Ingérer les alertes Microsoft Defender pour le cloud à Microsoft Sentinel
Les protections des charges de travail du cloud intégrées de Microsoft Defender pour le cloud vous permettent de détecter et de répondre rapidement aux menaces dans les charges de travail multi-cloud et hybrides. Le connecteur Microsoft Defender pour le cloud vous permet d’ingérer les alertes de sécurité de Defender pour le cloud dans Microsoft Sentinel, afin que vous puissiez afficher, analyser et répondre aux alertes Defender, ainsi qu’aux incidents qu’elles génèrent, dans un contexte de menace organisationnel plus large.
Les plans Defender pour Microsoft Defender pour le cloud sont activés par abonnement. Bien que le connecteur hérité de Microsoft Sentinel pour Defender for Cloud Apps soit également configuré par abonnement, le connecteur Microsoft Defender pour le cloud basé sur le locataire, en préversion, vous permet de collecter des alertes Defender pour le cloud sur l’ensemble de votre locataire sans avoir à activer chaque abonnement séparément. Le connecteur basé sur le locataire fonctionne aussi avec l’intégration de Defender pour le cloud à Microsoft Defender XDR pour vous assurer que toutes vos alertes Defender pour le cloud sont entièrement incluses dans tous les incidents que vous recevez via l’intégration des incidents Microsoft Defender XDR.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Synchronisation des alertes
Quand vous connectez Microsoft Defender pour le cloud à Microsoft Sentinel, l’état des alertes de sécurité qui sont ingérées dans Microsoft Sentinel est synchronisé entre les deux services. Ainsi, par exemple, lorsqu’une alerte est fermée dans Defender pour le cloud, cette alerte s’affiche également comme étant fermée dans Microsoft Sentinel.
Le changement d’état d’une alerte dans Defender pour le cloud n’affecte pas l’état des incidents Microsoft Sentinel qui contiennent l’alerte Microsoft Sentinel, mais uniquement l’état de l’alerte.
Synchronisation bidirectionnelle des alertes
L’activation de la synchronisation bidirectionnelle synchronisera automatiquement l’état des alertes de sécurité avec celui des incidents Microsoft Sentinel qui contiennent ces alertes. Ainsi, lorsqu’un incident Microsoft Sentinel contenant des alertes de sécurité est fermé, l’alerte d’origine correspondante est automatiquement fermée dans Microsoft Defender pour le Cloud.
Prérequis
Vous devez disposer d’autorisations en lecture et en écriture dans l’espace de travail Microsoft Sentinel.
Vous devez disposer du rôle de Contributeur ou Propriétaire sur l’abonnement que vous souhaitez connecter à Microsoft Sentinel.
Vous devez activer au moins un plan au sein de Microsoft Defender pour le Cloud pour chaque abonnement pour lequel vous souhaitez activer le connecteur. Pour activer les plans Microsoft Defender sur un abonnement, vous devez avoir le rôle Administrateur de la sécurité pour cet abonnement.
Vous avez besoin que le fournisseur de ressources
SecurityInsights
soit inscrit pour chaque abonnement dans lequel vous souhaitez activer le connecteur. Passez en revue les conseils sur l’état de l’inscription du fournisseur de ressources et les façons de l’inscrire.Pour activer la synchronisation bidirectionnelle, vous devez avoir le rôle Contributeur ou Administrateur de la sécurité sur l’abonnement concerné.
Installez la solution pour Microsoft Defender pour le cloud depuis le hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Se connecter à Microsoft Defender pour le Cloud
Après avoir installé la solution, dans Microsoft Sentinel, sélectionnez Configuration > Connecteurs de données.
Dans la page Connecteurs de données, sélectionnez le connecteur Microsoft Defender pour le cloud (hérité) basé sur l’abonnement ou le connecteur Microsoft Defender pour le cloud (préversion) basé sur le locataire, puis sélectionnez Ouvrir la page du connecteur.
