Afficher des données exportées dans Azure Monitor

Une fois que vous avez configuré l’exportation continue des alertes et des recommandations de sécurité Microsoft Defender pour cloud, vous pouvez afficher les données dans Azure Monitor. Cet article explique comment afficher les données dans Log Analytics ou dans Azure Event Hubs et créer des règles d’alerte dans Azure Monitor en fonction de ces données.

Conditions préalables

Avant de commencer, configurez l’exportation continue avec l’une des méthodes suivantes :

• Configurer l’exportation continue dans le portail Azure
• Configurer l’exportation continue avec Azure Policy
• Configurer l’exportation continue avec l’API REST.

Afficher les données exportées dans Log Analytics

Lorsque vous exportez des données Defender pour cloud vers un espace de travail Log Analytics, deux tables principales sont créées automatiquement :

• SecurityAlert
• SecurityRecommendation

Vous pouvez interroger ces tables dans Log Analytics pour vérifier que l’exportation continue fonctionne.

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez espaces de travail Log Analytics.

3. Sélectionnez l’espace de travail que vous avez configuré comme cible d’exportation continue.

4. Dans le menu de l’espace de travail, sous Général, sélectionnez Journaux.

5. Dans la fenêtre de requête, entrez l’une des requêtes suivantes, puis sélectionnez Exécuter :

   SecurityAlert
   

   ou

   SecurityRecommendation
   

Afficher les données exportées dans Azure Event Hubs

Lorsque vous exportez des données vers Azure Event Hubs, Defender pour Cloud diffuse en continu des alertes et des recommandations en tant que messages d’événement. Vous pouvez afficher ces événements exportés dans le portail Azure et les analyser davantage en connectant un service en aval.

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez espace de noms Event Hubs.

3. Sélectionnez l’espace de noms et le hub d’événements que vous avez configurés pour l’exportation continue.

4. Dans le menu Event Hub, sélectionnez Métriques pour afficher l’activité des messages, ou Traiter les données> pour examiner le contenu de l’événement stocké dans votre destination de capture.

5. Si vous le souhaitez, utilisez un outil connecté tel que Microsoft Sentinel, un SIEM ou une application consommateur personnalisée pour lire et traiter les événements exportés.

Créer des règles d’alerte dans Azure Monitor (facultatif)

Vous pouvez créer des alertes Azure Monitor en fonction de vos données Defender for Cloud exportées. Ces alertes vous permettent de déclencher automatiquement des actions, telles que l’envoi de notifications par e-mail ou la création de tickets ITSM, lorsque des événements de sécurité spécifiques se produisent.

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Moniteur.

3. Sélectionnez Alertes.

4. Sélectionnez + Créer une>règle d’alerte.

   

5. Configurez votre nouvelle règle de la même façon que vous configurez une règle d’alerte de journal dans Azure Monitor :

   • Pour les types de ressources, sélectionnez l’espace de travail Log Analytics vers lequel vous avez exporté des alertes de sécurité et des recommandations.
   • Pour Condition, sélectionnez Recherche personnalisée dans les journaux. Dans la page qui s’affiche, configurez la requête, la période de recherche arrière et la période de fréquence. Dans la requête, entrez SecurityAlert ou SecurityRecommendation.
   • Si vous le souhaitez, créez un groupe d’actions à déclencher. Les groupes d’actions peuvent automatiser l’envoi d’un e-mail, la création d’un ticket ITSM, l’exécution d’un webhook, etc. en fonction d’un événement dans votre environnement.

Après avoir enregistré la règle, les alertes ou recommandations Defender pour cloud apparaissent dans Azure Monitor en fonction de vos conditions de configuration d’exportation continue et de règle d’alerte. Si vous avez lié un groupe d’actions, il se déclenche automatiquement lorsque les critères de règle sont remplis.

Étape suivante