Exportation continue des données de Microsoft Defender pour le cloud

Microsoft Defender pour le cloud génère des alertes de sécurité et des recommandations détaillées. Pour analyser les informations contenues dans ces alertes et recommandations, vous pouvez les exporter vers Azure Log Analytics, Event Hubs ou vers une autre solution SIEM, SOAR ou management des services informatiques. Vous pouvez diffuser en continu les alertes et les recommandations à mesure qu’elles sont générées ou définir une planification pour envoyer des instantanés périodiques de toutes les nouvelles données.

Avec l’exportation continue, vous pouvez personnaliser entièrement ce qui sera exporté et à quel endroit. Par exemple, vous pouvez la configurer de sorte que :

  • Toutes les alertes de gravité élevée sont envoyées à un Event Hub Azure
  • Tous les résultats de gravité moyenne ou plus élevée issus des analyses d’évaluation des vulnérabilités de vos serveurs SQL sont envoyés à un espace de travail Log Analytics spécifique
  • Les recommandations spécifiques sont transmises à un Event Hub ou à un espace de travail Log Analytics lorsqu’elles sont générées
  • Le score sécurisé pour un abonnement est envoyé à un espace de travail Log Analytics chaque fois que le score d’un contrôle change de 0,01 ou plus

Cet article explique comment configurer l’exportation continue vers des espaces de travail Log Analytics ou vers Azure Event Hubs.

Conseil

Defender pour le cloud offre également la possibilité d’effectuer une exportation manuelle ponctuelle au format CSV. Pour plus d’informations, consultez Exportation ponctuelle et manuelle des alertes de sécurité.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Gratuit
Rôles et autorisations obligatoires :
  • Administrateur de sécurité ou Propriétaire sur le groupe de ressources
  • Autorisations en écriture pour la ressource cible.
  • Si vous utilisez les stratégies Azure Policy « DeployIfNotExist », vous aurez également besoin d’autorisations pour attribuer des stratégies
  • Pour exporter des données vers Event Hubs, vous devez disposer de l’autorisation en écriture sur la Stratégie Hub d’événements.
  • Pour exporter vers un espace de travail Log Analytics :
    • s’il possède la solution SecurityCenterFree, vous avez besoin d’autorisations de lecture au minimum pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/read
    • s’il ne possède pas la solution SecurityCenterFree, vous devez disposer d’autorisations d’écriture pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/action
    • En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics
Clouds : Clouds commerciaux
National (Azure Government, Azure China 21Vianet)

Quels types de données peuvent être exportés ?

L’exportation continue peut exporter les types de données suivants à chaque modification :

Configurer une exportation continue

Vous pouvez configurer l’exportation continue à partir des pages Defender pour le cloud dans le Portail Azure, via l’API REST, ou à grande échelle à l’aide des modèles Azure Policy fournis.

Configurer l’exportation continue à partir des pages Defender pour le cloud dans le Portail Azure

Si vous configurez une exportation continue vers Log Analytics ou vers Azure Event Hubs :

  1. Dans le menu de Defender pour le cloud, ouvrez Paramètres de l’environnement.

  2. Sélectionnez l’abonnement pour lequel vous souhaitez configurer l’exportation de données.

  3. Dans la barre latérale de la page de paramètres de cet abonnement, sélectionnez Exportation continue.

    Options d’exportation dans Microsoft Defender pour le cloud.

    Les options d’exportation sont affichées ici. Il existe un onglet pour chaque cible d’exportation disponible, que ce soit un espace de travail Event Hubs or Log Analytics.

  4. Sélectionnez le type de données que vous souhaitez exporter, puis choisissez les filtres à appliquer sur chaque type (par exemple, exporter uniquement les alertes d’un niveau de gravité élevé).

  5. Sélectionnez la fréquence d’exportation :

    • Streaming : les évaluations sont envoyées quand l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour n’est effectuée, aucune donnée n’est envoyée).
    • Captures instantanées - Une capture instantanée de l’état actuel des types de données sélectionnés est envoyée une fois par semaine et par abonnement. Pour identifier les données de capture instantanée, recherchez le champ IsSnapshot.

    Si votre sélection inclut l’une de ces recommandations, vous pouvez inclure les résultats de l’évaluation des vulnérabilités :

    Pour inclure les résultats avec ces recommandations, activez l’option Intégrer les découvertes de sécurité.

    Activer/désactiver Inclure les résultats de sécurité dans la configuration de l’exportation continue.

  6. À partir de la zone « Cible d’exportation », choisissez l’emplacement où enregistrer les données. Les données peuvent être enregistrées à un emplacement cible dans un autre abonnement (par exemple, sur une instance Event Hubs centrale ou un espace de travail Log Analytics central).

    Vous pouvez également envoyer les données à un espace de travail Event Hubs ou Log Analytics dans un autre locataire.

