Exportation continue des données de Microsoft Defender pour le cloud

Microsoft Defender pour le cloud génère des alertes de sécurité et des recommandations détaillées. Pour analyser les informations contenues dans ces alertes et suggestions, vous pouvez les exporter vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique. Vous pouvez diffuser en continu les alertes et les suggestions à mesure qu’elles sont générées ou définir une planification pour envoyer des instantanés périodiques de toutes les nouvelles données.

Lorsque vous mettez en place l’exportation continue, vous pouvez personnaliser entièrement les informations à exporter et leur destination. Par exemple, vous pouvez la configurer de sorte que :

  • Toutes les alertes de gravité élevée sont envoyées à un Event Hub Azure.
  • Tous les résultats de gravité moyenne ou plus élevée issus des analyses d’évaluation des vulnérabilités de vos ordinateurs exécutant SQL Server sont envoyés à un espace de travail Log Analytics spécifique.
  • Les suggestions spécifiques sont transmises à un Event Hub ou à un espace de travail Log Analytics lorsqu’elles sont générées.
  • Le score sécurisé pour un abonnement est envoyé à un espace de travail Log Analytics chaque fois que le score d’un contrôle change de 0,01 ou plus.

Cet article explique comment mettre en place l’exportation continue vers un espace de travail Log Analytics ou vers un Event Hub dans Azure.

Conseil

Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Pour plus d’informations, consultez Exportation manuelle des alertes de sécurité.

Disponibilité

Aspect Détails
Statut de la version : Disponibilité générale
Prix : Gratuit
Rôles et autorisations obligatoires :
  • Administrateur de sécurité ou Propriétaire pour le groupe de ressources.
  • Autorisations en écriture pour la ressource cible.
  • Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
  • Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
  • Pour exporter vers un espace de travail Log Analytics :
    • S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/read.
    • S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/action.
    • En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.
Clouds : Clouds commerciaux
Nationaux (Azure Government, Microsoft Azure géré par 21Vianet)

Quels types de données peuvent être exportés ?

Vous pouvez utiliser l’exportation continue pour exporter les types de données suivants à chaque modification :

Configurer une exportation continue

Vous pouvez mettre en place l’exportation continue sur les pages Defender pour le cloud dans le Portail Azure, en utilisant l’API REST, ou à grande échelle en utilisant les modèles Azure Policy fournis.

Mettre en place l’exportation continue sur les pages Defender pour le cloud dans le Portail Azure

Pour mettre en place une exportation continue vers Log Analytics ou vers Azure Event Hubs en utilisant le Portail Microsoft Azure :

  1. Dans le menu des ressources de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  2. Sélectionnez l’abonnement pour lequel vous souhaitez configurer l’exportation de données.

  3. Dans le menu de la ressource sous Paramètres, sélectionnez Exportation continue.

    Screenshot that shows the export options in Microsoft Defender for Cloud.

    Les options d’exportation s’affichent. Il existe un onglet pour chaque cible d’exportation disponible, que ce soit un espace de travail Event Hub ou Log Analytics.

  4. Sélectionnez le type de données que vous souhaitez exporter, puis choisissez les filtres à appliquer sur chaque type (par exemple, exporter uniquement les alertes d’un niveau de gravité élevé).

  5. Sélectionnez la fréquence d’exportation :

    • Diffusion en continu. Les évaluations sont envoyées quand l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour n’est effectuée, aucune donnée n’est envoyée).
    • Instantanés. Une capture instantanée de l’état actuel des types de données sélectionnés qui est envoyée une fois par semaine et par abonnement. Pour identifier les données de capture instantanée, recherchez le champ IsSnapshot.

    Si votre sélection inclut l’une de ces suggestions, vous pouvez inclure les résultats de l’évaluation des vulnérabilités :

    Pour inclure les résultats avec ces suggestions, réglez le paramètres Intégrer les découvertes de sécurité sur Oui.

    Screenshot that shows the Include security findings toggle in a continuous export configuration.

  6. Sous Cible d’exportation, choisissez l’emplacement où enregistrer les données. Les données peuvent être enregistrées à un emplacement cible dans un autre abonnement (par exemple, dans une instance Event Hubs centrale ou dans un espace de travail Log Analytics central).

    Vous pouvez également envoyer les données à un espace de travailEvent Hub ou Log Analytics dans un autre locataire.

  7. Sélectionnez Enregistrer.

Remarque

Log Analytics ne prend en charge que les enregistrements de 32 Ko maximum seulement. Lorsque la limite de données est atteinte, une alerte affiche le message La limite de donnée sa été dépassée.

Exporter vers un espace de travail Log Analytics

Si vous voulez analyser des données Microsoft Defender pour le cloud dans un espace de travail Log Analytics ou utiliser des alertes Azure avec des alertes Defender pour le cloud, configurez l’exportation continue vers votre espace de travail Log Analytics.

Tables et schémas Log Analytics

Les alertes et les recommandations de sécurité sont stockées dans les tables SecurityAlert et SecurityRecommendation respectivement.

Le nom de la solution Log Analytics qui contient ces tables varie selon que vous avez activé les fonctionnalités de sécurité renforcée : Security (la solution Security and Audit) ou SecurityCenterFree.

Conseil

Pour afficher les données dans l’espace de travail de destination, vous devez activer l’une de ces solutions : Security and Audit ou SecurityCenterFree.

Screenshot that shows the SecurityAlert table in Log Analytics.

Pour afficher les schémas d’événements des types de données exportés, consultez schémas de table Log Analytics.

Exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire

Vous ne pouvez pas configurer les données à exporter vers un espace de travail Log Analytics dans un autre locataire si vous utilisez Azure Policy pour affecter la configuration. Ce processus ne fonctionne que si vous utilisez l'API REST pour attribuer la configuration et que celle-ci n'est pas prise en charge par le Portail Microsoft Azure (parce qu'elle nécessite un contexte multi-locataire). Azure Lighthouse ne résout pas ce problème avec Azure Policy, bien que vous puissiez utiliser Azure Lighthouse comme méthode d’authentification.

Lorsque vous collectez des données dans un locataire, vous pouvez analyser les données à partir d’un emplacement central.

Pour exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire :

  1. Dans le locataire disposant de l’espace de travail Log Analytics ou Event Hubs, invitez un utilisateur du locataire qui héberge la configuration d’exportation continue, ou vous pouvez configurer Azure Lighthouse pour le locataire source et de destination.
  2. Si vous utilisez l'accès des utilisateurs invités d'entreprise à entreprise (B2B) dans Microsoft Entra ID, assurez-vous que l'utilisateur accepte l'invitation à accéder au locataire en tant qu'invité.
  3. Si vous utilisez un espace de travail Log Analytics, affectez à l’utilisateur dans le locataire de l’espace de travail l’un des rôles suivants : Propriétaire, Contributeur, Contributeur Log Analytics, Contributeur Sentinel ou Contributeur d’analyse.
  4. Créez et envoyez la requête à l’API REST Azure pour configurer les ressources requises. Vous devez gérer les jetons du porteur dans le contexte du locataire local (espace de travail) et du locataire distant (exportation continue).

Exporter continuellement vers un Event Hub se trouvant derrière un pare-feu

Vous pouvez activer l’exportation continue en tant que service approuvé afin de pouvoir envoyer des données vers un Event Hub sur lequel Pare-feu Azure est activé.

Pour accorder l’accès à l’exportation continue en tant que service approuvé :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

  3. Sélectionnez la ressource appropriée.

  4. Sélectionnez Exportation continue.

  5. Sélectionnez Exporter en tant que service approuvé.

    Screenshot that shows where the checkbox is located to select export as trusted service.

