Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
Microsoft Defender for Cloud est intégré à la détection et à la réponse étendues Microsoft Defender (XDR). Cette intégration permet aux équipes de sécurité d’accéder aux alertes et incidents Defender pour le cloud dans le portail Microsoft Defender. Cette intégration permet d'enrichir le contexte des enquêtes qui portent sur les ressources, les appareils et les identités dans le cloud.
Le partenariat avec Microsoft Defender XDR permet aux équipes de sécurité d’obtenir la vue d’ensemble complète d’une attaque, notamment les événements suspects et malveillants qui se produisent dans leur environnement cloud. Les équipes de sécurité peuvent atteindre cet objectif grâce à des corrélations immédiates d’alertes et d’incidents.
Microsoft Defender XDR offre une solution complète qui réunit les fonctionnalités de protection, de détection, d’investigation et de réponse. La solution protège contre les attaques sur les appareils, les e-mails, la collaboration, les identités et les applications cloud. Nos capacités de détection et d'investigation sont désormais étendues aux entités cloud, offrant aux équipes chargées des opérations de sécurité un seul et même écran qui leur permet d'améliorer considérablement leur efficacité opérationnelle.
Les incidents et les alertes font maintenant partie de l’API publique de Microsoft Defender XDR. Cette intégration permet d'exporter les données relatives aux alertes de sécurité vers n'importe quel système à l'aide d'une API unique. En tant que Microsoft Defender pour le cloud, nous nous engageons à fournir à nos utilisateurs les meilleures solutions de sécurité possibles, et cette intégration est une étape importante vers la réalisation de cet objectif.
Prerequisites
L’accès aux alertes Defender pour cloud dans le portail Microsoft Defender dépend des plans Defender pour cloud activés. En savoir plus sur les différentes protections du plan Defender for Cloud.
Note
Les autorisations d’affichage des alertes et des corrélations Defender pour cloud sont automatiques pour l’ensemble du locataire. L’affichage d’abonnements spécifiques n’est pas pris en charge. Utilisez le filtre d’ID d’abonnement d’alerte pour afficher les alertes Defender pour Cloud associées à un abonnement Defender pour cloud spécifique dans les files d’attente d’alerte et d’incident. En savoir plus sur les filtres.
L’intégration est disponible uniquement en appliquant le rôle RBAC (Contrôle d’accès en fonction du rôle) unifié Microsoft Defender XDR approprié pour Defender for Cloud. Pour afficher les alertes et les corrélations de Defender pour le Cloud sans RBAC unifié de Defender XDR, vous devez être administrateur global ou administrateur de la sécurité dans Azure Active Directory.
Expérience d’investigation dans Microsoft Defender XDR
Le tableau suivant décrit l’expérience de détection et d’investigation dans Microsoft Defender XDR avec les alertes Defender pour le cloud.
| Area | Description |
|---|---|
| Incidents | Tous les incidents Defender pour le cloud sont intégrés à Microsoft Defender XDR. - La recherche de ressources cloud dans la file d’attente d’incidents est prise en charge. - Le graphique de l’histoire d’attaque montre la ressource cloud. - L’onglet Ressources d’une page d’incident affiche la ressource cloud. - Chaque machine virtuelle possède sa propre page d'entité contenant toutes les alertes et activités connexes. Il n'y a pas de duplication d'incidents provenant d'autres charges de travail Defender. |
| Alerts | Toutes les alertes Defender pour cloud, notamment les alertes multicloud, internes et externes, sont intégrées à Microsoft Defender XDR. Les alertes Defender pour cloud s’affichent dans la file d’attente des alertes Microsoft Defender XDR. Microsoft Defender XDR La ressource cloud resource s’affiche sous l’onglet Ressource d’une alerte. Les ressources sont clairement identifiées comme étant des ressources Azure, Amazon ou Google Cloud. Les alertes Defender pour cloud sont automatiquement associées à un locataire. Il n'y a pas de duplication d'alertes provenant d'autres charges de travail Defender. |
| Corrélation des alertes et des incidents | Les alertes et les incidents sont automatiquement mis en corrélation, ce qui permet aux équipes chargées des opérations de sécurité de disposer d'un contexte solide pour comprendre l'ensemble des attaques dans leur environnement cloud. |
| Détection de menaces | Correspondance précise entre les entités virtuelles et les entités matérielles afin de garantir la précision et l'efficacité de la détection des menaces. |
| Unified API | Les alertes et incidents Defender for Cloud sont maintenant inclus dans l’API publique de Microsoft Defender XDR, ce qui permet aux clients d’exporter leurs données d’alertes de sécurité dans d’autres systèmes à l’aide d’une seule API. |
Note
Les alertes d’information de Defender pour Cloud ne sont pas intégrées au portail Microsoft Defender pour permettre de se concentrer sur les alertes pertinentes et de gravité élevée. Cette stratégie simplifie la gestion des incidents et réduit la fatigue des alertes.
Synchronisation de l’état des alertes
Lorsque l’intégration entre Defender pour Cloud et Microsoft Defender XDR est activée, les modifications d’état des alertes sont synchronisées entre les deux services avec les comportements suivants :
| Scenario | Synchronisation des états |
|---|---|
| L’état de l’alerte Defender pour cloud a changé dans Defender pour cloud | État reflété dans Microsoft Defender XDR : Oui |
| L’état de l’alerte Defender pour cloud a changé dans Microsoft Defender XDR | État reflété dans Defender pour le cloud : Oui |
| Alerte Microsoft Defender pour Endpoint sur la ressource cloud - État modifié dans Defender pour le cloud | État reflété dans Defender pour le cloud : Oui État reflété dans Microsoft Defender XDR : Non |
| Alerte Microsoft Defender for Endpoint sur la ressource cloud – état modifié dans Microsoft Defender XDR | État reflété dans Microsoft Defender XDR : Oui État reflété dans Defender pour le cloud : Non |
Important
- Dans Defender pour cloud, seules les alertes Defender pour Cloud sont des entités valides. Les références aux alertes XDR Microsoft Defender dans Defender pour Cloud concernent uniquement les alertes Microsoft Defender pour Endpoint sur les ressources cloud.
- Les alertes Microsoft Defender pour point de terminaison sur les ressources cloud apparaissent à la fois dans Defender pour cloud et Microsoft Defender XDR, mais leurs états ne sont pas synchronisés entre les deux services.
Chasse avancée en XDR
Les fonctionnalités de repérage avancées de Microsoft Defender XDR sont étendues pour inclure les alertes et incidents Defender pour le cloud. Cette intégration permet aux équipes de sécurité de chasser toutes leurs ressources, appareils et identités cloud dans une seule requête.
L’expérience de chasse avancée dans Microsoft Defender XDR est conçue pour fournir aux équipes de sécurité la flexibilité nécessaire pour créer des requêtes personnalisées pour rechercher des menaces dans leur environnement. L’intégration à Defender pour les alertes et incidents cloud permet aux équipes de sécurité de rechercher des menaces sur leurs ressources, appareils et identités cloud.
La table CloudAuditEvents dans le repérage avancé vous permet de procéder à l’examen et au repérage à travers les événements du plan de gestion et de créer des détections personnalisées pour mettre en évidence les activités suspectes du plan de gestion d'Azure Resource Manager et Kubernetes (KubeAudit).
La table CloudProcessEvents dans la chasse avancée vous permet de trier, d’examiner et de créer des détections personnalisées pour les activités suspectes appelées dans votre infrastructure cloud avec des informations qui incluent des détails sur les détails du processus.
La table CloudStorageAggregatedEventsdans la chasse avancée vous permet d’examiner et de chasser par le biais d’activités de stockage cloud et de créer des détections personnalisées qui aident à faire apparaître des opérations suspectes de fichiers, des modèles d’accès et des interactions de données sur vos ressources de stockage cloud.
Les clients de Microsoft Sentinel
Les clients Microsoft Sentinel qui intègrent des incidents XDR Microsoft Defenderet qui ingèrent des alertes Defender pour le cloud doivent suivre les étapes suivantes pour éviter la duplication des alertes et incidents.
Dans Microsoft Sentinel, configurez le connecteur de données Microsoft Defender for Cloud basé sur locataire (préversion). Ce connecteur de données est inclus dans la solution Microsoft Defender pour cloud , disponible à partir du hub de contenu Microsoft Sentinel.
Le connecteur de données Microsoft Defender for Cloud basé sur locataire (préversion) synchronise la collecte d’alertes de tous vos abonnements avec les incidents Defender for Cloud basé sur locataire qui transitent par le connecteur d’incidents Microsoft Defender XDR. Les incidents Defender for Cloud sont corrélés entre tous les abonnements du locataire.
Si vous travaillez avec plusieurs espaces de travail Microsoft Sentinel dans le portail Defender, les incidents Defender pour cloud corrélés sont diffusés en continu vers l’espace de travail principal. Pour plus d’informations, consultez Plusieurs espaces de travail Microsoft Sentinel dans le portail Defender.
Déconnectez le connecteur de données Microsoft Defender for Cloud basé sur abonnement (hérité) pour empêcher les alertes en double.
Désactivez toutes les règles d’analyse utilisées pour créer des incidents à partir d’alertes Defender pour cloud, soit des règles planifiées (type de requête standard) ou de sécurité Microsoft (création d’incidents).
Si nécessaire, utilisez des règles d’automatisation pour fermer les incidents bruyants, ou utilisez les fonctionnalités de réglage intégrées dans le portail Defender pour supprimer certaines alertes.
Si vous avez intégré vos incidents Microsoft Defender XDR à Microsoft Sentinel et souhaitez conserver les paramètres basés sur l’abonnement et éviter la synchronisation basée sur le locataire, désactivez la synchronisation des incidents et des alertes de Microsoft Defender XDR :
Dans le portail Microsoft Defender, accédez à Paramètres > Microsoft Defender XDR.
Dans les paramètres du service d’alerte, recherchez les alertes Microsoft Defender pour cloud.
Sélectionnez Aucune alerte pour désactiver toutes les alertes Defender pour cloud. La sélection de cette option arrête l’ingestion de nouvelles alertes Defender pour cloud à Microsoft Defender XDR. Les alertes ingérées précédemment restent dans une page d’alerte ou d’incident.
Pour plus d’informations, consultez l’article suivant :
- Ingérer les incidents Microsoft Defender for Cloud avec l’intégration de Microsoft Defender XDR
- Découvrir et gérer le contenu Microsoft Sentinel préconfiguré