Diffuser des alertes vers des solutions de monitoring

Microsoft Defender pour le cloud est capable de diffuser en continu vos alertes de sécurité vers diverses solutions SIEM, SOAR et ITSM. Les alertes de sécurité sont générées lorsque des menaces sont détectées sur vos ressources. Microsoft Defender pour le cloud hiérarchise et répertorie les alertes sur la page Alertes, ainsi que des informations supplémentaires nécessaires pour examiner rapidement le problème. Des étapes détaillées sont fournies pour vous aider à corriger la menace détectée. Toutes les données d’alerte sont conservées pendant 90 jours.

Des outils Azure intégrés sont disponibles pour vous assurer que vous pouvez afficher vos données d’alerte dans les solutions suivantes :

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar d’IBM
  • Palo Alto Networks
  • ArcSight

Diffuser en continu des alertes vers Defender XDR avec l’API Defender XDR

Microsoft Defender pour le cloud s’intègre en mode natif à Microsoft Defender XDR et vous permet d’utiliser l’API d’incidents et alertes de Defender XDR pour diffuser en continu des alertes et des incidents dans des solutions autres que Microsoft. Les clients Microsoft Defender pour le cloud peuvent accéder à une API pour tous les produits de sécurité Microsoft et peuvent utiliser cette intégration comme moyen plus facile d’exporter des alertes et des incidents.

Découvrez comment intégrer des outils SIEM à Defender XDR.

Diffuser des alertes à Microsoft Sentinel

Microsoft Defender pour le cloud s’intègre en mode natif à Microsoft Sentinel, la solution SIEM et SOAR native du cloud Azure.

Connecteurs Microsoft Sentinel pour Defender pour le cloud

Microsoft Sentinel comprend des connecteurs intégrés pour Microsoft Defender pour le cloud au niveau de l’abonnement et du client.

Vous pouvez :

Quand vous connectez Defender pour le cloud à Microsoft Sentinel, l’état des alertes Defender pour le cloud qui sont ingérées dans Microsoft Sentinel est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Microsoft Defender pour le cloud, cette alerte est également montrée comme fermée dans Microsoft Sentinel. Lorsque vous modifiez l’état d’une alerte dans Microsoft Defender pour le cloud, l’état de l’alerte dans Microsoft Sentinel est également mis à jour. Toutefois, les états des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel synchronisée ne sont pas mis à jour.

Vous pouvez activer la fonctionnalité de synchronisation bidirectionnelle des alertes pour synchroniser automatiquement l’état des alertes Microsoft Defender pour le cloud d’origine avec les incidents Microsoft Sentinel qui contiennent les copies de ces alertes Microsoft Defender pour le cloud. Par exemple, quand un incident Microsoft Sentinel qui contient une alerte Microsoft Defender pour le cloud est fermé, Microsoft Defender pour le cloud ferme automatiquement l’alerte d’origine correspondante.

Découvrez comment connecter les alertes de Microsoft Defender pour le cloud.

Remarque

La fonctionnalité de synchronisation d’alerte bidirectionnelle n’est pas disponible dans le cloud Azure Government.

Configurer l’ingestion de tous les journaux d’audit dans Microsoft Sentinel

Une autre solution pour examiner les alertes Defender pour le cloud dans Microsoft Sentinel consiste à diffuser vos journaux d’audit dans Microsoft Sentinel :

Conseil

Microsoft Sentinel est facturé en fonction du volume de données qu’il ingère pour l’analyse dans Microsoft Sentinel et stocke dans l’espace de travail Azure Monitor Log Analytics. Microsoft Sentinel offre un modèle de tarification flexible et prévisible. En savoir plus sur la page de tarification de Microsoft Sentinel.

Diffuser des alertes vers QRadar et Splunk

Pour exporter des alertes de sécurité vers Splunk et QRadar, vous devez utiliser Event Hubs et un connecteur intégré. Vous pouvez utiliser un script PowerShell ou le portail Azure pour configurer les exigences pour exporter des alertes de sécurité pour votre abonnement ou votre locataire. Une fois les exigences en place, vous devez utiliser la procédure spécifique à chaque SIEM pour installer la solution dans la plateforme SIEM.

Prérequis

Avant de configurer les services Azure pour exporter des alertes, vérifiez que vous disposez des éléments suivants :

  • Abonnement Azure (Créer un compte gratuit)
  • Groupe de ressources Azure (Créer un groupe de ressources)
  • Rôle Propriétaire sur l’étendue des alertes (abonnement, groupe d’administration ou locataire) ou ces autorisations spécifiques :
    • Autorisations d’écriture pour les hubs d’événements et la stratégie Event Hubs
    • Créez des autorisations pour les applications Microsoft Entra si vous n’utilisez pas une application Microsoft Entra existante
    • Attribuez des autorisations pour les stratégies, si vous utilisez la stratégie Azure « DeployIfNotExist »

Configurer les services Azure

Vous pouvez configurer votre environnement Azure pour prendre en charge l’exportation continue en utilisant :

  1. Téléchargez et exécutez le script PowerShell.

  2. Entrez les paramètres requis.

  3. Exécutez le script.

Le script effectue toutes les étapes pour vous. Une fois le script terminé, utilisez la sortie pour installer la solution dans la plateforme SIEM.

Portail Azure

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Event Hubs.

  3. Créez un espace de noms Event Hubs et un hub d’événements.

  4. Définissez une stratégie pour le hub d’événements avec des autorisations Send.

Si vous diffusez en continu des alertes vers QRadar :

  1. Créez une stratégie Listen de hub d’événements.

  2. Copiez et enregistrez la chaîne de connexion de la stratégie à utiliser dans QRadar.

  3. Créez un groupe de consommateurs.

  4. Copiez et enregistrez le nom à utiliser dans la plateforme SIEM.

  5. Activez l’exportation continue des alertes de sécurité vers le hub d’événements défini.

  6. Créez un compte de stockage.

  7. Copiez et enregistrez la chaîne de connexion dans le compte à utiliser dans QRadar.

Pour obtenir des instructions détaillées, consultez Préparer les ressources Azure pour l’exportation vers Splunk et QRadar.

Si vous diffusez des alertes vers Splunk :

  1. Créez une application Microsoft Entra.

  2. Enregistrez le locataire, l’ID d’application et le mot de passe de l’application.

  3. Accordez des autorisations à l’application Microsoft Entra pour lire à partir du hub d’événements que vous avez créé précédemment.

Pour obtenir des instructions détaillées, consultez Préparer les ressources Azure pour l’exportation vers Splunk et QRadar.

Connectez le hub d’événements à votre solution préférée en utilisant les connecteurs intégrés.

Chaque plateforme SIEM a un outil qui lui permet de recevoir les alertes d’Azure Event Hubs. Installez l’outil pour votre plateforme afin de commencer à recevoir des alertes.

Outil Hébergé dans Azure Description
IBM QRadar Non Le module DSM Microsoft Azure et Microsoft Azure Event Hubs Protocol sont disponibles pour téléchargement sur le site web du support technique d’IBM.
Splunk Non Le module complémentaire Splunk pour Microsoft Cloud Services est un projet open source disponible dans Splunkbase.

Si vous ne pouvez pas installer de module complémentaire dans votre instance Splunk, par exemple si vous utilisez un proxy ou que vous utilisez Splunk Cloud, vous pouvez transférer ces événements au collecteur d’événements HTTP Splunk en utilisant Azure Functions pour Splunk, qui déclenché par les nouveaux messages dans le hub d’événements.

Diffuser des alertes avec exportation continue

Pour diffuser en continu des alertes vers ArcSight, SumoLogic, des serveurs Syslog, LogRhythm, la plateforme d’observabilité du cloud Logz.io et d’autres solutions de supervision, connectez Microsoft Defender pour le cloud en utilisant l’exportation continue et Azure Event Hubs.

Remarque

Pour streamer des alertes au niveau locataire, utilisez cette stratégie Azure et définissez l’étendue au niveau du groupe d’administration racine. Vous aurez besoin d’autorisations pour le groupe d’administration racine, comme expliqué dans Autorisations de Defender pour le cloud : Déployer l’exportation vers un Event Hub pour les alertes et les recommandations de Microsoft Defender pour le cloud.

Pour diffuser en continu des alertes avec l’exportation continue :

  1. Activez l’exportation continue :

  2. Connectez le hub d’événements à votre solution préférée en utilisant les connecteurs intégrés :

    Outil Hébergé dans Azure Description
    sumologic Non Les instructions de configuration de SumoLogic pour consommer les données d’un hub d’événements sont disponibles dans Collecter des journaux pour une application d’audit Azure à partir d’Event Hubs.
    ArcSight Non Le connecteur intelligent ArcSight d’Azure Event Hubs est disponible dans la collection de connecteurs intelligents ArcSight.
    Serveur syslog Non Si vous voulez envoyer en streaming des données Azure Monitor directement vers un serveur syslog, vous pouvez utiliser une solution basée sur une fonction Azure.
    LogRhythm Non Les instructions permettant de configurer LogRhythm pour collecter les journaux à partir d’un Event Hub sont disponibles ici.
    Logz.io Oui Pour plus d’informations, consultez Bien démarrer avec la supervision et la journalisation en utilisant Logz.io pour les applications Java exécutées sur Azure.
  3. (Facultatif) Diffusez en continu les journaux bruts dans le hub d’événements et connectez-vous à votre solution préférée. En savoir plus sur les données de surveillance disponibles.

Pour afficher les schémas d’événements des types de données exportés, visitez les schémas d’événements Event Hubs.

Utiliser l’API Sécurité de Microsoft Graph pour diffuser en continu des alertes vers des applications autres que Microsoft

Intégration intégrée de Microsoft Defender pour le cloud à l’API Sécurité de Microsoft Graph sans avoir besoin d’autres exigences de configuration.

Vous pouvez utiliser cette API pour diffuser en continu des alertes depuis votre locataire entier (et des données provenant de nombreux autres produits de sécurité Microsoft) dans des solutions SIEM et d’autres plateformes autres que Microsoft répandues :

Remarque

La méthode recommandée pour exporter des alertes consiste à réaliser une Exportation continue des données Microsoft Defender pour le cloud.

Étapes suivantes

Cette page explique comment garantir que vos données d’alerte Microsoft Defender pour le cloud sont disponibles dans l’outil SIEM, SOAR ou ITSM de votre choix. Consultez les documents connexes suivants :