  7. Sélectionnez Enregistrer.

Notes

Log Analytics prend en charge les enregistrements de 32 Ko maximum seulement. Lorsque la limite de données est atteinte, une alerte vous indique Data limit has been exceeded.

Exportation vers un espace de travail Log Analytics

Si vous voulez analyser des données Microsoft Defender pour le cloud dans un espace de travail Log Analytics ou utiliser des alertes Azure avec des alertes Defender pour le cloud, configurez l’exportation continue vers votre espace de travail Log Analytics.

Tables et schémas Log Analytics

Les alertes et les recommandations de sécurité sont stockées dans les tables SecurityAlert et SecurityRecommendation respectivement.

Le nom de la solution Log Analytics contenant ces tables varie selon que vous avez activé les fonctionnalités de sécurité renforcée : Security (« Security and Audit ») ou SecurityCenterFree.

Conseil

Pour afficher les données dans l’espace de travail de destination, vous devez activer l’une de ces solutions : Security and Audit ou SecurityCenterFree.

Table SecurityAlert dans Log Analytics.

Pour afficher les schémas d’événements des types de données exportés, visitez les schémas de table Log Analytics.

Exporter des données vers un espace de travail Azure Event Hub ou Log Analytics dans un autre locataire

Vous pouvez exporter des données vers un hub d’événements Azure ou un espace de travail Log Analytics dans un autre locataire, sans utiliser Azure Lighthouse. Lors de la collecte de données dans un locataire, vous pouvez analyser les données à partir d’un emplacement central.

Pour exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire :

  1. Dans le locataire disposant de l’espace de travail Azure Event Hub ou Log Analytics, invitez un utilisateur du locataire qui héberge la configuration d’exportation continue.
  2. Pour un espace de travail Log Analytics : une fois que l’utilisateur a accepté l’invitation à rejoindre le locataire, affectez à l’utilisateur dans le locataire de l’espace de travail l’un des rôles suivants : Propriétaire, Contributeur, Contributeur Log Analytics, Contributeur Sentinel, Contributeur d’analyse
  3. Configurez la configuration de l’exportation continue et sélectionnez l’espace de travail Event Hub ou Log Analytics vers lequel envoyer les données.

Vous pouvez également configurer l’exportation vers un autre locataire via l’API REST. Pour plus d’informations, consultez les automationsAPI REST.

Exporter continuellement vers un Event Hub derrière un pare-feu

Vous pouvez activer l’exportation continue en tant que service approuvé, afin de pouvoir envoyer des données à un Event Hub sur lequel un Pare-feu Azure est activé.

Pour accorder l’accès à l’exportation continue en tant que service approuvé :

  1. Connectez-vous au Portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

  3. Sélectionnez la ressource appropriée.

  4. Sélectionnez Exportation continue.

  5. Sélectionnez Exporter en tant que service approuvé.

    Capture d’écran indiquant où se trouve la case à cocher pour sélectionner l’exportation en tant que service approuvé.

Vous devez maintenant ajouter l’attribution de rôle appropriée sur l’Event Hub de destination.

Pour ajouter l’attribution de rôle appropriée sur l’Event Hub de destination :

  1. Accédez à l’Event Hub sélectionné.

  2. Sélectionnez Contrôle d’accès>Attributions de rôles

    Capture d’écran montrant où se trouve le bouton Ajouter une attribution de rôle.

  3. Sélectionnez Expéditeur de données Azure Event Hubs.

  4. Sélectionnez l’onglet Membres.

  5. Sélectionnez + Sélectionner des membres.

  6. Recherchez et sélectionnez Fournisseur de ressources de sécurité Windows Azure.

    Capture d’écran montrant où entrer et rechercher le fournisseur de ressources de sécurité Windows Azure.

  7. Sélectionnez Vérifier + attribuer.

Voir les alertes et les recommandations exportées dans Azure Monitor

Vous pouvez choisir de voir les alertes de sécurité exportées et/ou les recommandations dans Azure Monitor.

Azure Monitor fournit une expérience d’alerte unifiée pour différentes alertes Azure, dont le Journal de diagnostic, les Alertes de métriques et les alertes personnalisées basées sur des requêtes d’espace de travail Log Analytics.

Pour voir les alertes et les recommandations à partir de Defender pour le cloud dans Azure Monitor, configurez une règle d’alerte en fonction des requêtes Log Analytics (Alerte de journal) :

  1. Dans la page Alertes d’Azure Monitor, sélectionnez Nouvelle règle d’alerte.

    Page d’alertes Azure Monitor

  2. Dans la page Créer une règle, configurez votre nouvelle règle (de la même façon que vous configurez une règle d’alerte de journal dans Azure Monitor) :

    • Pour Ressource, sélectionnez l’espace de travail Log Analytics vers lequel vous avez exporté des alertes de sécurité et des recommandations.