Sous Configuration, vous verrez une liste des abonnements de votre locataire et l’état de leur connexion à Microsoft Defender pour le Cloud. Sélectionnez le bouton bascule État à côté de chaque abonnement dont vous souhaitez diffuser les alertes dans Microsoft Sentinel. Si vous souhaitez connecter plusieurs abonnements à la fois, vous pouvez le faire en cochant les cases à côté des abonnements concernés, puis en sélectionnant le bouton Connecter dans la barre située au-dessus de la liste.
- Les cases à cocher et les boutons d’activation Connecter ne sont actifs que sur les abonnements pour lesquels vous disposez des autorisations requises.
- Le bouton Connecter n’est actif que si au moins une case d’abonnement a été cochée.
Pour activer la synchronisation bidirectionnelle sur un abonnement, localisez l’abonnement dans la liste et choisissez Activé dans la liste déroulante de la colonne Synchronisation bidirectionnelle. Pour activer la synchronisation bidirectionnelle sur plusieurs abonnements à la fois, cochez les cases correspondantes et sélectionnez le bouton Activer la synchronisation bidirectionnelle dans la barre située au-dessus de la liste.
- Les cases à cocher et les listes déroulantes ne sont actives que sur les abonnements pour lesquels vous disposez des autorisations requises.
- Le bouton Activer la synchronisation bidirectionnelle n’est actif que si la case d’au moins un abonnement a été cochée.
Dans la colonne Plans Microsoft Defender de la liste, vous pouvez voir si les plans Microsoft Defender sont activés sur votre abonnement (condition préalable à l’activation du connecteur).
La valeur affichée dans cette colonne pour chaque abonnement est soit vide (ce qui signifie qu’aucun plan Defender n’est activé), soit Tous activés, soit Certains activés. Les abonnements avec la valeur Certains activés auront également un lien Activer tout, que vous pourrez sélectionner et qui vous mènera au tableau de bord de configuration de Microsoft Defender pour le cloud pour cet abonnement, où vous pourrez choisir les plans Defender à activer.
Le bouton de lien Activer Microsoft Defender pour tous les abonnements dans la barre située au-dessus de la liste vous mènera à votre page de démarrage de Microsoft Defender pour le Cloud, où vous pouvez choisir sur quels abonnements activer Microsoft Defender pour le Cloud. Par exemple :
Vous pouvez décider que les alertes provenant de Microsoft Defender pour le Cloud génèrent automatiquement des incidents dans Microsoft Sentinel. Sous Créer des incidents, sélectionnez Activé pour activer la règle d’analyse par défaut qui crée automatiquement des incidents à partir d’alertes. Vous pouvez ensuite modifier cette règle sous Analytique, sous l’onglet Règles actives.
Conseil
Lorsque vous configurez des règles d’analyse personnalisées pour des alertes provenant de Microsoft Defender pour le Cloud, tenez compte de la gravité de l’alerte pour éviter d’ouvrir des incidents pour des alertes d’information.
Les alertes d’information dans Microsoft Defender pour le Cloud ne représentent pas un risque de sécurité en soi et ne sont pertinentes que dans le contexte d’un incident existant et ouvert. Pour plus d’informations, consultez Alertes et incidents de sécurité dans Microsoft Defender pour le cloud.
Rechercher et analyser vos données
Notes
La synchronisation des alertes dans les deux sens peut prendre quelques minutes. Les modifications de l’état des alertes peuvent ne pas être affichées immédiatement.
Les alertes de sécurité sont stockées dans la table SecurityAlert de votre espace de travail Log Analytics.
Pour interroger les alertes de sécurité dans Log Analytics, copiez le code suivant dans votre fenêtre de requête comme point de départ :
SecurityAlert | where ProductName == "Azure Security Center"
Consultez l’onglet Étapes suivantes dans la page du connecteur pour obtenir d’autres exemples de requêtes utiles, des modèles de règles d’analyse et des recommandations de classeurs.
Étapes suivantes
Dans ce document, vous avez appris à connecter Microsoft Defender pour le Cloud à Microsoft Sentinel et à synchroniser les alertes entre eux. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.
- Écrivez vos propres règles pour détecter les menaces.