Partage via


Alertes et incidents dans Microsoft Defender XDR

Microsoft Defender pour le cloud est maintenant intégré à Microsoft Defender XDR. Cette intégration permet aux équipes de sécurité d'accéder aux alertes et aux incidents de Defender pour le cloud dans le portail Microsoft Defender. Cette intégration permet d'enrichir le contexte des enquêtes qui portent sur les ressources, les appareils et les identités dans le cloud.

Le partenariat avec Microsoft Defender XDR permet aux équipes de sécurité d’obtenir la vue d’ensemble complète d’une attaque, notamment les événements suspects et malveillants qui se produisent dans leur environnement cloud. Les équipes de sécurité peuvent atteindre cet objectif grâce à des corrélations immédiates d’alertes et d’incidents.

Microsoft Defender XDR offre une solution complète qui réunit les fonctionnalités de protection, de détection, d’investigation et de réponse. La solution protège contre les attaques sur les appareils, les e-mails, la collaboration, les identités et les applications cloud. Nos capacités de détection et d'investigation sont désormais étendues aux entités cloud, offrant aux équipes chargées des opérations de sécurité un seul et même écran qui leur permet d'améliorer considérablement leur efficacité opérationnelle.

Les incidents et les alertes font maintenant partie de l’API publique de Microsoft Defender XDR. Cette intégration permet d'exporter les données relatives aux alertes de sécurité vers n'importe quel système à l'aide d'une API unique. En tant que Microsoft Defender pour le cloud, nous nous engageons à fournir à nos utilisateurs les meilleures solutions de sécurité possibles, et cette intégration est une étape importante vers la réalisation de cet objectif.

Expérience d’investigation dans Microsoft Defender XDR

Le tableau suivant décrit l’expérience de détection et d’investigation dans Microsoft Defender XDR avec les alertes Defender pour le cloud.

Domaine Description
Incidents Tous les incidents Defender pour le cloud sont intégrés à Microsoft Defender XDR.
- La recherche de ressources cloud dans la file d’attente d’incidents est prise en charge.
- Le graphique de l’histoire d’attaque montre la ressource cloud.
- L’onglet ressources d’une page d’incident affiche la ressource cloud.
- Chaque machine virtuelle possède sa propre page d'entité contenant toutes les alertes et activités connexes.

Il n'y a pas de duplication d'incidents provenant d'autres charges de travail Defender.
Alertes Toutes les alertes Defender pour le cloud, y compris les alertes de fournisseurs multicloud, internes et externes, sont intégrées à Microsoft Defender XDR. Les alertes Defender pour le cloud s’affichent dans la file d’attente des alertes de Microsoft Defender XDR.
Microsoft Defender XDR
La ressource cloud resource s’affiche sous l’onglet Ressource d’une alerte. Les ressources sont clairement identifiées comme étant des ressources Azure, Amazon ou Google Cloud.

Les alertes de Defenders pour le cloud sont automatiquement associées à un locataire.

Il n'y a pas de duplication d'alertes provenant d'autres charges de travail Defender.
Corrélation des alertes et des incidents Les alertes et les incidents sont automatiquement mis en corrélation, ce qui permet aux équipes chargées des opérations de sécurité de disposer d'un contexte solide pour comprendre l'ensemble des attaques dans leur environnement cloud.
Détection de menaces Correspondance précise entre les entités virtuelles et les entités matérielles afin de garantir la précision et l'efficacité de la détection des menaces.
API unifiée Les alertes et incidents Defender pour le cloud sont maintenant inclus dans l’API publique de Microsoft Defender XDR, ce qui permet aux clients d’exporter leurs données d’alertes de sécurité dans d’autres systèmes à l’aide d’une seule API.

En savoir plus sur la gestion des alertes dans Microsoft Defender XDR.

Repérage avancé en XDR

Les fonctionnalités de repérage avancées de Microsoft Defender XDR sont étendues pour inclure les alertes et incidents Defender pour le cloud. Cette intégration permet aux équipes de sécurité de chasser toutes leurs ressources, appareils et identités cloud dans une seule requête.

L’expérience de chasse avancée dans Microsoft Defender XDR est conçue pour fournir aux équipes de sécurité la flexibilité nécessaire pour créer des requêtes personnalisées pour rechercher des menaces dans leur environnement. L’intégration à Defender pour les alertes et incidents cloud permet aux équipes de sécurité de rechercher des menaces sur leurs ressources, appareils et identités cloud.

La table CloudAuditEvents dans la chasse avancée vous permet de rechercher des événements d’audit cloud dans Microsoft Defender pour cloud et de créer des détections personnalisées pour exposer les activités suspectes du plan de contrôle Azure Resource Manager et Kubernetes (KubeAudit).

Clients Sentinel

Les clients Microsoft Sentinel peuvent tirer parti de l’intégration de Defender pour le cloud à Microsoft 365 Defender dans leurs espaces de travail en utilisant le connecteur d’incidents et d’alertes Microsoft 365 Defender.

Vous devez tout d’abord activer l’intégration des incidents dans votre connecteur Microsoft 365 Defender.

Ensuite, activez le connecteur Tenant-based Microsoft Defender for Cloud (Preview) pour synchroniser vos abonnements avec vos incidents Defender pour le cloud basés sur les locataires afin de passer par le connecteur d’incidents Microsoft 365 Defender.

Le connecteur est disponible via la solution Microsoft Defender pour le cloud version 3.0.0 dans le hub de contenu. Si vous disposez d’une version antérieure de cette solution, vous pouvez la mettre à niveau dans le hub de contenu.

Si le connecteur d’alertes Microsoft Defender pour le cloud basées sur les abonnements hérité est activé (qui apparaît sous le nom Subscription-based Microsoft Defender for Cloud (Legacy)), nous vous recommandons de le déconnecter afin d’empêcher la duplication d’alertes dans vos journaux.

Nous vous recommandons de désactiver les règles analytiques qui sont activées (planifiées ou par le biais de règles de création Microsoft) de la création d’incidents à partir de vos alertes Defender pour le cloud.

Vous pouvez utiliser des règles d’automatisation pour fermer immédiatement les incidents et empêcher des types spécifiques d’alertes Defender pour le cloud de devenir des incidents. Vous pouvez également utiliser les fonctionnalités de réglage intégrées dans le portail Microsoft 365 Defender pour empêcher les alertes de devenir des incidents.

Les clients qui ont intégré leurs incidents Microsoft 365 Defender dans Sentinel et qui souhaitent garder leurs paramètres basés sur les abonnements et éviter la synchronisation basée sur les locataires peuvent refuser la synchronisation des incidents et des alertes via le connecteur Microsoft 365 Defender.

Découvrez comment Defender pour le cloud et Microsoft 365 Defender gèrent la confidentialité de vos données.

Alertes de sécurité - guide de référence