Průběžný export dat Microsoft Defender pro cloud

Microsoft Defender for Cloud generuje podrobné výstrahy zabezpečení a doporučení. Pokud chcete analyzovat informace v těchto upozorněních a doporučeních, můžete je exportovat do Azure Log Analytics, Event Hubs nebo do jiného řešení SIEM, SOAR nebo IT Service Management. Upozornění a doporučení můžete streamovat při jejich generování nebo můžete definovat plán odesílání pravidelných snímků všech nových dat.

Díky průběžnému exportu si plně přizpůsobíte, co se bude exportovat a kam se přesune. Můžete ho například nakonfigurovat tak, aby:

  • Všechna upozornění s vysokou závažností se odesílají do centra událostí Azure.
  • Všechna zjištění střední nebo vyšší závažnosti z kontrol posouzení ohrožení zabezpečení serverů SQL se odesílají do konkrétního pracovního prostoru služby Log Analytics.
  • Konkrétní doporučení se doručují do centra událostí nebo pracovního prostoru služby Log Analytics vždy, když se vygenerují.
  • Skóre zabezpečení pro předplatné se odešle do pracovního prostoru služby Log Analytics vždy, když se skóre ovládacího prvku změní o 0,01 nebo více.

Tento článek popisuje, jak nakonfigurovat průběžný export do pracovních prostorů služby Log Analytics nebo do služby Azure Event Hubs.

Tip

Defender for Cloud také nabízí možnost jednorázového ručního exportu do sdíleného svazku clusteru. Další informace najdete v tématu Ruční jednorázový export upozornění a doporučení.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Free
Požadované role a oprávnění:
  • Správce zabezpečení nebo vlastník skupiny prostředků
  • Oprávnění k zápisu pro cílový prostředek
  • Pokud používáte zásady Azure Policy DeployIfNotExist popsané níže, budete také potřebovat oprávnění k přiřazování zásad.
  • K exportu dat do služby Event Hubs budete potřebovat oprávnění k zápisu v zásadách služby Event Hubs.
  • Export do pracovního prostoru služby Log Analytics:
    • Pokud má řešení SecurityCenterFree, budete pro řešení pracovního prostoru potřebovat minimální oprávnění ke čtení: Microsoft.OperationsManagement/solutions/read
    • Pokud řešení SecurityCenterFree nemá, budete pro řešení pracovního prostoru potřebovat oprávnění k zápisu: Microsoft.OperationsManagement/solutions/action
    • Další informace o řešeních pracovních prostorů Služby Azure Monitor a Log Analytics
Mraky: Komerční cloudy
Národní (Azure Government, Azure China 21Vianet)

Jaké datové typy je možné exportovat?

Průběžný export může při každé změně exportovat následující datové typy:

Nastavení průběžného exportu

Průběžný export můžete nakonfigurovat z Microsoft Defender pro cloudové stránky v Azure Portal, prostřednictvím rozhraní REST API nebo škálovat pomocí dodaných šablon Azure Policy. Vyberte příslušnou kartu níže, kde najdete podrobnosti o každé z nich.

Konfigurace průběžného exportu ze stránek Defenderu pro cloud v Azure Portal

Následující kroky jsou nezbytné bez ohledu na to, jestli nastavujete průběžný export do Log Analytics nebo Azure Event Hubs.

  1. V nabídce Defenderu pro cloud otevřete Nastavení prostředí.

  2. Vyberte konkrétní předplatné, pro které chcete nakonfigurovat export dat.

  3. Na bočním panelu stránky nastavení pro toto předplatné vyberte Průběžný export.

    Možnosti exportu v Microsoft Defender pro cloud

    Tady vidíte možnosti exportu. Pro každý dostupný cíl exportu, centrum událostí nebo pracovní prostor služby Log Analytics, je k dispozici karta.

  4. Vyberte datový typ, který chcete exportovat, a vyberte si z filtrů pro každý typ (například exportovat pouze upozornění na vysokou závažnost).

  5. Vyberte frekvenci exportu:

    • Streamování – hodnocení se odešlou při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou se odesílat žádná data).
    • Snímky – snímek aktuálního stavu vybraných datových typů se bude odesílat jednou týdně pro každé předplatné. Pokud chcete identifikovat data snímků, vyhledejte pole IsSnapshot.

    Pokud váš výběr obsahuje jedno z těchto doporučení, můžete spolu s nimi zahrnout zjištění posouzení ohrožení zabezpečení:

    Pokud chcete závěry zahrnout do těchto doporučení, povolte možnost zahrnout zjištění zabezpečení .

    Do konfigurace průběžného exportu zahrňte přepínač zjištění zabezpečení.

  6. V oblasti Exportovat cíl zvolte, kam se mají data ukládat. Data je možné uložit v cíli jiného předplatného (například v instanci centra centrálních událostí nebo v centrálním pracovním prostoru služby Log Analytics).

    Data můžete také odeslat do centra událostí nebo pracovního prostoru služby Log Analytics v jiném tenantovi.

  7. Vyberte Uložit.

Poznámka

Log Analytics podporuje záznamy, které mají velikost pouze 32 kB. Po dosažení datového limitu se zobrazí upozornění s informací, že hodnota Data limit has been exceeded.

Export do pracovního prostoru služby Log Analytics

Pokud chcete analyzovat Microsoft Defender pro cloudová data v pracovním prostoru služby Log Analytics nebo používat upozornění Azure společně s upozorněními Defenderu pro cloud, nastavte průběžný export do pracovního prostoru služby Log Analytics.

Tabulky a schémata Log Analytics

Výstrahy zabezpečení a doporučení se ukládají v tabulkách SecurityAlert a SecurityRecommendation v uvedeném pořadí.

Název řešení Log Analytics, které obsahuje tyto tabulky, závisí na tom, jestli jste povolili rozšířené funkce zabezpečení: Security (Security and Audit) nebo SecurityCenterFree.

Tip

Pokud chcete zobrazit data v cílovém pracovním prostoru, musíte povolit jedno z těchto řešení Security and Audit nebo SecurityCenterFree.

Tabulka SecurityAlert v Log Analytics

Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata tabulek Log Analytics.

Export dat do centra událostí Azure nebo pracovního prostoru služby Log Analytics v jiném tenantovi

Data můžete exportovat do centra událostí Azure nebo pracovního prostoru služby Log Analytics v jiném tenantovi bez použití Služby Azure Lighthouse. Při shromažďování dat do tenanta můžete analyzovat data z jednoho centrálního umístění.

Export dat do centra událostí Azure nebo pracovního prostoru služby Log Analytics v jiném tenantovi:

  1. V tenantovi, který má centrum událostí Azure nebo pracovní prostor služby Log Analytics, pozvěte uživatele z tenanta, který hostuje konfiguraci průběžného exportu.
  2. Pro pracovní prostor služby Log Analytics: Jakmile uživatel přijme pozvánku k připojení ke tenantovi, přiřaďte uživateli v tenantovi pracovního prostoru jednu z těchto rolí: Vlastník, Přispěvatel, Přispěvatel Log Analytics, Přispěvatel služby Sentinel, Přispěvatel monitorování.
  3. Nakonfigurujte konfiguraci průběžného exportu a vyberte centrum událostí nebo pracovní prostor Analýzy, do které chcete data odesílat.

Export do jiného tenanta můžete také nakonfigurovat prostřednictvím rozhraní REST API. Další informace najdete v rozhraní REST API pro automatizaci.

Zobrazení exportovaných upozornění a doporučení ve službě Azure Monitor

Můžete se také rozhodnout zobrazit exportovaná upozornění zabezpečení nebo doporučení ve službě Azure Monitor.

Azure Monitor poskytuje jednotné prostředí pro upozorňování pro různé výstrahy Azure, včetně diagnostických protokolů, upozornění na metriky a vlastních výstrah založených na dotazech pracovních prostorů služby Log Analytics.

Pokud chcete zobrazit upozornění a doporučení z Defenderu pro cloud ve službě Azure Monitor, nakonfigurujte pravidlo upozornění na základě dotazů Log Analytics (upozornění protokolu):

  1. Na stránce Upozornění služby Azure Monitor vyberte Nové pravidlo upozornění.

    Stránka upozornění služby Azure Monitor.

  2. Na stránce vytvořit pravidlo nakonfigurujte nové pravidlo (stejným způsobem jako byste nakonfigurovali pravidlo upozornění protokolu ve službě Azure Monitor):

    • V části Prostředek vyberte pracovní prostor služby Log Analytics, do kterého jste exportovali upozornění a doporučení zabezpečení.

    • Jako Podmínka vyberte Vlastní prohledávání protokolu. Na stránce, která se zobrazí, nakonfigurujte dotaz, období zpětného vyhledávání a období četnosti. Do vyhledávacího dotazu můžete zadat SecurityAlert nebo SecurityRecommendation a dotazovat se na datové typy, do které Defender for Cloud průběžně exportuje, když povolíte funkci průběžného exportu do Log Analytics.

    • Volitelně můžete nakonfigurovat skupinu akcí , kterou chcete aktivovat. Skupiny akcí můžou aktivovat odesílání e-mailů, lístky ITSM, webhooky a další. Pravidlo upozornění služby Azure Monitor.

V upozorněních služby Azure Monitor se teď zobrazí nové Microsoft Defender pro cloudová upozornění nebo doporučení (v závislosti na nakonfigurovaných pravidlech průběžného exportu a podmínce, kterou jste definovali v pravidle upozornění služby Azure Monitor) s automatickou aktivací skupiny akcí (pokud je k dispozici).

Ruční jednorázový export upozornění a doporučení

Pokud si chcete stáhnout sestavu CSV pro upozornění nebo doporučení, otevřete stránku Výstrahy zabezpečení nebo Doporučení a vyberte tlačítko Stáhnout sestavu CSV .

Tip

Vzhledem k omezením azure Resource Graph jsou sestavy omezené na velikost souboru 13 000 řádků. Pokud se zobrazují chyby související s příliš velkým objemem exportovaných dat, zkuste omezit výstup výběrem menší sady předplatných, která se mají exportovat.

Stáhněte si data upozornění jako soubor CSV.

Poznámka

Tyto sestavy obsahují upozornění a doporučení pro prostředky z aktuálně vybraných předplatných.

Nejčastější dotazy – Průběžný export

Jaké jsou náklady spojené s exportem dat?

Povolení průběžného exportu nemá žádné náklady. V závislosti na vaší konfiguraci můžou vzniknout náklady na příjem a uchovávání dat v pracovním prostoru služby Log Analytics.

Mnoho upozornění se poskytuje jenom v případě, že jste povolili plány Defenderu pro vaše prostředky. Dobrým způsobem, jak zobrazit náhled upozornění, která dostanete do exportovaných dat, je zobrazit upozornění zobrazená na stránkách Defenderu pro cloud v Azure Portal.

Přečtěte si další informace o cenách pracovního prostoru služby Log Analytics.

Přečtěte si další informace o cenách Azure Event Hubs.

Zahrnuje export data o aktuálním stavu všech prostředků?

No. Průběžný export je vytvořený pro streamování událostí:

  • Upozornění přijatá před povolením exportu se nebudou exportovat.
  • Doporučení se odesílají vždy, když se změní stav dodržování předpisů prostředku. Například když se prostředek změní ze stavu v pořádku na prostředek, který není v pořádku. Proto se stejně jako u upozornění nebudou exportovat doporučení pro prostředky, které nezměnily stav od povolení exportu.
  • Skóre zabezpečení na bezpečnostní ovládací prvek nebo předplatné se odešle, když se skóre ovládacího prvku zabezpečení změní o 0,01 nebo více.
  • Stav dodržování právních předpisů se odešle, když se změní stav dodržování předpisů u prostředku.

Proč se doporučení odesílají v různých intervalech?

Různá doporučení mají různé intervaly vyhodnocení dodržování předpisů, které se můžou pohybovat od každých několika minut až po několik dní. Proto se doba potřebná k zobrazení doporučení ve vašich exportech liší.

Podporuje průběžný export nějaké scénáře provozní kontinuity nebo zotavení po havárii (BCDR)?

Průběžný export může být užitečný při přípravě na scénáře BCDR, kdy u cílového prostředku dochází k výpadku nebo jiné havárii. Je ale zodpovědností organizace, aby zabránila ztrátě dat vytvořením záloh podle pokynů z Azure Event Hubs, pracovního prostoru služby Log Analytics a aplikace logiky.

Další informace najdete v tématu Azure Event Hubs – Geografické zotavení po havárii.

Další kroky

V tomto článku jste se dozvěděli, jak nakonfigurovat průběžné exporty doporučení a upozornění. Také jste se dozvěděli, jak stáhnout data upozornění jako soubor CSV.

Související materiály najdete v následující dokumentaci: