Průběžný export dat v programu Microsoft Defender pro cloud

Microsoft Defender for Cloud generuje podrobné výstrahy zabezpečení a doporučení. Pokud chcete analyzovat informace v těchto upozorněních a doporučeních, můžete je exportovat do služby Azure Log Analytics, Event Hubs nebo do jiného řešení SPRÁVY služeb SIEM, SOAR nebo IT Service Management. Výstrahy a doporučení můžete streamovat, když se vygenerují, nebo můžete definovat plán pro odesílání pravidelných snímků všech nových dat.

Díky průběžnému exportu si plně přizpůsobíte, co se exportuje a kam se bude exportovat. Můžete ho například nakonfigurovat tak, aby:

  • Všechny výstrahy s vysokou závažností se odesílají do centra událostí Azure.
  • Všechna zjištění střední nebo vyšší závažnosti z kontrol posouzení ohrožení zabezpečení vašich sql serverů se odesílají do konkrétního pracovního prostoru Služby Log Analytics.
  • Konkrétní doporučení se doručují do centra událostí nebo do pracovního prostoru Log Analytics, kdykoli se vygenerují.
  • Skóre zabezpečení předplatného se odešle do pracovního prostoru Služby Log Analytics vždy, když se skóre ovládacího prvku změní o 0,01 nebo více.

Tento článek popisuje, jak nakonfigurovat průběžný export do pracovních prostorů služby Log Analytics nebo do centra událostí Azure.

Tip

Defender for Cloud také nabízí možnost jednorázového ručního exportu do sdíleného svazku clusteru. Další informace najdete v ručním jednorázovém exportu výstrah a doporučení.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Free
Požadované role a oprávnění:
  • Správce zabezpečení nebo vlastník skupiny prostředků
  • Oprávnění k zápisu cílového prostředku
  • Pokud používáte zásady Azure Policy DeployIfNotExist popsané níže, budete také potřebovat oprávnění pro přiřazování zásad.
  • Pokud chcete exportovat data do služby Event Hubs, budete potřebovat oprávnění k zápisu v zásadách služby Event Hubs.
  • Export do pracovního prostoru Služby Log Analytics:
    • pokud má řešení SecurityCenterFree, budete pro řešení pracovního prostoru potřebovat minimálně oprávnění ke čtení: Microsoft.OperationsManagement/solutions/read
    • Pokud řešení SecurityCenterFree nemá, budete potřebovat oprávnění k zápisu pro řešení pracovního prostoru: Microsoft.OperationsManagement/solutions/action
    • Další informace o řešeních pracovních prostorů Služby Azure Monitor a Log Analytics
Mraky: Komerční cloudy
National (Azure Government, Azure China 21Vianet)

Jaké datové typy je možné exportovat?

Průběžný export může při každé změně exportovat následující datové typy:

Nastavení průběžného exportu

Pomocí zadaných šablon Azure Policy můžete nakonfigurovat průběžný export ze stránek Microsoft Defenderu pro cloud v Azure Portal, přes rozhraní REST API nebo ve velkém měřítku. Pokud chcete zobrazit podrobnosti o jednotlivých kartách, vyberte příslušnou kartu níže.

Konfigurace průběžného exportu ze stránek Defenderu pro cloud v Azure Portal

Následující kroky jsou nezbytné, ať už nastavujete průběžný export do Log Analytics nebo Azure Event Hubs.

  1. V nabídce Defenderu pro cloud otevřete nastavení prostředí.

  2. Vyberte konkrétní předplatné, pro které chcete nakonfigurovat export dat.

  3. Na bočním panelu stránky nastavení pro toto předplatné vyberte Průběžný export.

    Možnosti exportu v Programu Microsoft Defender pro cloud

    Tady vidíte možnosti exportu. Pro každý dostupný cíl exportu je k dispozici karta, centrum událostí nebo pracovní prostor Služby Log Analytics.

  4. Vyberte datový typ, který chcete exportovat, a vyberte si z filtrů u každého typu (například exportujte jenom upozornění s vysokou závažností).

  5. Vyberte frekvenci exportu:

    • Streamování – hodnocení se odešle při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou odeslána žádná data).
    • Snímky – snímek aktuálního stavu vybraných datových typů se odešle jednou týdně za předplatné. Pokud chcete identifikovat data snímků, vyhledejte pole IsSnapshot.

    Pokud váš výběr obsahuje jedno z těchto doporučení, můžete společně s nimi zahrnout zjištění posouzení ohrožení zabezpečení:

    Pokud chcete do těchto doporučení zahrnout zjištění, povolte možnost zahrnout zjištění zabezpečení .

    Zahrnout přepínač zjištění zabezpečení do konfigurace průběžného exportu

  6. V oblasti Exportovat cíl vyberte, kam chcete data uložit. Data je možné uložit do cíle v jiném předplatném (například v instanci centra centrálních událostí nebo v centrálním pracovním prostoru Služby Log Analytics).

    Data můžete také odeslat do centra událostí nebo do pracovního prostoru Log Analytics v jiném tenantovi.

  7. Vyberte Uložit.

Poznámka

Log Analytics podporuje záznamy, které mají velikost pouze 32 kB. Jakmile dojde k dosažení limitu dat, zobrazí se upozornění s informací o tom, že .Data limit has been exceeded

Export do pracovního prostoru služby Log Analytics

Pokud chcete analyzovat data Microsoft Defenderu pro cloud v pracovním prostoru služby Log Analytics nebo používat upozornění Azure společně s upozorněními Defenderu pro cloud, nastavte průběžný export do pracovního prostoru služby Log Analytics.

Tabulky a schémata Log Analytics

Výstrahy a doporučení zabezpečení se ukládají v tabulkách SecurityAlert a SecurityRecommendation .

Název řešení Log Analytics obsahujícího tyto tabulky závisí na tom, jestli jste povolili rozšířené funkce zabezpečení: Zabezpečení (Zabezpečení a audit) nebo SecurityCenterFree.

Tip

Pokud chcete zobrazit data v cílovém pracovním prostoru, musíte povolit jedno z těchto řešení Zabezpečení a audit nebo SecurityCenterFree.

Tabulka SecurityAlert v Log Analytics

Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata tabulek Log Analytics.

Export dat do centra událostí Azure nebo pracovního prostoru Služby Log Analytics v jiném tenantovi

Data můžete exportovat do centra událostí Azure nebo pracovního prostoru Služby Log Analytics v jiném tenantovi, což vám pomůže shromáždit data pro centrální analýzu.

Export dat do centra událostí Azure nebo pracovního prostoru Služby Log Analytics v jiném tenantovi:

  1. V tenantovi, který má centrum událostí Azure nebo pracovní prostor služby Log Analytics, pozvěte uživatele z tenanta, který hostuje konfiguraci průběžného exportu.
  2. Pracovní prostor služby Log Analytics: Jakmile uživatel přijme pozvánku k připojení k tenantovi, přiřaďte uživateli v tenantovi pracovního prostoru jednu z těchto rolí: Vlastník, Přispěvatel, Přispěvatel Log Analytics, Přispěvatel služby Sentinel, Přispěvatel monitorování
  3. Nakonfigurujte konfiguraci průběžného exportu a vyberte centrum událostí nebo pracovní prostor Analýzy, do které se mají data odesílat.

Zobrazení exportovaných upozornění a doporučení ve službě Azure Monitor

Můžete se také rozhodnout zobrazit exportovaná upozornění zabezpečení nebo doporučení ve službě Azure Monitor.

Azure Monitor poskytuje jednotné prostředí pro upozorňování pro různé výstrahy Azure, včetně diagnostických protokolů, upozornění metrik a vlastních upozornění na základě dotazů na pracovní prostor služby Log Analytics.

Pokud chcete zobrazit upozornění a doporučení ze služby Defender for Cloud ve službě Azure Monitor, nakonfigurujte pravidlo upozornění na základě dotazů Log Analytics (upozornění protokolu):

  1. Na stránce Upozornění služby Azure Monitor vyberte Nové pravidlo upozornění.

    Stránka upozornění služby Azure Monitor

  2. Na stránce pro vytvoření pravidla nakonfigurujte nové pravidlo (stejným způsobem jako byste nakonfigurovali pravidlo upozornění protokolu ve službě Azure Monitor):

    • Jako prostředek vyberte pracovní prostor služby Log Analytics, do kterého jste exportovali výstrahy a doporučení zabezpečení.

