auparavant appelé Azure Security Center.
  • Les fonctionnalités de sécurité améliorées de Defender pour le cloud étaient auparavant connues sous le nom de Azure Defender.

Les protections des charges de travail du cloud intégrées de Microsoft Defender pour le cloud vous permettent de détecter et de répondre rapidement aux menaces dans les charges de travail multi-cloud et hybrides.

Ce connecteur vous permet de diffuser vos alertes de sécurité de Defender pour le cloud dans Microsoft Sentinel, afin que vous puissiez afficher, analyser et répondre aux alertes Defender, ainsi qu’aux incidents qu’elles génèrent, dans un contexte de menace organisationnel plus large.

Étant donné que les fonctionnalités de sécurité améliorées de Microsoft Defender pour le cloud sont activées par abonnement, ce connecteur de données est également activé ou désactivé séparément pour chaque abonnement.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Synchronisation des alertes

  • Quand vous connectez Microsoft Defender pour le cloud à Microsoft Sentinel, l’état des alertes de sécurité qui sont ingérées dans Microsoft Sentinel est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Defender pour le cloud, cette alerte s’affiche également comme étant fermée dans Microsoft Sentinel.

  • Le changement d’état d’une alerte dans Defender pour le cloud n’affecte pas l’état des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel, mais uniquement l’état de l’alerte.

Synchronisation bidirectionnelle des alertes

  • L’activation de la synchronisation bidirectionnelle synchronisera automatiquement l’état des alertes de sécurité avec celui des incidents Microsoft Sentinel qui contiennent ces alertes. Ainsi, lorsqu’un incident Microsoft Sentinel contenant des alertes de sécurité est fermé, l’alerte d’origine correspondante est automatiquement fermée dans Microsoft Defender pour le Cloud.

Prérequis

  • Vous devez disposer d’autorisations en lecture et en écriture dans l’espace de travail Microsoft Sentinel.

  • Vous devez avoir le rôle Lecteur Sécurité dans les abonnements des journaux que vous diffusez.

  • Vous devez activer au moins un plan au sein de Microsoft Defender pour le Cloud pour chaque abonnement pour lequel vous souhaitez activer le connecteur. Pour activer les plans Microsoft Defender sur un abonnement, vous devez avoir le rôle Administrateur de la sécurité pour cet abonnement.

  • Pour activer la synchronisation bidirectionnelle, vous devez avoir le rôle Contributeur ou Administrateur de la sécurité sur l’abonnement concerné.

Se connecter à Microsoft Defender pour le Cloud

  1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

  2. Dans la galerie des connecteurs de données, sélectionnez Microsoft  Defender pour le Cloud, puis sélectionnez Ouvrir la page du connecteur dans le volet d’informations.

  3. Sous Configuration, vous verrez une liste des abonnements de votre locataire et l’état de leur connexion à Microsoft Defender pour le Cloud. Sélectionnez le bouton bascule État à côté de chaque abonnement dont vous souhaitez diffuser les alertes dans Microsoft Sentinel. Si vous souhaitez connecter plusieurs abonnements à la fois, vous pouvez le faire en cochant les cases à côté des abonnements concernés, puis en sélectionnant le bouton Connecter dans la barre située au-dessus de la liste.

    Notes

    • Les cases à cocher et les boutons bascule Connecter ne sont actifs que sur les abonnements pour lesquels vous disposez des autorisations requises.
    • Le bouton Connecter n’est actif que si la case d’au moins un abonnement a été cochée.
  4. Pour activer la synchronisation bidirectionnelle sur un abonnement, localisez l’abonnement dans la liste et choisissez Activé dans la liste déroulante de la colonne Synchronisation bidirectionnelle. Pour activer la synchronisation bidirectionnelle sur plusieurs abonnements à la fois, cochez les cases correspondantes et sélectionnez le bouton Activer la synchronisation bidirectionnelle dans la barre située au-dessus de la liste.

    Notes

    • Les cases à cocher et les listes déroulantes ne sont actives que sur les abonnements pour lesquels vous disposez des autorisations requises.
    • Le bouton Activer la synchronisation bidirectionnelle n’est actif que si la case d’au moins un abonnement a été cochée.
  5. Dans la colonne Plans Microsoft Defender de la liste, vous pouvez voir si les plans Microsoft Defender sont activés sur votre abonnement (condition préalable à l’activation du connecteur). La valeur de chaque abonnement dans cette colonne est vide (ce qui signifie qu’aucun plan Defender n’est activé), « Tous activés » ou « certains activés ». Ceux qui indiquent « certains activés » disposent également d’un lien Activer tout que vous pouvez sélectionner, qui vous permet d’accéder à votre tableau de bord de configuration Microsoft Defender pour le cloud pour cet abonnement, où vous pouvez choisir les plans Defender à activer. Le bouton de lien Activer Microsoft Defender pour tous les abonnements dans la barre située au-dessus de la liste vous mènera à votre page de démarrage de Microsoft Defender pour le Cloud, où vous pouvez choisir sur quels abonnements activer Microsoft Defender pour le Cloud.

    Capture d’écran de la configuration du connecteur Microsoft Defender pour Cloud

  6. Vous pouvez décider que les alertes provenant de Microsoft Defender pour le Cloud génèrent automatiquement des incidents dans Microsoft Sentinel. Sous Créer des incidents, sélectionnez Activé pour activer la règle d’analyse par défaut qui crée automatiquement des incidents à partir d’alertes. Vous pouvez ensuite modifier cette règle sous Analytique, sous l’onglet Règles actives.

    Conseil

    Lorsque vous configurez des règles d’analyse personnalisées pour des alertes provenant de Microsoft Defender pour le Cloud, tenez compte de la gravité de l’alerte pour éviter d’ouvrir des incidents pour des alertes d’information.

    Les alertes d’information dans Microsoft Defender pour le Cloud ne représentent pas un risque de sécurité en soi et ne sont pertinentes que dans le contexte d’un incident existant et ouvert. Pour plus d’informations, consultez Alertes et incidents de sécurité dans Microsoft Defender pour le cloud.

Rechercher et analyser vos données

Notes

La synchronisation des alertes dans les deux sens peut prendre quelques minutes. Les modifications de l’état des alertes peuvent ne pas être affichées immédiatement.

  • Les alertes de sécurité sont stockées dans la table SecurityAlert de votre espace de travail Log Analytics.

  • Pour interroger les alertes de sécurité dans Log Analytics, copiez le code suivant dans votre fenêtre de requête comme point de départ :

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Consultez l’onglet Étapes suivantes dans la page du connecteur pour obtenir d’autres exemples de requêtes utiles, des modèles de règles d’analyse et des recommandations de classeurs.

Étapes suivantes

Dans ce document, vous avez appris à connecter Microsoft Defender pour le Cloud à Microsoft Sentinel et à synchroniser les alertes entre eux. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :