Alertes et incidents dans Microsoft Defender XDR
Microsoft Defender pour le cloud est maintenant intégré à Microsoft Defender XDR. Cette intégration permet aux équipes de sécurité d'accéder aux alertes et aux incidents de Defender pour le cloud dans le portail Microsoft Defender. Cette intégration permet d'enrichir le contexte des enquêtes qui portent sur les ressources, les appareils et les identités dans le cloud.
Le partenariat avec Microsoft Defender XDR permet aux équipes de sécurité d’obtenir la vue d’ensemble complète d’une attaque, notamment les événements suspects et malveillants qui se produisent dans leur environnement cloud. Les équipes de sécurité peuvent atteindre cet objectif grâce à des corrélations immédiates d’alertes et d’incidents.
Microsoft Defender XDR offre une solution complète qui réunit les fonctionnalités de protection, de détection, d’investigation et de réponse. La solution protège contre les attaques sur les appareils, les e-mails, la collaboration, les identités et les applications cloud. Nos capacités de détection et d'investigation sont désormais étendues aux entités cloud, offrant aux équipes chargées des opérations de sécurité un seul et même écran qui leur permet d'améliorer considérablement leur efficacité opérationnelle.
Les incidents et les alertes font maintenant partie de l’API publique de Microsoft Defender XDR. Cette intégration permet d'exporter les données relatives aux alertes de sécurité vers n'importe quel système à l'aide d'une API unique. En tant que Microsoft Defender pour le cloud, nous nous engageons à fournir à nos utilisateurs les meilleures solutions de sécurité possibles, et cette intégration est une étape importante vers la réalisation de cet objectif.
Expérience d’investigation dans Microsoft Defender XDR
Le tableau suivant décrit l’expérience de détection et d’investigation dans Microsoft Defender XDR avec les alertes Defender pour le cloud.
| Domaine | Description |
|---|---|
| Incidents | Tous les incidents Defender pour le cloud sont intégrés à Microsoft Defender XDR. - La recherche de ressources cloud dans la file d’attente d’incidents est prise en charge. - Le graphique de l’histoire d’attaque montre la ressource cloud. - L’onglet ressources d’une page d’incident affiche la ressource cloud. - Chaque machine virtuelle possède sa propre page d'entité contenant toutes les alertes et activités connexes. Il n'y a pas de duplication d'incidents provenant d'autres charges de travail Defender. |
| Alertes | Toutes les alertes Defender pour le cloud, y compris les alertes de fournisseurs multicloud, internes et externes, sont intégrées à Microsoft Defender XDR. Les alertes Defender pour le cloud s’affichent dans la file d’attente des alertes de Microsoft Defender XDR. Microsoft Defender XDR La ressource cloud resource s’affiche sous l’onglet Ressource d’une alerte. Les ressources sont clairement identifiées comme étant des ressources Azure, Amazon ou Google Cloud. Les alertes de Defenders pour le cloud sont automatiquement associées à un locataire. Il n'y a pas de duplication d'alertes provenant d'autres charges de travail Defender. |
| Corrélation des alertes et des incidents | Les alertes et les incidents sont automatiquement mis en corrélation, ce qui permet aux équipes chargées des opérations de sécurité de disposer d'un contexte solide pour comprendre l'ensemble des attaques dans leur environnement cloud. |
| Détection de menaces | Correspondance précise entre les entités virtuelles et les entités matérielles afin de garantir la précision et l'efficacité de la détection des menaces. |
| API unifiée | Les alertes et incidents Defender pour le cloud sont maintenant inclus dans l’API publique de Microsoft Defender XDR, ce qui permet aux clients d’exporter leurs données d’alertes de sécurité dans d’autres systèmes à l’aide d’une seule API. |
En savoir plus sur la gestion des alertes dans Microsoft Defender XDR.
Repérage avancé en XDR
Les fonctionnalités de repérage avancées de Microsoft Defender XDR sont étendues pour inclure les alertes et incidents Defender pour le cloud. Cette intégration permet aux équipes de sécurité de chasser toutes leurs ressources, appareils et identités cloud dans une seule requête.
L’expérience de chasse avancée dans Microsoft Defender XDR est conçue pour fournir aux équipes de sécurité la flexibilité nécessaire pour créer des requêtes personnalisées pour rechercher des menaces dans leur environnement. L’intégration à Defender pour les alertes et incidents cloud permet aux équipes de sécurité de rechercher des menaces sur leurs ressources, appareils et identités cloud.
Le tableau CloudAuditEvents dans le repérage avancé vous permet d'enquêter et de repérer à travers les événements du plan de contrôle et de créer des détections personnalisées pour faire remonter à la surface les activités suspectes du plan de contrôle d'Azure Resource Manager et de Kubernetes (KubeAudit).
La table CloudProcessEvents dans le repérage avancé vous permet de trier, d’examiner et de créer des détections personnalisées pour les activités suspectes appelées dans votre infrastructure cloud avec des informations qui incluent des détails sur les détails du processus.
Clients Microsoft Sentinel
Si vous êtes un client Microsoft Sentinel qui a intégré la plateforme d’opérations de sécurité (SecOps) unifiée de Microsoft, les alertes Defender pour le cloud sont déjà ingérées directement dans Defender XDR. Pour tirer parti du contenu de sécurité intégré, veillez à installer la solution Microsoft Defender pour le cloud à partir du hub de contenu Microsoft Sentinel.
Les clients Microsoft Sentinel qui n’utilisent pas la plateforme SecOps unifiée de Microsoft peuvent également tirer parti de l’intégration de Defender pour le cloud à Microsoft 365 Defender dans leurs espaces de travail en utilisant le connecteur d’incidents et d’alertes Microsoft 365 Defender.
Vous devez tout d’abord activer l’intégration des incidents dans votre connecteur Microsoft 365 Defender.
Ensuite, activez le connecteur de données Microsoft Defender pour le cloud basé sur le locataire (préversion) pour synchroniser vos abonnements avec vos incidents Defender pour le cloud basés sur les locataires afin de passer par le connecteur d’incidents Microsoft 365 Defender.
Le connecteur de données Microsoft Defender pour le cloud basé sur le locataire (préversion) est disponible via la solution Microsoft Defender pour le cloud version 3.0.0, à partir du hub de contenu Microsoft Sentinel. Si vous disposez d’une version antérieure de cette solution, nous vous recommandons de mettre à jour votre version de solution. Si le connecteur de données Microsoft Defender pour le cloud basé sur un abonnement (hérité) est toujours activé, nous vous recommandons de déconnecter le connecteur pour éviter la duplication des alertes dans vos journaux.
Nous vous recommandons également de désactiver toutes les règles d’analyse qui créent des incidents directement à partir de vos alertes Microsoft Defender pour le cloud. Utilisez des règles d’automatisation Microsoft Sentinel pour fermer immédiatement les incidents et empêcher des types spécifiques d’alertes Defender pour cloud de devenir des incidents, ou utilisez les fonctionnalités de réglage intégrées dans le portail Microsoft Defender pour empêcher les alertes de devenir des incidents.
Si vous avez intégré vos incidents Microsoft 365 Defender dans Microsoft Sentinel et souhaitez garder vos paramètres basés sur les abonnements et éviter la synchronisation basée sur les locataires, vous pouvez refuser la synchronisation des incidents et des alertes à l’aide du connecteur Microsoft 365 Defender.
Pour plus d’informations, consultez l’article suivant :
- Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
- Ingérer les incidents Microsoft Defender pour le cloud avec l’intégration de Microsoft Defender XDR
- Sécurité des données Microsoft Defender pour le cloud.