    • Pour Condition, sélectionnez Recherche personnalisée dans les journaux. Dans la page qui s’affiche, configurez la requête, la période de recherche arrière et la période de fréquence. Dans la requête de recherche, vous pouvez taper SecurityAlert ou SecurityRecommendation pour interroger les types de données vers lequel Defender pour le cloud exporte en continu quand vous activez la fonctionnalité d’exportation continue vers Log Analytics.

    • Vous pouvez éventuellement configurer le Groupe d’actions que vous souhaitez déclencher. Les groupes d’actions peuvent déclencher l’envoi d’e-mails, des tickets ITSM, des webhooks, et plus encore. Règle d’alerte Azure Monitor.

Vous voyez maintenant de nouvelles alertes ou recommandations Microsoft Defender pour le cloud (en fonction des règles d’exportation continue configurées et de la condition que vous avez définie dans votre règle d’alerte Azure Monitor) dans les alertes Azure Monitor, avec le déclenchement automatique d’un groupe d’actions (le cas échéant).

Exportation ponctuelle et manuelle des alertes de sécurité

Pour télécharger un rapport CSV pour les alertes ou les recommandations, ouvrez la page Alertes de sécurité ou Recommandations, puis sélectionnez le bouton Télécharger le rapport CSV.

Conseil

En raison des limitations d’Azure Resource Graph, les rapports sont limités à une taille de fichier de 13 000 lignes. Si vous constatez des erreurs liées à l’exportation d’un trop grand nombre de données, essayez de limiter la sortie en sélectionnant un plus petit ensemble d’abonnements à exporter.

Télécharger les données d’alertes dans un fichier CSV.

Notes

Ces rapports contiennent les alertes et les recommandations générées pour les ressources incluses dans les abonnements actuellement sélectionnés.

FAQ – Exportation continue

Quels sont les coûts liés à l’exportation des données ?

L’activation d’une exportation continue n’entraîne aucun coût. Des coûts peuvent résulter de l’ingestion et de la rétention de données dans votre espace de travail Log Analytics, en fonction de la configuration que vous définissez ici.

De nombreuses alertes sont fournies uniquement lorsque vous avez activé les plans Defender pour vos ressources. Pour afficher les alertes obtenues dans vos données exportées, vous pouvez afficher les alertes présentées dans les pages Defender pour le cloud du Portail Azure.

Pour en savoir plus, consultez la tarification de l’espace de travail Log Analytics.

En savoir plus sur les tarifs Azure Event Hubs.

L’exportation inclut-elle des données sur l’état actuel de toutes les ressources ?

Non. L’exportation continue est générée pour le streaming d’événements :

  • Les alertes reçues avant l’activation de l’exportation ne sont pas exportées.
  • Des recommandations sont envoyées dès que l’état de conformité d’une ressource change. Par exemple, lorsqu’une ressource passe de l’état sain à l’état non sain. Par conséquent, comme pour les alertes, les recommandations liées aux ressources dont l’état n’a pas changé depuis l’activation de l’exportation ne sont pas exportées.
  • Le score sécurisé par contrôle de sécurité ou abonnement est envoyé lorsque le score d’un contrôle de sécurité change de 0,01 ou plus.
  • L’état de conformité réglementaire est envoyé lorsque l’état de conformité de la ressource change.

Pourquoi les recommandations sont-elles envoyées à des intervalles différents ?

Différentes recommandations ont des intervalles d’évaluation de la conformité différents, qui peuvent varier de quelques minutes à plusieurs jours. Ainsi, le temps nécessaire à l’affichage des recommandations dans vos exportations varie.

L’exportation continue prend-elle en charge les scénarios de continuité d’activité et de reprise d’activité (BCDR) ?

L’exportation continue peut être utile pour préparer les scénarios BCDR où la ressource cible subit une panne ou un autre sinistre. Cependant, il incombe à l’organisation d’empêcher toute perte de données en créant des sauvegardes selon les instructions des espaces de travail Azure Event Hubs, Log Analytics et de Logic App.

Pour en savoir plus, consultez Azure Event Hubs - Géorécupération d’urgence.

Quelles sont les autorisations de stratégie SAS minimales requises lors de l’exportation de données vers Azure Event Hubs ?

Envoi correspond aux autorisations de stratégie SAS minimales requises. Pour obtenir des instructions pas à pas, consultez Étape 1. Créer un espace de noms Event Hubs et un hub d’événements avec des autorisations d’envoi dans cet article.

Étapes suivantes

Dans cet article, vous avez appris à configurer des exportations continues de vos alertes et recommandations. Vous avez également appris à télécharger vos données d’alertes dans un fichier CSV.

Pour des informations connexes, consultez la documentation suivante :