Configurer l’exportation continue dans le portail Azure

Microsoft Defender pour le cloud génère des alertes de sécurité et des recommandations détaillées. Pour analyser les informations contenues dans ces alertes et suggestions, vous pouvez les exporter vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique. Vous pouvez diffuser en continu les alertes et les suggestions à mesure qu’elles sont générées ou définir une planification pour envoyer des instantanés périodiques de toutes les nouvelles données.

Cet article explique comment mettre en place l’exportation continue vers un espace de travail Log Analytics ou vers un Event Hub dans Azure.

Conseil

Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Découvrez comment télécharger un fichier CSV.

Prérequis

• Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.

• Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.

Rôles et autorisations obligatoires :

• Administrateur de sécurité ou Propriétaire pour le groupe de ressources
• Autorisations en écriture pour la ressource cible.
• Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
• Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
• Pour exporter vers un espace de travail Log Analytics :

  • S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/read.

  • S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/action.

    En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.

Configurer l’exportation continue dans le portail Azure

Vous pouvez mettre en place l’exportation continue sur les pages Microsoft Defender pour le cloud dans le Portail Azure, en utilisant l’API REST, ou à grande échelle en utilisant les modèles Azure Policy fournis.

Pour configurer l’exportation continue vers Log Analytics ou vers Azure Event Hubs en utilisant le portail Microsoft Azure :

1. Dans le menu des ressources de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

2. Sélectionnez l’abonnement pour lequel vous souhaitez configurer l’exportation de données.

3. Dans le menu de la ressource sous Paramètres, sélectionnez Exportation continue.

   

   Les options d’exportation s’affichent. Il existe un onglet pour chaque cible d’exportation disponible, que ce soit un espace de travail Event Hub ou Log Analytics.

4. Sélectionnez le type de données que vous souhaitez exporter, puis choisissez les filtres à appliquer sur chaque type (par exemple, exporter uniquement les alertes d’un niveau de gravité élevé).

5. Sélectionnez la fréquence d’exportation :

   • Diffusion en continu. Les évaluations sont envoyées quand l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour n’est effectuée, aucune donnée n’est envoyée).
   • Instantanés. Une capture instantanée de l’état actuel des types de données sélectionnés qui est envoyée une fois par semaine et par abonnement. Pour identifier les données de capture instantanée, recherchez le champ IsSnapshot.

   Si votre sélection inclut l’une de ces suggestions, vous pouvez inclure les résultats de l’évaluation des vulnérabilités :

   • Les résultats des vulnérabilités des bases de données SQL doivent être résolus
   • Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
   • Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus (avec Qualys)
   • Vous devez résoudre les vulnérabilités découvertes des bases des machines
   • Les mises à jour système doivent être installées sur vos machines

   Pour inclure les résultats avec ces suggestions, réglez le paramètres Intégrer les découvertes de sécurité sur Oui.

   

6. Sous Cible d’exportation, choisissez l’emplacement où enregistrer les données. Les données peuvent être enregistrées à un emplacement cible dans un autre abonnement (par exemple, dans une instance Event Hubs centrale ou dans un espace de travail Log Analytics central).

   Vous pouvez également envoyer les données vers un hub d’événements ou un espace de travail Log Analytics dans un autre locataire

7. Sélectionnez Enregistrer.

Remarque

Log Analytics ne prend en charge que les enregistrements de 32 Ko maximum seulement. Lorsque la limite de données est atteinte, une alerte affiche le message La limite de donnée sa été dépassée.

Contenu connexe

Dans cet article, vous avez appris à configurer des exportations continues de vos alertes et recommandations. Vous avez également appris à télécharger vos données d’alertes dans un fichier CSV.

Pour afficher le contenu associé :

• En savoir plus sur les modèles d’automatisation de workflow.
• Consultez la Documentation Azure Event Hubs.
• En savoir plus sur Microsoft Sentinel.
• Examinez la Documentation Azure Monitor.
• Apprenez comment exporter des schémas de types de données.
• Consultez les questions courantes sur l’exportation continue.