Microsoft Defender for Endpoint
Intégrez les alertes, incidents et vulnérabilités Microsoft Defender
Le connecteur Microsoft Defender for Endpoint vous permet d'intégrer vos données de sécurité dans OverSOC pour une visibilité centralisée sur les incidents et vulnérabilités détectées.
Objectif
Le connecteur Microsoft Defender for Endpoint permet de récupérer les informations suivantes :
- Inventaire des machines
- Alertes et incidents de sécurité
- Vulnérabilités (Threat & Vulnerability Management)
Prérequis
- Tenant Microsoft 365 avec Microsoft Defender for Endpoint activé
- Application Azure AD configurée avec permissions appropriées
- Accès au portail Azure pour créer/gérer les applications
Informations à fournir dans OverSOC
| Champ | Description |
|---|---|
| API URL* | URL de l'API Microsoft Defender (ex: https://api.security.microsoft.com) |
| Token URL* | URL du endpoint de token Azure AD (ex: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token) |
| Tenant ID* | ID du tenant Azure AD |
| Application (Client) ID* | ID client de l'application Azure AD |
| Client Secret* | Secret client de l'application Azure AD |
Configuration
Enregistrer une application dans Microsoft Entra ID
- Accédez au Microsoft Entra admin center.
- Allez à Microsoft Entra ID > App registrations > New registration.
- Remplissez les détails de l'application :
- Name : OverSOC Microsoft Defender Connector
- Supported account types : Accounts in this organizational directory only
- Cliquez sur Register.
- À partir de la page d'aperçu de l'application, notez l'Application (Client) ID et le Directory (Tenant) ID.
Ajouter les permissions API Microsoft Defender
- Dans votre inscription d'application, allez à API permissions > Add a permission.
- Sélectionnez APIs my organization uses et recherchez WindowsDefenderATP.
- Cliquez sur WindowsDefenderATP.
- Sélectionnez Application permissions et ajoutez les éléments suivants :
Machine.Read.AllAlert.Read.AllVulnerability.Read.AllSecurityRecommendation.Read.All
- Cliquez sur Add permissions.
- Cliquez sur Grant admin consent for Organization et confirmez.
Générer un client secret
- Dans votre inscription d'application, allez à Certificates & secrets > New client secret.
- Ajoutez une description (ex: "OverSOC Connector").
- Sélectionnez une période d'expiration.
- Cliquez sur Add.
- Copiez immédiatement la Value (elle n'apparaîtra qu'une seule fois).
Configurer le connecteur dans OverSOC
- Dans OverSOC, accédez à Data Sources Settings > Sources.
- Sélectionnez Microsoft Defender for Endpoint et cliquez sur Configure.
- Renseignez tous les champs requis :
- API URL : https://api.security.microsoft.com
- Token URL : https://login.microsoftonline.com/{Tenant ID}/oauth2/v2.0/token
- Tenant ID : Votre Directory (Tenant) ID
- Application (Client) ID : Votre Client ID
- Client Secret : Votre valeur de secret générée
- Cliquez sur Save Configuration.
Référence : Microsoft Defender for Endpoint API - Create an app
Permissions requises
L'application Azure AD doit disposer des permissions minimales suivantes :
Machine.Read.All: Lecture de l'inventaire des machinesAlert.Read.All: Lecture des alertes et incidentsVulnerability.Read.All: Accès aux données de vulnérabilitésSecurityRecommendation.Read.All: Accès aux recommandations de sécurité