    • Jako podmínku vyberte Vlastní prohledávání protokolu. Na stránce, která se zobrazí, nakonfigurujte dotaz, období zpětného vyhledávání a období četnosti. Do vyhledávacího dotazu můžete zadat SecurityAlert nebo SecurityRecommendation a dotazovat se na datové typy, které Defender for Cloud průběžně exportuje, protože povolíte průběžný export do log Analytics funkce.

    • Volitelně můžete nakonfigurovat skupinu akcí , kterou chcete aktivovat. Skupiny akcí můžou aktivovat odesílání e-mailů, lístky ITSM, webhooky a další. Pravidlo upozornění služby Azure Monitor

V upozorněních služby Azure Monitor se teď zobrazí nová upozornění nebo doporučení v programu Microsoft Defender for Cloud (v závislosti na nakonfigurovaných pravidlech průběžného exportu a podmínce, kterou jste definovali v pravidle upozornění služby Azure Monitor) s automatickým triggerem skupiny akcí (pokud je k dispozici).

Ruční jednorázový export výstrah a doporučení

Pokud chcete stáhnout sestavu CSV pro výstrahy nebo doporučení, otevřete stránku Výstrahy zabezpečení nebo Doporučení a vyberte tlačítko Stáhnout sestavu CSV .

Tip

Vzhledem k omezením Azure Resource Graph jsou sestavy omezené na velikost souboru 13 tisíc řádků. Pokud dochází k chybám souvisejícím s příliš velkým objemem exportovaných dat, zkuste výstup omezit výběrem menší sady předplatných, která se mají exportovat.

Stáhněte si data upozornění jako soubor CSV.

Poznámka

Tyto sestavy obsahují výstrahy a doporučení pro prostředky z aktuálně vybraných předplatných.

Nejčastější dotazy – Průběžný export

Jaké jsou náklady spojené s exportem dat?

Za povolení průběžného exportu se nestaví žádné náklady. V závislosti na vaší konfiguraci můžou vzniknout náklady na příjem dat a jejich uchovávání v pracovním prostoru služby Log Analytics.

Mnoho upozornění se poskytuje jenom v případě, že jste pro své prostředky povolili plány Defenderu. Dobrým způsobem, jak zobrazit náhled výstrah, které dostanete do exportovaných dat, je zobrazit upozornění zobrazená na stránkách Defenderu pro cloud v Azure Portal.

Přečtěte si další informace o cenách pracovního prostoru služby Log Analytics.

Přečtěte si další informace o cenách Azure Event Hubs.

Zahrnuje export data o aktuálním stavu všech prostředků?

No. Průběžný export je vytvořený pro streamování událostí:

  • Upozornění přijatá před povolením exportu se neexportují.
  • Doporučení se odesílají při každé změně stavu dodržování předpisů prostředku. Například když se prostředek změní z dobrého stavu na není v pořádku. Stejně jako u upozornění se proto doporučení pro prostředky, které nezměnily stav, protože povolený export se neexportuje.
  • Skóre zabezpečení na bezpečnostní prvek nebo předplatné se odešle, když se skóre bezpečnostního ovládacího prvku změní o 0,01 nebo více.
  • Stav dodržování právních předpisů se odešle, když se stav dodržování předpisů prostředku změní.

Proč se doporučení odesílají v různých intervalech?

Různá doporučení mají různé intervaly vyhodnocení dodržování předpisů, které můžou být v rozsahu každých několik minut až po každých několik dní. Takže doba, po kterou trvá zobrazení doporučení ve vašich exportech, se liší.

Podporuje průběžný export nějaké scénáře provozní kontinuity nebo zotavení po havárii (BCDR)?

Průběžný export může být užitečný při přípravě na scénáře BCDR, kdy u cílového prostředku dochází k výpadku nebo jiné havárii. Je ale zodpovědností organizace zabránit ztrátě dat tím, že vytváří zálohy podle pokynů z Azure Event Hubs, pracovního prostoru služby Log Analytics a aplikace logiky.

Další informace najdete v Azure Event Hubs – geografické zotavení po havárii.

Další kroky

V tomto článku jste zjistili, jak nakonfigurovat průběžné exporty doporučení a upozornění. Dozvěděli jste se také, jak stáhnout data upozornění jako soubor CSV.

Související materiály najdete v následující dokumentaci: