Exporter en continu des données Security Center

Azure Security Center génère des alertes et recommandations de sécurité détaillées. Vous pouvez les afficher dans le portail ou au moyen d’outils de programmation. Si nécessaire, vous pouvez également exporter en partie ou en totalité ces informations à des fins de suivi avec d’autres outils de supervision dans votre environnement.

L’exportation continue vous permet de personnaliser entièrement ce qui sera exporté et cela sera exporté. Par exemple, vous pouvez la configurer de sorte que :

  • Toutes les alertes de gravité élevée sont envoyées à un Event Hub Azure
  • Tous les résultats de gravité moyenne ou plus élevée issus des analyses d’évaluation des vulnérabilités de vos serveurs SQL sont envoyés à un espace de travail Log Analytics spécifique
  • Les recommandations spécifiques sont transmises à un Event Hub ou à un espace de travail Log Analytics lorsqu’elles sont générées
  • Le score sécurisé pour un abonnement est envoyé à un espace de travail Log Analytics chaque fois que le score d’un contrôle change de 0,01 ou plus

Bien que la fonctionnalité soit appelée continue, il existe également une option permettant d’exporter des instantanés hebdomadaires de données de niveau de sécurité ou de conformité réglementaire.

Cet article explique comment configurer l’exportation continue vers des espaces de travail Log Analytics ou vers Azure Event Hubs.

Notes

Si vous avez besoin d’intégrer Security Center à un SIEM, consultez Diffuser des alertes vers un système SIEM, SOAR ou une solution de gestion des services informatiques.

Conseil

Security Center offre également la possibilité d’effectuer une exportation manuelle ponctuelle au format CSV. Pour plus d’informations, consultez Exportation ponctuelle et manuelle des alertes de sécurité.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Gratuit
Rôles et autorisations obligatoires :
  • Administrateur de sécurité ou Propriétaire sur le groupe de ressources
  • Autorisations en écriture pour la ressource cible.
  • Si vous utilisez les stratégies Azure Policy « DeployIfNotExist » décrites ci-dessous, vous aurez également besoin d’autorisations pour attribuer des stratégies
  • Pour exporter des données vers Event Hub, vous devez disposer de l’Autorisation en écriture sur la Stratégie Hub d’événements.
  • Pour exporter vers un espace de travail Log Analytics :
    • s’il possède la solution SecurityCenterFree, vous avez besoin d’autorisations de lecture au minimum pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/read
    • s’il ne possède pas la solution SecurityCenterFree, vous devez disposer d’autorisations d’écriture pour la solution d’espace de travail : Microsoft.OperationsManagement/solutions/action
    • En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics
Clouds : Clouds commerciaux
Nationaux/Souverains (Azure Government, Azure China 21Vianet)

Quels types de données peuvent être exportés ?

L’exportation continue peut exporter les types de données suivants à chaque modification :

  • Alertes de sécurité.
  • Recommandations relatives à la sécurité.
  • Résultats de sécurité. Ils peuvent être considérés comme des « sous » recommandations et appartiennent à une recommandation « parent ». Par exemple :
    • La recommandation « Des mises à jour système doivent être installées sur vos machines » aura une « sous »recommandation pour chaque mise à jour système en suspens.
    • La recommandation « Les vulnérabilités de vos machines virtuelles doivent être corrigées » aura une « sous »recommandation pour chaque vulnérabilité identifiée par l’analyseur des vulnérabilités.

    Notes

    Si vous configurez une exportation continue avec l’API REST, incluez toujours le parent avec les résultats.

  • Score sécurisé par abonnement ou par contrôle
  • Données de conformité réglementaire

Configurer une exportation continue

Vous pouvez configurer l’exportation continue à partir des pages Security Center dans Portail Azure, via l’API REST Security Center ou à grande échelle à l’aide des modèles Azure Policy fournis. Sélectionnez l’onglet approprié ci-dessous pour obtenir des informations détaillées sur chacune des options.

Configurer l’exportation continue à partir des pages Security Center dans Portail Azure

Les étapes ci-dessous sont nécessaires si vous configurez une exportation continue vers un espace de travail Log Analytics ou vers Azure Event Hubs.

  1. Dans la barre latérale de Security Center, sélectionnez Tarification et paramètres.

  2. Sélectionnez l’abonnement pour lequel vous souhaitez configurer l’exportation de données.

  3. Dans la barre latérale de la page de paramètres de cet abonnement, sélectionnez Exportation continue.

    Options d’exportation dans Azure Security Center

    Les options d’exportation sont affichées ici. Il y a un onglet distinct pour chaque cible d’exportation disponible.

  4. Sélectionnez le type de données que vous souhaitez exporter, puis choisissez les filtres à appliquer sur chaque type (par exemple, exporter uniquement les alertes d’un niveau de gravité élevé).

  5. Sélectionnez la fréquence d’exportation appropriée :

    • Streaming : les évaluations sont envoyées quand l’état d’intégrité d’une ressource est mis à jour (si aucune mise à jour n’est effectuée, aucune donnée n’est envoyée).
    • Captures instantanées : un instantané de l’état actuel de toutes les évaluations de conformité aux réglementations sera envoyé une fois par semaine par abonnement. Cette fonctionnalité en version préliminaire fournit des instantanés hebdomadaires de scores sécurisés et de données de conformité réglementaire. Pour identifier les données de capture instantanée, recherchez le champ IsSnapshot.
  6. Éventuellement, si votre sélection inclut l’une de ces recommandations, vous pouvez inclure les résultats de l’évaluation des vulnérabilités :

    • Les résultats des vulnérabilités des bases de données SQL doivent être résolus
    • Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
    • Les vulnérabilités dans les images Azure Container Registry doivent être corrigées (avec Qualys)
    • Les vulnérabilités de vos machines virtuelles doivent être corrigées
    • Des mises à jour système doivent être installées sur vos machines

    Pour inclure les résultats avec ces recommandations, activez l’option Intégrer les découvertes de sécurité.

    Intégrer les résultats de sécurité dans la configuration de l’exportation continue

  7. À partir de la zone « Cible d’exportation », choisissez l’emplacement où enregistrer les données. Les données peuvent être enregistrées à un emplacement cible dans un abonnement différent (par exemple, sur une instance Event Hub centrale ou un espace de travail Log Analytics central).

  8. Sélectionnez Enregistrer.

Informations relatives à l’exportation vers un espace de travail Log Analytics

Si vous voulez analyser des données Azure Security Center dans un espace de travail Log Analytics ou utiliser des alertes Azure avec des alertes Security Center, configurez l’exportation continue vers votre espace de travail Log Analytics.

Tables et schémas Log Analytics

Les alertes et les recommandations de sécurité sont stockées dans les tables SecurityAlert et SecurityRecommendation respectivement.

Le nom de la solution Log Analytics contenant ces tables varie selon que vous avez activé Azure Defender ou non : Security ('Security and Audit') ou SecurityCenterFree.

Conseil

Pour afficher les données dans l’espace de travail de destination, vous devez activer l’une de ces solutions : Security and Audit ou SecurityCenterFree.

Table SecurityAlert dans Log Analytics.

Pour afficher les schémas d’événements des types de données exportés, visitez les schémas de table Log Analytics.

Voir les alertes et les recommandations exportées dans Azure Monitor

Vous pouvez choisir de voir les alertes de sécurité exportées et/ou les recommandations dans Azure Monitor.

Azure Monitor fournit une expérience d’alerte unifiée pour diverses alertes Azure, dont le Journal de diagnostic, les Alertes de métriques et les alertes personnalisées basées sur des requêtes d’espace de travail Log Analytics.

Pour voir les alertes et les recommandations à partir de Security Center dans Azure Monitor, configurez une règle d’alerte en fonction des requêtes Log Analytics (Alerte de journal) :

  1. Dans la page Alertes d’Azure Monitor, sélectionnez Nouvelle règle d’alerte.

    Page d’alertes Azure Monitor

  2. Dans la page Créer une règle, configurez votre nouvelle règle (de la même façon que vous configurez une règle d’alerte de journal dans Azure Monitor) :

    • Pour Ressource, sélectionnez l’espace de travail Log Analytics vers lequel vous avez exporté des alertes de sécurité et des recommandations.

    • Pour Condition, sélectionnez Recherche personnalisée dans les journaux. Dans la page qui s’affiche, configurez la requête, la période de recherche arrière et la période de fréquence. Dans la requête de recherche, vous pouvez taper SecurityAlert ou SecurityRecommendation pour interroger les types de données vers lequel Security Center exporte en continu quand vous activez la fonctionnalité d’exportation continue vers Log Analytics.

    • Vous pouvez éventuellement configurer le Groupe d’actions que vous souhaitez déclencher. Les groupes d’actions peuvent déclencher l’envoi d’e-mails, des tickets ITSM, des webhooks, et plus encore. Règle d’alerte Azure Monitor.

Vous voyez maintenant de nouvelles alertes ou recommandations Azure Security Center (en fonction des règles d’exportation continue configurées et de la condition que vous avez définie dans votre règle d’alerte Azure Monitor) dans les alertes Azure Monitor, avec le déclenchement automatique d’un groupe d’actions (le cas échéant).

Exportation ponctuelle et manuelle des alertes de sécurité

Pour télécharger un rapport CSV pour les alertes ou les recommandations, ouvrez la page Alertes de sécurité ou Recommandations, puis sélectionnez le bouton Télécharger le rapport CSV.

Conseil

En raison des limitations d’Azure Resource Graph, les rapports sont limités à une taille de fichier de 13 000 lignes. Si vous constatez des erreurs liées à l’exportation d’un trop grand nombre de données, essayez de limiter la sortie en sélectionnant un plus petit ensemble d’abonnements à exporter.

Télécharger les données d’alertes dans un fichier CSV.

Notes

Ces rapports contiennent les alertes et les recommandations générées pour les ressources incluses dans les abonnements actuellement sélectionnés.

FAQ – Exportation continue

Quels sont les coûts liés à l’exportation des données ?

L’activation d’une exportation continue n’entraîne aucun coût. Des coûts peuvent résulter de l’ingestion et de la rétention de données dans votre espace de travail Log Analytics, en fonction de la configuration que vous définissez ici.

Pour en savoir plus, consultez la tarification de l’espace de travail Log Analytics.

Pour en savoir plus, consultez la tarification d’Azure Event Hub.

L’exportation inclut-elle des données sur l’état actuel de toutes les ressources ?

Non. L’exportation continue est générée pour le streaming d’événements :

  • Les alertes reçues avant l’activation de l’exportation ne sont pas exportées.
  • Des recommandations sont envoyées dès que l’état de conformité d’une ressource change. Par exemple, lorsqu’une ressource passe de l’état sain à l’état non sain. Par conséquent, comme pour les alertes, les recommandations liées aux ressources dont l’état n’a pas changé depuis l’activation de l’exportation ne sont pas exportées.
  • Le score sécurisé par contrôle de sécurité ou abonnement est envoyé lorsque le score d’un contrôle de sécurité change de 0,01 ou plus.
  • L’état de conformité réglementaire est envoyé lorsque l’état de conformité de la ressource change.

Pourquoi les recommandations sont-elles envoyées à des intervalles différents ?

Différentes recommandations ont des intervalles d’évaluation de la conformité différents, qui peuvent varier de quelques minutes à plusieurs jours. Par conséquent, le temps nécessaire à l’affichage des recommandations dans les exportations n’est pas toujours le même.

L’exportation continue prend-elle en charge les scénarios de continuité d’activité et de reprise d’activité (BCDR) ?

Lors de la préparation de votre environnement pour les scénarios BCDR, où la ressource cible subit une panne ou un autre incident, il incombe à l’organisation d’éviter la perte de données en créant des sauvegardes conformes aux instructions fournies par Azure Event Hubs, l’espace de travail Log Analytics et l’application logique.

Pour en savoir plus, consultez Azure Event Hubs - Géorécupération d’urgence.

L’exportation continue est-elle disponible avec le service gratuit Azure Security Center ?

Oui ! Notez que de nombreuses alertes Security Center ne sont fournies que lorsque vous avez activé Azure Defender. Pour afficher les alertes obtenues dans vos données exportées, vous pouvez afficher les alertes présentées dans les pages Security Center du portail Azure.

Étapes suivantes

Dans cet article, vous avez appris à configurer des exportations continues de vos alertes et recommandations. Vous avez également appris à télécharger vos données d’alertes dans un fichier CSV.

Pour des informations connexes, consultez la documentation suivante :