Connecter les données d’alertes Azure Defender à partir d’Azure Security Center

Utilisez le connecteur d’alerte Azure Defender pour ingérer des alertes Azure Defender à partir d’Azure Security Center et les diffuser vers Azure Sentinel.

Prérequis

  • Votre utilisateur doit avoir le rôle Lecteur Sécurité dans l’abonnement des journaux que vous diffusez.

  • Vous devez activer Azure Defender dans Azure Security Center (le niveau standard n’existe plus et n’est plus une exigence de licence).

Connexion à Azure Defender

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

  2. Dans la Galerie connecteurs de données, sélectionnez Alertes Azure Defender issues d’ASC (peut être appelé Azure Security Center), puis cliquez sur le bouton Ouvrir la page du connecteur.

  3. Sous Configuration, cliquez sur Se connecter à côté de chaque abonnement dont vous souhaitez diffuser les alertes dans Azure Sentinel. Le bouton Connecter n’est disponible que si vous disposez des autorisations requises.

  4. Vous pouvez indiquer si vous voulez que les alertes d’Azure Defender génèrent automatiquement des incidents dans Azure Sentinel. Sous Créer des incidents, sélectionnez Activé pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir d’alertes. Vous pouvez ensuite modifier cette règle sous Analytique dans l’onglet Règles actives.

  5. Pour utiliser le schéma pertinent dans Log Analytics pour les alertes d’Azure Defender, recherchez SecurityAlert.

Étapes suivantes

Ce document vous a montré comment connecter Azure Defender à Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :