Ingérer les incidents Microsoft Defender pour le cloud à l’intégration Microsoft Defender XDR

  • Article

Microsoft Defender pour le cloud est désormais intégré à Microsoft Defender XDR, anciennement Microsoft 365 Defender. Cette intégration permet à Defender XDR de collecter des alertes à partir de Defender pour le cloud et de s’en servir pour créer des incidents Defender XDR.

Grâce à cette intégration, les clients de Microsoft Sentinel qui activent l’intégration des incidents Defender XDR peuvent désormais ingérer et synchroniser les incidents Defender for Cloud via Microsoft Defender XDR.

Pour prendre en charge cette intégration, vous devez configurer l’un des connecteurs de données Microsoft Defender pour le cloud suivants, sinon vos incidents pour Microsoft Defender pour le Cloud arrivant par le connecteur Microsoft Defender XDR n’afficheront pas les alertes et entités associées :

  • Microsoft Sentinel dispose d’un nouveau connecteur Microsoft Defender pour le cloud (Preview) basé sur les locataires. Ce connecteur permet aux clients de Microsoft Sentinel de recevoir des alertes Defender pour le Cloud pour l’ensemble de leurs locataires, sans avoir à surveiller et à maintenir l’inscription du connecteur à tous leurs abonnements Defender pour le Cloud. Nous recommandons d’utiliser ce nouveau connecteur, car l’intégration de Microsoft Defender XDR avec Microsoft Defender pour le cloud est également mise en œuvre au niveau du locataire.

  • Vous pouvez également utiliser le connecteur Microsoft Defender pour le cloud (hérité) basé sur l’abonnement. Ce connecteur n’est pas recommandé, car si vous avez des abonnements Defender pour le cloud qui ne sont pas connectés à Microsoft Sentinel dans le connecteur, les incidents de ces abonnements n’afficheront pas les alertes et entités associées.

Les deux connecteurs mentionnés ci-dessus peuvent être utilisés pour ingérer des alertes Defender pour le cloud, que l’intégration des incidents Defender XDR soit activée ou non.

Important

Choisissez comment utiliser cette intégration et le nouveau connecteur

La manière dont vous choisirez d'utiliser cette intégration, et si vous souhaitez ingérer des incidents complets ou seulement des alertes, dépendra en grande partie de ce que vous faites déjà en ce qui concerne les incidents Microsoft Defender XDR.

  • Si vous ingérez déjà des incidents Defender XDR, ou si vous décidez de commencer à le faire maintenant, il est fortement conseillé d'activer ce nouveau connecteur basé sur les locataires. Vos incidents Defender XDR incluront désormais les incidents basés sur Defender pour le cloud avec des alertes entièrement remplies à partir de tous les abonnements Defender pour le cloud dans votre locataire.

    Si, dans cette situation, vous restez avec l'ancien connecteur Defender pour le cloud basé sur l'abonnement et ne connectez pas le nouveau connecteur basé sur le locataire, vous pouvez recevoir des incidents Defender pour le cloud qui contiennent des alertes vides (dans le cas d'un abonnement auquel le connecteur n'est pas enrôlé).

  • Si vous n’avez pas l’intention d’activer l’intégration des incidents Microsoft Defender XDR, vous pouvez toujours recevoir des alertes Defender pour le cloud, quelle que soit la version du connecteur que vous activez. Cependant, le nouveau connecteur basé sur les locataires vous offre toujours l'avantage de ne pas avoir besoin d'autorisations pour surveiller et maintenir votre liste d'abonnements à Defender pour le cloud dans le connecteur.

  • Si vous avez activé l’intégration de Defender XDR, mais que vous souhaitez uniquement recevoir des alertes Defender pour le cloud, mais pas des incidents, vous pouvez utiliser des règles d’automatisation pour fermer immédiatement les incidents Defender pour le cloud à mesure qu’elles arrivent.

    Si cette solution n'est pas adéquate, ou si vous souhaitez toujours collecter des alertes de Defender pour le cloud sur la base d'un abonnement, vous pouvez vous désengager complètement de l'intégration de Defender pour le cloud dans le portail Microsoft Defender XDR, puis utiliser l'ancienne version basée sur l'abonnement du connecteur Defender pour le cloud pour recevoir ces alertes.

Configurer l’intégration dans Microsoft Azure Sentinel

Si vous n’avez pas encore activé l’intégration des incidents dans votre connecteur Microsoft 365 Defender, commencez par le faire.

Ensuite, activez le nouveau connecteur Microsoft Defender pour le cloud (préversion) basé sur le locataire. Ce connecteur est disponible via la solution Microsoft Defender pour le cloud, version 3.0.0, dans le hub de contenu. Si vous disposez d'une version antérieure de cette solution, vous pouvez la mettre à jour dans le hub de contenu.

Si vous aviez précédemment activé le connecteur Defender pour le cloud basé sur un abonnement (qui sera affiché en tant que Microsoft Defender pour le cloud (hérité) basé sur un abonnement), vous êtes invité à le désactiver pour empêcher la duplication des alertes dans vos journaux.

Si vous avez des règles d’analytique de sécurité planifiées ou Microsoft qui créent des incidents à partir d’alertes Defender pour le cloud, vous êtes encouragés à désactiver ces règles, car vous recevrez des incidents prêts à l’emploi créés et synchronisés avec Microsoft 365 Defender.

S'il existe des types spécifiques d'alertes Defender pour le cloud pour lesquelles vous ne souhaitez pas créer d'incidents, vous pouvez utiliser des règles d'automatisation pour clôturer ces incidents immédiatement, ou vous pouvez utiliser les capacités de réglage intégrées dans le portail Microsoft 365 Defender.

Étapes suivantes

Dans cet article, vous avez appris à utiliser l'intégration de Microsoft Defender pour le cloud avec Microsoft Defender XDR pour ingérer des incidents et des alertes dans Microsoft Sentinel.

En savoir plus sur l’Intégration de Microsoft Defender pour le cloud à Microsoft Defender XDR.