Partager via

Utiliser des connexions de données

  • Article

Cet article décrit la fonctionnalité de connexion de données dans Microsoft Defender External Attack Surface Management (Defender EASM).

Vue d’ensemble

Defender EASM offre désormais des connexions de données pour vous aider à intégrer en toute transparence vos données de surface d’attaque dans d’autres solutions Microsoft pour compléter les flux de travail existants avec de nouveaux insights. Vous devez transmettre les données de Defender EASM aux autres outils de sécurité que vous utilisez à des fins de correction pour tirer le meilleur profit de vos données de surface d’attaque.

Le connecteur de données envoie les données de ressources Defender EASM à deux plateformes différentes : Log Analytics et Azure Data Explorer. Vous devez exporter les données Defender EASM vers l’un ou l’autre outil. Les connexions de données sont soumises au modèle de tarification de chaque plateforme respective.

Log Analytics fournit une gestion des informations et des événements de sécurité, ainsi que des capacités d’orchestration, automatisation et réponse en matière de sécurité. Les informations sur les ressources ou insights Defender EASM peuvent être utilisées dans Log Analytics pour enrichir les flux de travail existants avec d’autres données de sécurité. Ces informations peuvent compléter les informations de pare-feu et de configuration, le renseignement sur les menaces et les données de conformité afin de fournir une visibilité concernant votre infrastructure externe sur l’Internet ouvert.

Vous pouvez :

  • Créer ou enrichir des incidents de sécurité.
  • Générer des playbooks d’investigation.
  • Entraîner des algorithmes Machine Learning.
  • Déclencher des actions de correction.

Azure Data Explorer est une plateforme d’analytique Big Data qui vous permet d’analyser des volumes élevés de données provenant de différentes sources, avec des capacités de personnalisation flexibles. Les données de ressources et d’insights Defender EASM peuvent être intégrées pour utiliser des capacités de visualisation, de requête, d’ingestion et de gestion au sein de la plateforme.

Que vous génériez des rapports personnalisés avec Power BI ou recherchiez des ressources qui correspondent à des requêtes KQL précises, l’exportation des données Defender EASM vers Azure Data Explorer vous permet d’utiliser vos données de surface d’attaque avec un potentiel de personnalisation infini.

Options de contenu des données

Les connexions de données Defender EASM vous offrent la possibilité d’intégrer deux types différents de données de surface d’attaque dans l’outil de votre choix. Vous pouvez choisir de migrer des données de ressources, des insights de surface d’attaque ou les deux types de données. Les données de ressources fournissent des détails précis sur l’ensemble de votre inventaire. Les insights de surface d’attaque fournissent des insights actionnables immédiatement basés sur les tableaux de bord Defender EASM.

Pour présenter avec précision l’infrastructure qui importe le plus à votre organisation, les deux options de contenu incluent uniquement les ressources qui sont à l’état d’inventaire Approuvé.

Données de ressources : l’option Données de ressource envoie des données sur toutes vos ressources d’inventaire à l’outil de votre choix. Cette option convient le mieux aux cas d’usage où les métadonnées sous-jacentes granulaires sont essentielles à votre intégration à Defender EASM. Citons par exemple les rapports personnalisés dans Azure Data Explorer ou Microsoft Sentinel. Vous pouvez exporter le contexte général sur chaque ressource de l’inventaire, et des détails précis propres au type de ressource en question.

Cette option ne fournit aucun insight prédéterminé sur les ressources. Au lieu de cela, elle offre une grande quantité de données afin que vous puissiez trouver les insights personnalisés qui vous intéressent le plus.

Insights de surface d’attaque : les insights de surface d’attaque fournissent un ensemble actionnable de résultats basés sur les insights clés fournis via des tableaux de bord dans Defender EASM. Cette option fournit des métadonnées moins précises sur chaque ressource. Elle catégorise les ressources en fonction des insights correspondants, et fournit le contexte général requis pour effectuer une investigation plus approfondie. Cette option est idéale si vous souhaitez intégrer ces insights prédéterminés dans des flux de travail de création de rapports personnalisés avec des données provenant d’autres outils.

Vue d’ensemble de la configuration

Cette section présente des informations générales sur la configuration.

Accéder aux connexions de données

Dans le volet le plus à gauche de votre volet de ressources Defender EASM, sous Gérer, sélectionnez Connexions de données. Cette page affiche les connecteurs de données pour Log Analytics et Azure Data Explorer. Elle répertorie les connexions actuelles, et vous permet d’ajouter, de modifier ou de supprimer des connexions.

Capture d’écran montrant la page Connexions de données.

Prérequis relatifs aux connexions

Pour créer une connexion de données, vous devez d’abord vous assurer que vous avez effectué les étapes requises pour accorder à Defender EASM l’autorisation d’accès à l’outil de votre choix. Ce processus permet à l’application d’ingérer vos données exportées. Il fournit également les informations d’identification d’authentification nécessaires pour configurer la connexion.

Remarque

Les connexions de données Defender EASM ne prennent pas en charge les liaisons privées ou les réseaux privés.

Configurer les autorisations Log Analytics

  1. Ouvrez l’espace de travail Log Analytics qui ingère vos données Defender EASM ou créez un espace de travail.

  2. Dans le volet le plus à gauche, sous Paramètres, sélectionnez Agents.

    Capture d’écran montrant les agents Log Analytics.

  3. Développez la section Instructions de l’agent Log Analytics pour afficher votre ID d’espace de travail et votre clé primaire. Ces valeurs servent à configurer votre connexion de données.

L’utilisation de cette connexion de données est soumise à la structure tarifaire de Log Analytics. Pour plus d’informations, consultez Tarification Azure Monitor.

Configurer des autorisations Azure Data Explorer

Vérifiez que le principal du service d’API Defender EASM a accès aux rôles appropriés dans la base de données où vous souhaitez exporter vos données de surface d’attaque. Tout d’abord, vérifiez que votre ressource Defender EASM a été créée dans le locataire approprié, car cette action approvisionne le principal de l’API EASM.

  1. Ouvrez le cluster Azure Data Explorer qui ingérera vos données Defender EASM, ou créez un cluster.

  2. Dans le volet le plus à gauche, sous Données, sélectionnez Bases de données.

  3. Sélectionnez Ajouter une base de données afin de créer une base de données pour héberger vos données Defender EASM.

    Capture d’écran montrant Ajouter une base de données dans Azure Data Explorer.

  4. Nommez votre base de données, configurez les périodes de rétention et de cache, puis sélectionnez Créer.

    Capture d’écran qui montre la création d’une base de données.

  5. Une fois votre base de données Defender EASM créée, sélectionnez son nom pour ouvrir la page de détails. Dans le volet le plus à gauche, sous Vue d’ensemble, sélectionnez Autorisations. Pour exporter les données Defender EASM vers Azure Data Explorer, vous devez créer deux autorisations pour l’API EASM : utilisateur et ingesteur.

    Capture d’écran montrant les autorisations Azure Data Explorer.

  6. Sélectionnez Ajouter et créer un utilisateur. Recherchez API EASM, sélectionnez la valeur, puis Sélectionner.

  7. Sélectionnez Ajouter pour créer un ingesteur. Suivez les mêmes étapes que celles précédemment décrites pour ajouter l’API EASM en tant qu’ingesteur.

  8. Votre base de données est maintenant prête à se connecter à Defender EASM. Vous avez besoin du nom du cluster, du nom de la base de données et de la région lorsque vous configurez votre connexion de données.

Ajouter une connexion aux données

Vous pouvez connecter vos données Defender EASM à Log Analytics ou à Azure Data Explorer. Pour ce faire, sélectionnez Ajouter une connexion pour l’outil approprié dans la page Connexions de données.

Un volet de configuration s’ouvre sur le côté droit de la page Connexions de données. Les champs suivants sont obligatoires pour chaque outil concerné.

Log Analytics

  • Nom : entrez un nom pour cette connexion de données.

  • ID de l’espace de travail : entrez l’ID d’espace de travail de l’instance Log Analytics où vous souhaitez exporter des données Defender EASM.

  • Clé API : entrez la clé API de l’instance Log Analytics.

  • Contenu : choisissez si vous souhaitez intégrer des données de ressources, des insights de surface d’attaque ou les deux jeux de données.

  • Fréquence : sélectionnez la fréquence utilisée par la connexion Defender EASM pour envoyer des données mises à jour à l’outil de votre choix. Les options disponibles sont Quotidienne, Hebdomadaire et Mensuelle.

    Capture d’écran montrant l’écran Ajouter une connexion de données pour Log Analytics.

Explorateur de données Azure

  • Nom : entrez un nom pour cette connexion de données.

  • Nom du cluster : entrez le nom du cluster Azure Data Explorer où vous souhaitez exporter des données Defender EASM.

  • Région : entrez la région du cluster Azure Data Explorer.

  • Nom de la base de données : entrez le nom de la base de données souhaitée.

  • Contenu : choisissez si vous souhaitez intégrer des données de ressources, des insights de surface d’attaque ou les deux jeux de données.

  • Fréquence : sélectionnez la fréquence utilisée par la connexion Defender EASM pour envoyer des données mises à jour à l’outil de votre choix. Les options disponibles sont Quotidienne, Hebdomadaire et Mensuelle.

    Capture d’écran montrant l’écran Ajouter une connexion de données pour Azure Data Explorer.

    Une fois tous les champs configurés, sélectionnez Ajouter pour créer la connexion de données. À ce stade, la page Connexions de données affiche une bannière qui indique que la ressource a été créée avec succès. En 30 minutes, les données commencent à arriver. Une fois les connexions créées, elles sont répertoriées sous l’outil applicable dans la page principale Connexions de données.

Modifier ou supprimer une connexion de données

Vous pouvez modifier ou supprimer une connexion de données. Par exemple, il se peut que vous remarquiez qu’une connexion est répertoriée comme Déconnectée. Dans ce cas, vous devez réentérer les détails de configuration pour résoudre le problème.

Pour modifier ou supprimer une connexion de données :

  1. Sélectionnez la connexion appropriée dans la liste dans la page principale Connexions de données.

    Capture d’écran montrant des connexions de données déconnectées.

  2. Une page s’ouvre, dans laquelle figurent des données supplémentaires sur la connexion. Elle montre les configurations que vous avez choisies lors de la création de la connexion, et d’éventuels messages d’erreur. Les données suivantes sont également affichées :

    • Périodique : jour de la semaine ou du mois durant lequel Defender EASM envoie des données mises à jour à l’outil connecté.

    • Créée : date et heure de création de la connexion de données.

    • Mise à jour : date et heure de la dernière mise à jour de la connexion de données.

      Capture d’écran montrant des connexions de test.

  3. À partir de cette page, vous pouvez reconnecter, modifier ou supprimer votre connexion de données.

    • Reconnecter : tente de valider la connexion de données sans aucune modification de la configuration. Cette option est préférable si vous avez validé les informations d’identification d’authentification utilisées pour la connexion de données.
    • Modifier : vous permet de modifier la configuration de la connexion de données.
    • Supprimer : supprime la connexion de données.