Použití datových připojení

  • Článek

Tento článek popisuje funkci datových připojení v Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM).

Přehled

Defender EASM teď nabízí datová připojení, která vám pomůžou bezproblémově integrovat data potenciální oblasti útoku do jiných řešení Microsoftu a doplnit stávající pracovní postupy novými přehledy. Data z programu Defender EASM musíte načíst do ostatních nástrojů zabezpečení, které používáte pro účely nápravy, abyste co nejlépe využili data potenciální oblasti útoku.

Datový konektor odesílá data prostředků Defenderu EASM na dvě různé platformy: Log Analytics a Azure Data Explorer. Do některého z nástrojů musíte exportovat data Defender EASM. Datová připojení podléhají cenovému modelu pro každou příslušnou platformu.

Log Analytics poskytuje informace o zabezpečení a správu událostí a orchestraci zabezpečení, automatizaci a možnosti reakce. Informace o prostředcích nebo přehledech Defenderu EASM je možné v Log Analytics použít k obohacení stávajících pracovních postupů o další data zabezpečení. Tyto informace můžou doplnit informace o bráně firewall a konfiguraci, analýzu hrozeb a data dodržování předpisů a poskytnout tak přehled o vaší externí infrastruktuře na otevřeném internetu.

Můžete:

  • Vytváření nebo rozšiřování incidentů zabezpečení
  • Sestavte playbooky pro šetření.
  • Trénujte algoritmy strojového učení.
  • Aktivujte nápravné akce.

Azure Data Explorer je analytická platforma pro velké objemy dat, která pomáhá analyzovat velké objemy dat z různých zdrojů s flexibilními možnostmi přizpůsobení. Data prostředků a přehledů Služby Defender EASM je možné integrovat pro použití funkcí vizualizace, dotazů, příjmu dat a správy v rámci platformy.

Ať už vytváříte vlastní sestavy pomocí Power BI nebo proaktivní vyhledávání prostředků, které odpovídají přesným dotazům KQL, export dat Defender EASM do Azure Data Explorer vám umožní využít potenciální prostor pro útoky s nekonečným potenciálem přizpůsobení.

Možnosti obsahu dat

Datová připojení Defender EASM nabízejí možnost integrovat do nástroje podle vašeho výběru dva různé druhy potenciálních dat útoku. Můžete se rozhodnout migrovat data prostředků, přehledy možností útoku nebo oba datové typy. Data o prostředcích poskytují podrobné podrobnosti o celém inventáři. Přehledy možností útoku poskytují přehledy okamžitě použitelné na základě řídicích panelů Defender EASM.

Abyste mohli přesně prezentovat infrastrukturu, která je pro vaši organizaci nejdůležitější, obě možnosti obsahu zahrnují pouze prostředky ve stavu schváleného inventáře.

Data majetku: Možnost Data majetku odesílá data o všech vašich inventářích do nástroje podle vašeho výběru. Tato možnost je nejvhodnější pro případy použití, kdy jsou podrobná podkladová metadata klíčem k integraci se službou Defender EASM. Mezi příklady patří Microsoft Sentinel nebo přizpůsobené vytváření sestav v Azure Data Explorer. Můžete exportovat základní kontext pro každý prostředek v inventáři a podrobné podrobnosti specifické pro konkrétní typ prostředku.

Tato možnost neposkytuje žádné předem určené přehledy o prostředcích. Místo toho nabízí rozsáhlé množství dat, abyste mohli najít přizpůsobené přehledy, na které vám nejvíc záleží.

Přehledy potenciálních oblastí útoků: Přehledy prostoru útoku poskytují sadu výsledků s možností akce na základě klíčových přehledů dodaných prostřednictvím řídicích panelů v prostředí Defender EASM. Tato možnost poskytuje méně podrobná metadata pro každý prostředek. Kategorizuje prostředky na základě odpovídajících přehledů a poskytuje základní kontext potřebný k dalšímu zkoumání. Tato možnost je ideální, pokud chcete tyto předem určené přehledy integrovat do vlastních pracovních postupů generování sestav s daty z jiných nástrojů.

Přehledy konfigurace

Tato část obsahuje obecné informace o konfiguraci.

Přístup k datovým připojením

V podokně prostředků EASM defenderu úplně vlevo v části Spravovat vyberte Datová připojení. Na této stránce se zobrazují datové konektory pro Log Analytics i Azure Data Explorer. Obsahuje seznam aktuálních připojení a nabízí možnost přidat, upravit nebo odebrat připojení.

Snímek obrazovky se stránkou Datová připojení

Požadavky na připojení

Pokud chcete úspěšně vytvořit datové připojení, musíte nejprve ověřit, že jste dokončili požadované kroky k udělení oprávnění EASM defenderu pro nástroj podle vašeho výběru. Tento proces umožňuje aplikaci ingestovat exportovaná data. Poskytuje také přihlašovací údaje pro ověřování potřebné ke konfiguraci připojení.

Konfigurace oprávnění Log Analytics

  1. Otevřete pracovní prostor služby Log Analytics, který bude ingestovat vaše data Defender EASM, nebo vytvořte nový pracovní prostor.

  2. V podokně úplně vlevo v části Nastavení vyberte Agenti.

    Snímek obrazovky znázorňující agenty Log Analytics

  3. Rozbalte část Pokyny k agentu Log Analytics a zobrazte ID a primární klíč pracovního prostoru. Tyto hodnoty se používají k nastavení datového připojení.

Použití tohoto datového připojení podléhá cenové struktuře Log Analytics. Další informace najdete v tématu Ceny služby Azure Monitor.

Konfigurace oprávnění Azure Data Explorer

Ujistěte se, že instanční objekt rozhraní DEFENDER EASM API má přístup ke správným rolím v databázi, do které chcete exportovat data potenciální oblasti útoku. Nejprve se ujistěte, že se váš prostředek Defender EASM vytvořil v příslušném tenantovi, protože tato akce zřídí objekt zabezpečení rozhraní API EASM.

  1. Otevřete cluster Azure Data Explorer, který bude ingestovat vaše data Defender EASM, nebo vytvořte nový cluster.

  2. V podokně úplně vlevo v části Data vyberte Databáze.

  3. Vyberte Add Database (Přidat databázi ) a vytvořte databázi pro uložení dat v programu Defender EASM.

    Snímek obrazovky znázorňující Azure Data Explorer Přidat databázi

  4. Pojmenujte databázi, nakonfigurujte dobu uchovávání a mezipaměti a vyberte Vytvořit.

    Snímek obrazovky znázorňující vytvoření nové databáze

  5. Po vytvoření databáze Defender EASM výběrem názvu databáze otevřete stránku s podrobnostmi. V podokně úplně vlevo v části Přehled vyberte Oprávnění. Pokud chcete úspěšně exportovat data Defender EASM do Azure Data Explorer, musíte pro rozhraní API EASM vytvořit dvě nová oprávnění: user (uživatel) a ingestor (ingestor).

    Snímek obrazovky znázorňující oprávnění azure Data Explorer

  6. Vyberte Přidat a vytvořte uživatele. Vyhledejte EASM API, vyberte hodnotu a zvolte Vybrat.

  7. Vyberte Přidat a vytvořte ingestor. Postupujte podle výše uvedených kroků a přidejte rozhraní API EASM jako ingestora.

  8. Vaše databáze je teď připravená k připojení k nástroji EaSM v programu Defender. Při konfiguraci datového připojení potřebujete název clusteru, název databáze a oblast.

Přidání datového připojení

Data Defender EASM můžete připojit k Log Analytics nebo Azure Data Explorer. Uděláte to tak, že na stránce Datová připojenívyberete Přidat připojení pro příslušný nástroj.

Na pravé straně stránky Datová připojení se otevře podokno konfigurace. Následující pole jsou povinná pro každý příslušný nástroj.

Log Analytics

  • Název: Zadejte název tohoto datového připojení.

  • ID pracovního prostoru: Zadejte ID pracovního prostoru pro instanci Log Analytics, do které chcete exportovat data Defender EASM.

  • Klíč rozhraní API: Zadejte klíč rozhraní API pro instanci Log Analytics.

  • Obsah: Tuto možnost vyberte, pokud chcete integrovat data prostředků, přehledy možností útoku nebo obě datové sady.

  • Frekvence: Vyberte frekvenci, kterou připojení EASM defenderu používá k odesílání aktualizovaných dat do zvoleného nástroje. Dostupné možnosti jsou denně, týdně a měsíčně.

    Snímek obrazovky znázorňující obrazovku Přidat datové připojení pro Log Analytics

Průzkumník dat Azure

  • Název: Zadejte název tohoto datového připojení.

  • Název clusteru: Zadejte název clusteru Azure Data Explorer, do kterého chcete exportovat data Defender EASM.

  • Oblast: Zadejte oblast clusteru Azure Data Explorer.

  • Název databáze: Zadejte název požadované databáze.

  • Obsah: Tuto možnost vyberte, pokud chcete integrovat data prostředků, přehledy možností útoku nebo obě datové sady.

  • Frekvence: Vyberte frekvenci, kterou připojení EASM defenderu používá k odesílání aktualizovaných dat do zvoleného nástroje. Dostupné možnosti jsou denně, týdně a měsíčně.

    Snímek obrazovky znázorňující obrazovku Přidat datové připojení pro Azure Data Explorer

    Po nakonfigurování všech polí vyberte Přidat a vytvořte datové připojení. V tomto okamžiku se na stránce Datová připojení zobrazí banner s oznámením, že se prostředek úspěšně vytvořil. Za 30 minut se začnou naplňovat data. Po vytvoření se připojení zobrazí v příslušném nástroji na hlavní stránce Datová připojení .

Úprava nebo odstranění datového připojení

Datové připojení můžete upravit nebo odstranit. Můžete si například všimnout, že připojení je uvedené jako Odpojeno. V takovém případě je potřeba znovu zadat podrobnosti o konfiguraci, abyste problém vyřešili.

Úprava nebo odstranění datového připojení:

  1. Vyberte příslušné připojení ze seznamu na hlavní stránce Datová připojení .

    Snímek obrazovky znázorňující odpojená datová připojení

  2. Otevře se stránka s dalšími daty o připojení. Zobrazí konfigurace, které jste zvolili při vytváření připojení, a případné chybové zprávy. Zobrazí se také následující data:

    • Opakující se dne: Den v týdnu nebo měsíci, kdy program EASM v programu Defender odesílá aktualizovaná data do připojeného nástroje.

    • Vytvořeno: Datum a čas vytvoření datového připojení.

    • Aktualizováno: Datum a čas poslední aktualizace datového připojení.

      Snímek obrazovky znázorňující testovací připojení

  3. Na této stránce se můžete znovu připojit, upravit nebo odstranit datové připojení.

    • Znovu připojit: Pokusí se ověřit datové připojení bez jakýchkoli změn konfigurace. Tato možnost je nejlepší, pokud jste ověřili přihlašovací údaje pro ověřování použité pro datové připojení.
    • Upravit: Umožňuje změnit konfiguraci datového připojení.
    • Odstranit: Odstraní datové připojení.