Afficher des données exportées dans Azure Monitor
Une fois que vous avez configuré l’exportation continue des alertes et des recommandations de sécurité Microsoft Defender pour le cloud, vous pouvez afficher les données dans Azure Monitor. Cet article explique comment afficher les données dans Log Analytics ou dans Azure Event Hubs.
Prérequis
- Configurez l’exportation continue dans le portail Azure, configurez l’exportation continue avec Azure Policy ou configurez l’exportation continue avec l’API REST.
Voir les alertes et les recommandations exportées dans Azure Monitor
Azure Monitor fournit une expérience d’alerte unifiée pour différentes alertes Azure, dont un journal de diagnostic, des alertes de métriques et des alertes personnalisées qui sont basées sur des requêtes d’espace de travail Log Analytics.
Pour voir les alertes et les suggestions depuis Defender pour le cloud dans Azure Monitor, configurez une règle d’alerte en fonction des requêtes Log Analytics (une alerte de journal).
Pour configurer une règle d'alerte :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Surveiller.
Sélectionnez Alertes.
Sélectionnez Nouvelle règle d’alerte.
Mettez en place votre nouvelle règle de la même façon que vous configurez une règle d’alerte de journal dans Azure Monitor :
Pour Ressource, sélectionnez l’espace de travail Log Analytics vers lequel vous avez exporté des alertes de sécurité et des recommandations.
Pour Condition, sélectionnez Recherche personnalisée dans les journaux. Dans la page qui s’affiche, configurez la requête, la période de recherche arrière et la période de fréquence. Dans la requête de recherche, vous pouvez saisir SecurityAlert ou SecurityRecommendation pour interroger les types de données vers lequel Defender pour le cloud exporte en continu quand vous activez la fonctionnalité d’exportation continue vers Log Analytics.
Si vous le souhaitez, créez un groupe d’actions à déclencher. Les groupes d'action peuvent automatiser l'envoi d'un courriel, la création d'un ticket ITSM, l'exécution d'un webhook, etc. en fonction d'un événement survenu dans votre environnement.
Les suggestions ou alertes Defender pour le cloud s’affichent (en fonction de vos règles d’exportation continue configurées et de la condition que vous avez définie dans votre règle d’alerte Azure Monitor) dans des alertes Azure Monitor, avec un déclenchement automatique d’un groupe d’actions (le cas échéant).