Microsoft Defender pour le cloud dans le portail Microsoft Defender
S’applique à :
Microsoft Defender pour le cloud fait désormais partie de Microsoft Defender XDR. Les équipes de sécurité peuvent désormais accéder aux alertes et aux incidents Defender pour le cloud dans le portail Microsoft Defender, ce qui fournit un contexte plus riche pour les investigations qui couvrent les ressources, les appareils et les identités cloud. En outre, les équipes de sécurité peuvent obtenir une image complète d’une attaque, y compris les événements suspects et malveillants qui se produisent dans leur environnement cloud, grâce à des corrélations immédiates d’alertes et d’incidents.
Le portail Microsoft Defender combine des fonctionnalités de protection, de détection, d’investigation et de réponse pour protéger les attaques sur les appareils, les e-mails, la collaboration, l’identité et les applications cloud. Les fonctionnalités de détection et d’investigation du portail sont désormais étendues aux entités cloud, offrant aux équipes chargées des opérations de sécurité un volet unique pour améliorer considérablement leur efficacité opérationnelle.
En outre, les incidents et alertes Defender pour le cloud font désormais partie de l’API publique de Microsoft Defender XDR. Cette intégration permet d’exporter des données d’alertes de sécurité vers n’importe quel système à l’aide d’une seule API.
Conditions préalables
Pour garantir l’accès aux alertes Defender pour le cloud dans le portail Microsoft Defender, vous devez être abonné à l’un des plans répertoriés dans Connecter vos abonnements Azure.
Autorisations requises
Vous devez être administrateur général ou administrateur de la sécurité dans Azure Active Directory pour afficher les alertes et les corrélations Defender pour le cloud. Pour les utilisateurs qui n’ont pas ces rôles, l’intégration est disponible uniquement en appliquant des rôles de contrôle d’accès en fonction du rôle (RBAC) unifiés pour Defender pour le cloud.
Remarque
L’autorisation d’afficher les alertes et les corrélations Defender pour le cloud est automatique pour l’ensemble du locataire. L’affichage pour des abonnements spécifiques n’est pas pris en charge.
Expérience d’investigation dans le portail Microsoft Defender
La section suivante décrit l’expérience de détection et d’investigation dans le portail Microsoft Defender avec les alertes Defender pour le cloud.
Remarque
Les alertes d’information de Defender pour le cloud ne sont pas intégrées au portail Microsoft Defender pour permettre de se concentrer sur les alertes pertinentes et de gravité élevée. Cette stratégie simplifie la gestion des incidents et réduit la fatigue des alertes.
| Zone | Description |
|---|---|
| Incidents | Tous les incidents Defender pour le cloud seront intégrés au portail Microsoft Defender. - La recherche de ressources cloud dans la file d’attente des incidents est prise en charge. - Le graphe du scénario d’attaque affiche la ressource cloud. - L’onglet Ressources dans une page d’incident affiche la ressource cloud. - Chaque machine virtuelle a sa propre page d’appareil contenant toutes les alertes et activités associées. Il n’y aura pas de duplication des incidents provenant d’autres charges de travail Defender. |
| Alertes | Toutes les alertes Defender pour le cloud, y compris les alertes multicloud, internes et externes des fournisseurs, seront intégrées au portail Microsoft Defender. Les alertes Defender pour le cloud s’affichent dans la file d’attente des alertes du portail Microsoft Defender. La ressource cloud s’affiche sous l’onglet Ressource d’une alerte. Les ressources sont clairement identifiées en tant que ressource Azure, Amazon ou Google Cloud.Les alertes Defender pour le cloud sont automatiquement associées à un locataire.Il n’y aura pas de duplication des alertes à partir d’autres charges de travail Defender. |
| Corrélation des alertes et des incidents | Les alertes et les incidents sont automatiquement corrélés, ce qui fournit un contexte robuste aux équipes des opérations de sécurité pour comprendre l’histoire complète des attaques dans leur environnement cloud. |
| Détection des menaces | Correspondance précise des entités virtuelles aux entités d’appareil pour garantir une détection précise et efficace des menaces. |
| API unifiée | Les alertes et incidents Defender pour le cloud sont désormais inclus dans l’API publique de Microsoft Defender XDR, ce qui permet aux clients d’exporter leurs données d’alertes de sécurité vers d’autres systèmes à l’aide d’une API. |
Impact sur les utilisateurs de Microsoft Sentinel
Les clients Microsoft Sentinel qui intègrent des incidents Microsoft Defender XDRet ingèrent des alertes Defender pour le cloud doivent apporter les modifications de configuration suivantes afin de s’assurer que les alertes et incidents en double ne sont pas créés :
- Connectez le connecteur Microsoft Defender basé sur le locataire pour le cloud (préversion) pour synchroniser la collecte des alertes de tous vos abonnements avec les incidents Defender pour le cloud basés sur le locataire qui sont diffusés via le connecteur Microsoft Defender XDR Incidents.
- Déconnectez le connecteur d’alertes Microsoft Defender basées sur l’abonnement pour le cloud (hérité) afin d’éviter les doublons d’alertes.
- Désactivez toutes les règles d’analyse ( planifiées (type de requête standard) ou règles de sécurité Microsoft (création d’incidents) utilisées pour créer des incidents à partir d’alertes Defender pour le cloud. Les incidents Defender pour le cloud sont créés automatiquement dans le portail Defender et synchronisés avec Microsoft Sentinel.
- Si nécessaire, utilisez des règles d’automatisation pour fermer les incidents bruyants, ou utilisez les fonctionnalités de réglage intégrées dans le portail Defender pour supprimer certaines alertes.
La modification suivante doit également être notée :
- L’action permettant de lier les alertes aux incidents du portail Microsoft Defender est supprimée.
Pour en savoir plus, consultez Ingérer Microsoft Defender pour les incidents cloud avec l’intégration Microsoft Defender XDR.
Désactiver les alertes Defender pour le cloud
Les alertes pour Defender pour le cloud sont activées par défaut. Pour conserver vos paramètres basés sur l’abonnement et éviter la synchronisation basée sur le locataire ou pour refuser l’expérience, procédez comme suit :
- Dans le portail Microsoft Defender, accédez à Paramètres>Microsoft Defender XDR.
- Dans Paramètres du service d’alerte, recherchez Microsoft Defender pour les alertes cloud.
- Sélectionnez Aucune alerte pour désactiver toutes les alertes Defender pour le cloud. La sélection de cette option arrête l’ingestion de nouvelles alertes Defender pour le cloud dans le portail. Les alertes précédemment ingérées restent dans une page d’alerte ou d’incident.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour