Configurer l’exportation continue dans le portail Azure

Microsoft Defender pour le cloud génère des alertes de sécurité et des recommandations détaillées. Pour analyser les informations contenues dans ces alertes et suggestions, vous pouvez les exporter vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique. Vous pouvez diffuser en continu les alertes et les suggestions à mesure qu’elles sont générées ou définir une planification pour envoyer des instantanés périodiques de toutes les nouvelles données.

Cet article explique comment mettre en place l’exportation continue vers un espace de travail Log Analytics ou vers un Event Hub dans Azure.

Conseil

Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Découvrez comment télécharger un fichier CSV.

Prérequis

Rôles et autorisations obligatoires :

  • Administrateur de sécurité ou Propriétaire pour le groupe de ressources
  • Autorisations en écriture pour la ressource cible.
  • Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
  • Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
  • Pour exporter vers un espace de travail Log Analytics :
    • S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/read.

    • S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/action.

      En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.

Configurer l’exportation continue dans le portail Azure

Vous pouvez mettre en place l’exportation continue sur les pages Microsoft Defender pour le cloud dans le Portail Azure, en utilisant l’API REST, ou à grande échelle en utilisant les modèles Azure Policy fournis.

Pour configurer l’exportation continue vers Log Analytics ou vers Azure Event Hubs en utilisant le portail Microsoft Azure :

  1. Dans le menu des ressources de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  2. Sélectionnez l’abonnement pour lequel vous souhaitez configurer l’exportation de données.

  3. Dans le menu de la ressource sous Paramètres, sélectionnez Exportation continue.

    Capture d’écran montrant les options d’exportation dans Microsoft Defender pour le cloud.

    Les options d’exportation s’affichent. Il existe un onglet pour chaque cible d’exportation disponible, que ce soit un espace de travail Event Hub ou Log Analytics.

  4. Sélectionnez le type de données que vous souhaitez exporter, puis choisissez les filtres à appliquer sur chaque type (par exemple, exporter uniquement les alertes d’un niveau de gravité élevé).

  5. Sélectionnez la fréquence d’exportation :

    • Diffusion en continu. Les évaluations sont envoyées quand l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour n’est effectuée, aucune donnée n’est envoyée).
    • Instantanés. Une capture instantanée de l’état actuel des types de données sélectionnés qui est envoyée une fois par semaine et par abonnement. Pour identifier les données de capture instantanée, recherchez le champ IsSnapshot.

    Si votre sélection inclut l’une de ces suggestions, vous pouvez inclure les résultats de l’évaluation des vulnérabilités :

    Pour inclure les résultats avec ces suggestions, réglez le paramètres Intégrer les découvertes de sécurité sur Oui.

    Capture d’écran montrant le bouton bascule Intégrer les constats de sécurité dans une configuration d’exportation continue.

  6. Sous Cible d’exportation, choisissez l’emplacement où enregistrer les données. Les données peuvent être enregistrées à un emplacement cible dans un autre abonnement (par exemple, dans une instance Event Hubs centrale ou dans un espace de travail Log Analytics central).

    Vous pouvez également envoyer les données vers un hub d’événements ou un espace de travail Log Analytics dans un autre locataire

  7. Sélectionnez Enregistrer.

Remarque

Log Analytics ne prend en charge que les enregistrements de 32 Ko maximum seulement. Lorsque la limite de données est atteinte, une alerte affiche le message La limite de donnée sa été dépassée.

Dans cet article, vous avez appris à configurer des exportations continues de vos alertes et recommandations. Vous avez également appris à télécharger vos données d’alertes dans un fichier CSV.

Pour afficher le contenu associé :