إعداد التصدير المستمر في مدخل Microsoft Azure

ينشئ Microsoft Defender for Cloud تنبيهات وتوصيات أمان مُفصَّلة. لتحليل المعلومات الموجودة في هذه التنبيهات والتوصيات، يمكنك تصديرها إلى Log Analytics في Azure Monitor، أو إلى Azure Event Hubs، أو إلى حل آخر لنموذج توزيع معلومات الأمان والأحداث (SIEM) أو Security Orchestration Automated Response (SOAR) أو حل نموذج التوزيع الكلاسيكي لتكنولوجيا المعلومات. يمكنك دفق التنبيهات والتوصيات عند إنشائها أو تحديد جدول زمني لإرسال لقطات دورية لجميع البيانات الجديدة.

توضح هذه المقالة كيفية إعداد التصدير المستمر إلى مساحة عمل Log Analytics أو إلى مركز أحداث في Azure.

تلميح

يوفر Defender for Cloud أيضا خيار القيام بتصدير يدوي لفترة واحدة إلى ملف قيم مفصولة بفواصل (CSV). تعرف على كيفية تنزيل ملف CSV.

المتطلبات الأساسية

• تحتاج إلى اشتراك Microsoft Azure. إذا لم يكن لديك اشتراك Azure، يمكنك التسجيل للحصول على اشتراك مجاني.

• يجب تمكين Microsoft Defender for Cloud على اشتراك Azure الخاص بك.

الأدوار والأذونات المطلوبة:

• مسؤول الأمان أو المالك لمجموعة الموارد
• كتابة أذونات للمورد الهدف.
• إذا كنت تستخدم نهج Azure DeployIfNotExist، يجب أن يكون لديك أذونات تتيح لك تعيين النهج.
• لتصدير البيانات إلى مراكز الأحداث، يجب أن يكون لديك أذونات الكتابة على نهج مراكز الأحداث.
• للتصدير إلى مساحة عمل Log Analytics:

  • إذا كان لديه حل SecurityCenterFree، يجب أن يكون لديك الحد الأدنى من أذونات القراءة لحل مساحة العمل: Microsoft.OperationsManagement/solutions/read.

  • إذا لم يكن لديه حل SecurityCenterFree، يجب أن يكون لديك أذونات الكتابة لحل مساحة العمل: Microsoft.OperationsManagement/solutions/action.

    تعرف على المزيد حول حلول مساحة عمل Azure Monitor وLog Analytics.

إعداد التصدير المستمر في مدخل Microsoft Azure

يمكنك إعداد التصدير المستمر على صفحات Microsoft Defender for Cloud في مدخل Microsoft Azure، أو باستخدام واجهة برمجة تطبيقات REST، أو على نطاق واسع باستخدام قوالب نهج Azure المتوفرة.

لإعداد تصدير مستمر إلى Log Analytics أو Azure Event Hubs باستخدام مدخل Microsoft Azure:

1. في قائمة Defender for Cloud resource، حدد Environment settings.

2. حدد الاشتراك الذي تريد تكوين تصدير البيانات له.

3. في قائمة الموارد ضمن Settings، حدد Continuous export.

   

   تظهر خيارات التصدير. هناك علامة تبويب لكل هدف تصدير متاح، إما مركز الحدث أو مساحة عمل Log Analytics.

4. حدد نوع البيانات الذي تريد تصديره، واختر من عوامل التصفية على كل نوع (على سبيل المثال، تصدير التنبيهات عالية الخطورة فقط).

5. حدد معدل تكرار التصدير:

   • البث. يتم إرسال التقييمات عند تحديث الحالة الصحية للمورد (إذا لم تحدث تحديثات، فلن يتم إرسال أي بيانات).
   • لقطات الشاشة. لقطة للحالة الحالية بأنواع البيانات المحددة التي يتم إرسالها مرة واحدة في الأسبوع لكل اشتراك. لتحديد بيانات اللقطة، ابحث عن الحقل IsSnapshot.

   إذا كان اختيارك يتضمن إحدى هذه التوصيات، يمكنك تضمين نتائج تقييم الثغرات الأمنية معهم:

   • ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية
   • يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة
   • يجب أن تحتوي صور سجل الحاوية على نتائج الثغرات الأمنية التي تم حلها (مدعومة من Qualys)
   • يجب أن تحتوي الأجهزة على نتائج الثغرات الأمنية التي تم حلها
   • ينبغي تثبيت تحديثات النظام على أجهزتك

   لتضمين النتائج مع هذه التوصيات، قم بتعيين Include security findings إلى Yes.

   

6. ضمن تصدير الهدف، اختر المكان الذي تريد حفظ البيانات فيه. يمكن حفظ البيانات في هدف اشتراك مختلف (على سبيل المثال، في مثيل مراكز الأحداث المركزية أو في مساحة عمل Log Analytics المركزية).

   يمكنك أيضا إرسال البيانات إلى مركز أحداث أو مساحة عمل Log Analytics في مستأجر مختلف

7. حدد حفظ.

إشعار

يدعم Log Analytics السجلات التي يصل حجمها إلى 32 كيلوبايت فقط. عند الوصول إلى حد البيانات، يعرض التنبيه الرسالة تم تجاوز حد البيانات.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية تكوين عمليات التصدير المستمرة لتوصياتك وتنبيهاتك. كما تعلمت كيفية تنزيل بيانات التنبيهات كملف CSV.

للاطلاع على المحتوى ذي الصلة:

• تعرف على المزيد حول قوالب أتمتة سير العمل.
• راجع وثائق Azure Event Hubs.
• تعرّف على المزيد حول Microsoft Azure Sentinel.
• راجع وثائق Azure Monitor.
• تعرف على كيفية تصدير مخططات أنواع البيانات.
• اطلع على الأسئلة الشائعة حول التصدير المستمر.