Configuration Compliance Données importées pour Microsoft Defender for Cloud Integration

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Configuration Compliance importe les politiques, les tests, les sources de référence et les résultats des tests à partir d’intégrations tierces et les stocke dans des modules pour consultation.

    Remarque :
    À partir de la version 14.9 de Configuration Compliance, les termes suivants ont été renommés :
    Tableau 1. Changements de terminologie
    Terminologie antérieure à la version 14.9 Terminologie à partir de la version 14.9
    Groupe de résultats des tests Tâche de rattrapage
    Règle de groupe Règles de la tâche de rattrapage
    Politique Groupe de tests

    Groupes de tests

    Un groupe de tests de configuration constitue un groupe de tests. Les groupes de tests sont associés à des documents et à des enregistrements de test faisant autorité, et peuvent être modifiés pour répondre aux besoins de votre organisation. Un test de configuration peut appartenir à plusieurs groupes de tests.

    Si la est installée, les Microsoft Defender for Cloud Integration groupes de tests sont récupérés et renseignés par la tâche planifiée Intégration des définitions de stratégies. Vous pouvez afficher la tâche planifiée en accédant à Tous > Intégration de Microsoft Defender pour le cloud > Administration > Intégrations > Intégration des définitions de politiques.
    Remarque :
    Si vous choisissez d’exécuter l’intégration manuellement, exécutez d’abord l’intégration des définitions de politiques .

    Tests

    Les tests sont des bibliothèques d’enregistrements de données qui organisent les analyses des ressources informatiques. Les tests de configuration définissent la manière dont les actifs doivent être gérés.

    Un Configuration Compliance test est le mécanisme utilisé par les applications d’intégration tierces pour regrouper les actifs par type de résultats de test.

    Si la Microsoft Defender for Cloud Integration est installée, la tâche planifiée, Intégration des métadonnées d’évaluation, récupère les tests. Vous pouvez afficher la tâche planifiée en accédant à Intégration > Intégrations principales > Intégration des métadonnées d’évaluation.
    Remarque :
    Si vous choisissez d’exécuter l’intégration manuellement, exécutez l’intégration des métadonnées d’évaluation après l’intégration des définitions de politique.

    Sources d'autorité

    Configuration Compliance utilise des sources et des citations faisant autorité lors de la génération d’alertes de vulnérabilité pour les tests. Les sources faisant autorité renvoient généralement à des sections de normes industrielles publiées, telles que ISO 27001 et PCI DSS 3.2.1.

    Ces enregistrements sources contiennent des références à des informations sur les problèmes connus de configuration logicielle et matérielle provenant d’experts dans le domaine de la sécurité informatique. Ils définissent les exigences en matière de politiques et de procédures de sécurité.

    Si le Microsoft Defender for Cloud Integration est installé, la tâche planifiée, Normes et contrôles de conformité, récupère les sources et les citations faisant autorité. Vous pouvez afficher cette tâche planifiée en accédant à Tous > Intégration de Microsoft Defender pour le cloud > Intégrations > Intégration des normes de conformité et des contrôles.
    Remarque :
    Si vous choisissez d’exécuter l’intégration manuellement, exécutez l’intégration des normes et contrôles de conformité après l’intégration des métadonnées d’évaluation.

    Actifs

    L’intégration d’évaluation fournit des informations essentielles telles que les balises de ressource et les attributs du cloud. Ces informations sont affichées dans le formulaire Élément détecté.  Il est principalement utilisé pour le filtrage dans Configuration Compliance les règles d’affectation et de groupe.
    • Balises de ressource : toutes les balises de ressource dans le cloud sont importées en tant que balises d’hôte dans le cadre de l’intégration de l’évaluation. Les balises dans le cloud pour tout type de ressource dans le cloud sont stockées ici, que la ressource soit un hôte ou non.
      • Le stockage des balises n’est pas sensible à la casse. Si une balise Tokyo est créée, une balise TOKYO ne peut pas être stockée dans la table Balise hôte. Tokyo et TOKYO sont considérés comme la même balise d’hôte. La balise qui a été importée en premier gagne.
      • L’utilisation de balises d’hôte comme clé de groupe dans une règle de groupe peut avoir des résultats inattendus. Les balises d’hôte sont destinées à être utilisées uniquement dans le créateur de condition.
    • Attributs dans le cloud pour les actifs : voici les attributs du cloud à partir desquels Microsoft Defender pour le cloudles intégrations récupèrent :
      • Compte dans le cloud
      • Région du cloud
      • Type de ressource dans le cloud
      • Fournisseur de services dans le cloud

    Résultats des tests

    Configuration Compliance ne calcule pas les résultats des tests, mais les importe dans le cadre d’une intégration tierce. Une fois qu’ils sont visibles dans , ils sont corrigés à Configuration Compliancel’aide de groupes de résultats des tests.

    Si l’intégration Microsoft Defender pour le cloud est installée, la tâche planifiée, Intégration de l’évaluation, récupère les résultats des tests. Vous pouvez afficher cette tâche planifiée en accédant à Tous > Intégration de Microsoft Defender pour le cloud > Intégrations > Intégration de l’évaluation.

    L’importation de l’intégration d’évaluation est la seule intégration qui utilise le Start Time paramètre dans l’onglet Détails de l’intégration. Toutes les autres Configuration Compliance importations apportent toutes les données disponibles, indépendamment de Start Time.

    Lorsque l’importation de l’intégration de l’évaluation est terminée, un événement est démarré pour déclencher les calculs de fin d’importation.

    L’intégration d’évaluation extrait les évaluations de données uniquement en cas de changement d’état par défaut par rapport à la dernière exécution réussie de la dernière intégration. Ainsi, si l’évaluation échoue continuellement au cours des derniers jours, l’intégration ne récupérera pas l’évaluation car il n’y a aucun changement d’état pour l’évaluation. Pour maintenir les résultats des tests à jour par rapport aux évaluations du défenseur, une nouvelle intégration d’évaluation complète est ajoutée et extrait les données des sept derniers jours. Il s’exécute chaque semaine et extrait tous les résultats des tests qui ne sont pas réussis.

    Règles de recherche de CI pour l’identification des CI à partir des Microsoft Defender pour le cloud intégrations

    Lorsque les données sont importées à partir d’une intégration tierce, Configuration Compliance utilise automatiquement les données de ressource pour rechercher des correspondances dans la , à l’aide des Base de données de gestion des configurations (CMDB)règles de recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement des résultats des tests pour faciliter la correction. Les règles de recherche de CI du système de base sont disponibles pour l’ID de ressource, le nom et la catégorie S3. Pour plus d’informations sur les règles de recherche de CI, consultez Règles de verrouillage de CI pour Microsoft Defender for Cloud Integration for Security Operations.