Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’exportation continue des alertes de sécurité et des suggestions de Microsoft Defender pour le cloud peut vous aider à analyser les données dans Log Analytics ou dans Azure Event Hubs. Vous pouvez configurer l’exportation continue dans Defender pour Cloud à grande échelle à l’aide de modèles Azure Policy fournis.
Conseil / Astuce
Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Découvrez comment télécharger un fichier CSV.
Conditions préalables
Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire à un abonnement gratuit.
Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
Rôles et autorisations obligatoires :
Administrateur de sécurité ou Propriétaire pour le groupe de ressources
Autorisations en écriture pour la ressource cible.
Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
Pour exporter vers un espace de travail Log Analytics :
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/read. - S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/action.
En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Configurer l’exportation continue à grande échelle avec Azure Policy
L’automatisation des processus de surveillance et de réponse aux incidents de votre organisation peut vous aider à réduire le temps nécessaire pour examiner et atténuer les incidents de sécurité.
Pour déployer vos configurations d’exportation continue dans votre organisation, utilisez les stratégies Azure Policy DeployIfNotExist fournies pour créer et configurer des procédures d’exportation continue.
Pour implémenter ces stratégies :
Sélectionnez une stratégie à appliquer :
Objectif Stratégie ID de stratégie Exportation continue vers Event Hubs Déployer l’exportation vers Event Hubs pour les alertes et recommandations Microsoft Defender pour le cloud cdfcce10-4578-4ecd-9703-530938e4abcb Exportation continue vers l’espace de travail Log Analytics Déployer l’exportation vers l’espace de travail Log Analytics pour les alertes et recommandations Microsoft Defender pour le cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Sélectionnez Attribuer.
Sélectionnez chaque onglet et définissez les paramètres pour répondre à vos besoins :
Sous l’onglet Informations de base , définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, affectez la stratégie au groupe d’administration qui contient les abonnements qui utilisent la configuration d’exportation continue.
Sous l’onglet Paramètres , définissez les détails du groupe de ressources, de l’emplacement et des hubs d’événements.
Si vous le souhaitez, pour appliquer cette affectation à des abonnements existants, sélectionnez l’onglet Correction , puis sélectionnez l’option permettant de créer une tâche de correction.
Passez en revue la page récapitulative, puis sélectionnez Créer.