Vous devez ajouter l’attribution de rôle appropriée à l’Event Hub de destination.

Pour ajouter l’attribution de rôle appropriée à l’Event Hub de destination :

  1. Accédez à l’Event Hub sélectionné.

  2. Dans le menu ressource, sélectionnez Contrôle d’accès (IAM)>Ajouter une attribution de rôle.

    Screenshot that shows the Add role assignment button.

  3. Sélectionnez Expéditeur de données Azure Event Hubs.

  4. Sélectionnez l’onglet Membres.

  5. Choisissez + Sélectionner des membres.

  6. Recherchez puis sélectionnez Fournisseur de ressources de sécurité Windows Azure.

    Screenshot that shows you where to enter and search for Microsoft Azure Security Resource Provider.

  7. Sélectionnez Vérifier + attribuer.

Voir les alertes et les recommandations exportées dans Azure Monitor

Vous pouvez choisir de voir les alertes de sécurité exportées ou les suggestions dans Azure Monitor.

Azure Monitor fournit une expérience d’alerte unifiée pour différentes alertes Azure, dont un journal de diagnostic, les alertes de métriques et les alertes personnalisées qui sont basées sur des requêtes d’espace de travail Log Analytics.

Pour voir les alertes et les suggestions à partir de Defender pour le cloud dans Azure Monitor, configurez une règle d’alerte en fonction des requêtes Log Analytics (une alerte de journal) :

  1. Sur la page Alertes Azure Monitor, sélectionnez Nouvelle règle d’alerte.

    Screenshot that shows the Azure Monitor alerts page.

  2. Sur le volet Créer une règle, mettez en place votre nouvelle règle de la même façon que vous configurez une règle d’alerte de journal dans Azure Monitor :

    • Pour Ressource, sélectionnez l’espace de travail Log Analytics vers lequel vous avez exporté des alertes de sécurité et des recommandations.

    • Pour Condition, sélectionnez Recherche personnalisée dans les journaux. Dans la page qui s’affiche, configurez la requête, la période de recherche arrière et la période de fréquence. Dans la requête de recherche, vous pouvez saisir SecurityAlert ou SecurityRecommendation pour interroger les types de données vers lequel Defender pour le cloud exporte en continu quand vous activez la fonctionnalité d’exportation continue vers Log Analytics.

    • Si vous le souhaitez, créez un groupe d’actions à déclencher. Les groupes d'action peuvent automatiser l'envoi d'un courriel, la création d'un ticket ITSM, l'exécution d'un webhook, etc. en fonction d'un événement survenu dans votre environnement.

    Screenshot that shows the Azure Monitor create alert rule pane.

Les suggestions ou alertes Defender pour le cloud s’affichent (en fonction de vos règles d’exportation continue configurées et de la condition que vous avez définie dans votre règle d’alerte Azure Monitor) dans des alertes Azure Monitor, avec un déclenchement automatique d’un groupe d’actions (le cas échéant).

Exportez manuellement les alertes et les suggestions

Pour télécharger un fichier CSV qui liste les alertes ou les suggestions, accédez à la page Alertes de sécurité ou à la page Recommandations, puis sélectionnez le bouton Télécharger le rapport CSV.

Conseil

En raison des limitations d'Azure Resource Graph, les rapports sont limités à une taille de fichier de 13 000 lignes. Si vous constatez des erreurs liées à l’exportation d’un trop grand nombre de données, essayez de limiter la sortie en sélectionnant un plus petit ensemble d’abonnements à exporter.

Screenshot that shows how to download alerts data as a CSV file.

Remarque

Ces rapports contiennent les alertes et les recommandations générées pour les ressources incluses dans les abonnements actuellement sélectionnés.

Dans cet article, vous avez appris à configurer des exportations continues de vos alertes et recommandations. Vous avez également appris à télécharger vos données d’alertes dans un fichier CSV.

Pour afficher le contenu associé :