تصدير التنبيهات والتوصيات مع التصدير المستمر
يوفر Microsoft Defender for Cloud تصديرا مستمرا لبيانات الأمان. تسمح لك هذه الميزة ببث بيانات الأمان إلى Log Analytics في Azure Monitor، أو إلى Azure Event Hubs، أو إلى معلومات الأمان وإدارة الأحداث (SIEM) أو الاستجابة التلقائية لتنسيق الأمان (SOAR) أو حل نموذج التوزيع الكلاسيكي لتكنولوجيا المعلومات. يمكنك تحليل البيانات وتصورها باستخدام سجلات Azure Monitor وميزات Azure Monitor الأخرى.
عند إعداد التصدير المستمر، يمكنك تخصيص المعلومات المراد تصديرها بالكامل والمكان الذي تنتقل إليه المعلومات. على سبيل المثال، يمكنك تكوينه بحيث:
- يتم إرسال جميع التنبيهات عالية الخطورة إلى مركز أحداث Azure.
- يتم إرسال جميع النتائج المتوسطة أو عالية الخطورة من عمليات فحص تقييم الثغرات الأمنية لأجهزة الكمبيوتر التي تشغل SQL Server إلى مساحة عمل Log Analytics معينة.
- يتم تسليم توصيات محددة إلى مركز أحداث أو مساحة عمل Log Analytics كلما تم إنشاؤها.
- يتم إرسال درجة الأمان للاشتراك إلى مساحة عمل Log Analytics كلما تغيرت درجة عنصر التحكم بمقدار 0.01 أو أكثر.
ما أنواع البيانات التي يمكن تصديرها؟
يمكنك استخدام التصدير المستمر لتصدير أنواع البيانات التالية كلما تغيرت:
- توصيات الأمان.
- خطورة التوصية.
- النتائج الأمنية.
- درجة الأمان.
- عناصر التحكم.
- تنبيهات الأمان.
- الامتثال التنظيمي.
- مسارات الهجوم
خطورة التوصية ونتائج الأمان وعناصر التحكم هي فئات فرعية تنتمي إلى فئة أصل . على سبيل المثال:
- يجب تثبيت تحديثات النظام للتوصيات على أجهزتك (مدعومة من مركز التحديث)ويجب تثبيت تحديثات النظام على أجهزتك لكل منها توصية فرعية واحدة لكل تحديث نظام بارز.
- يجب أن يكون لدى أجهزة التوصية نتائج الثغرات الأمنية التي تم حلها توصية فرعية لكل ثغرة أمنية يحددها الماسح الضوئي للثغرات الأمنية.
إشعار
إذا كنت تقوم بتكوين التصدير المستمر باستخدام واجهة برمجة تطبيقات REST، فضمن دائما الأصل مع النتائج.
تصدير البيانات إلى مركز أحداث أو مساحة عمل Log Analytics في مستأجر آخر
لا يمكنك تكوين البيانات لتصديرها إلى مساحة عمل Log Analytics في مستأجر آخر إذا كنت تستخدم نهج Azure لتعيين التكوين. تعمل هذه العملية فقط عند استخدام واجهة برمجة تطبيقات REST لتعيين التكوين، ويكون التكوين غير مدعوم في مدخل Microsoft Azure (لأنه يتطلب سياقا متعدد المستأجرين). لا يحل Azure Lighthouse هذه المشكلة مع Azure Policy، على الرغم من أنه يمكنك استخدام Azure Lighthouse كطريقة مصادقة.
عند جمع البيانات في مستأجر، يمكنك تحليل البيانات من موقع مركزي واحد.
لتصدير البيانات إلى مركز أحداث أو مساحة عمل Log Analytics في مستأجر مختلف:
في المستأجر الذي يحتوي على مركز الحدث أو مساحة عمل Log Analytics، قم بدعوة مستخدم من المستأجر الذي يستضيف تكوين التصدير المستمر، أو يمكنك تكوين Azure Lighthouse للمستأجر المصدر والوجهة.
إذا كنت تستخدم وصول المستخدم الضيف بين الشركات (B2B) في معرف Microsoft Entra، فتأكد من قبول المستخدم للدعوة للوصول إلى المستأجر كضيف.
إذا كنت تستخدم مساحة عمل Log Analytics، فعين للمستخدم في مستأجر مساحة العمل أحد هذه الأدوار: المالك أو المساهم أو مساهم تحليلات السجل أو مساهم Sentinel أو مساهم المراقبة.
إنشاء الطلب وإرساله إلى Azure REST API لتكوين الموارد المطلوبة. يجب إدارة الرموز المميزة للحامل في كل من سياق المستأجر المحلي (مساحة العمل) والمستأجر البعيد (التصدير المستمر).
التصدير إلى مساحة عمل Log Analytics
إذا كنت ترغب في تحليل بيانات Microsoft Defender for Cloud داخل مساحة عمل Log Analytics أو استخدام تنبيهات Azure مع تنبيهات Defender for Cloud، فقم بإعداد التصدير المستمر إلى مساحة عمل Log Analytics.
جداول ومخططات Log Analytics
يتم تخزين تنبيهات الأمان والتوصيات في جدولي SecurityAlertوSecurityRecommendation على التوالي.
يعتمد اسم حل Log Analytics الذي يحتوي على هذه الجداول على ما إذا قمت بتمكين ميزات الأمان المحسنة: الأمان (حل الأمان والتدقيق) أو SecurityCenterFree.
تلميح
لمشاهدة البيانات على مساحة العمل الوجهة، يجب تمكين أحد هذه الحلول: الأمان والتدقيق أو SecurityCenterFree.
لعرض مخططات الأحداث الخاصة وأنواع البيانات المصدرة، راجع مخططات جدول Log Analytics.
المحتوى ذو الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