Einrichten eines fortlaufenden Exports im Azure-Portal

Microsoft Defender für Cloud generiert detaillierte Sicherheitswarnungen und -empfehlungen. Um die Informationen zu analysieren, die sich in diesen Warnungen und Empfehlungen befinden, können Sie diese zu Log Analytics in Azure Monitor, zu Azure Event Hubs oder zu einer anderen Lösung für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) oder einem ein klassisches IT-Bereitstellungsmodell exportieren. Sie können die Warnungen und Empfehlungen bei deren Generierung streamen, oder einen Zeitplan definieren, um regelmäßige Momentaufnahmen aller neuen Daten zu senden.

In diesem Artikel wird beschrieben, wie Sie den fortlaufenden Export zu einem Log Analytics-Arbeitsbereich oder einen Event Hub in Azure einrichten.

Tipp

Defender for Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.

Voraussetzungen

• Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

Erforderliche Rollen und Berechtigungen:

• Sicherheitsadministrator*in oder Besitzer*in für die Ressourcengruppe
• Schreibberechtigungen für die Zielressource.
• Wenn Sie die DeployIfNotExist-Richtlinien von Azure Policy verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
• Um Daten zu Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
• So exportieren Sie in einen Log Analytics-Arbeitsbereich

  • Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/read.

  • Wenn er nicht über die SecurityCenterFree-Lösung verfügt, müssen Sie Schreibberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/action.

    Erfahren Sie mehr über Azure Monitor und Log Analytics-Arbeitsbereichslösungen.

Einrichten eines fortlaufenden Exports im Azure-Portal

Sie können den fortlaufenden Export auf den Microsoft Defender for Cloud-Seiten im Azure-Portal einrichten, indem Sie die REST-API verwenden, oder im großen Stil mithilfe der bereitgestellten Azure Policy-Vorlagen.

So richten Sie einen fortlaufenden Export zu Log Analytics oder Azure Event Hubs mithilfe des Azure-Portals ein:

1. Wählen Sie im Ressourcenmenü von Defender for Cloud die Option Umgebungseinstellungen aus.

2. Wählen Sie das Abonnement aus, für das Sie den Datenexport konfigurieren möchten.

3. Wählen Sie im Ressourcenmenü unter Einstellungen die Option Fortlaufender Export aus.

   

   Die Exportoptionen werden angezeigt. Es gibt eine Registerkarte für jedes verfügbare Exportziel (Event Hub-Instanz oder Log Analytics-Arbeitsbereich).

4. Wählen Sie den Datentyp aus, den Sie exportieren möchten, und wählen Sie aus den Filtern für jeden Typ aus (z. B. nur Warnungen mit hohem Schweregrad exportieren).

5. Wählen Sie die Exporthäufigkeit aus:

   • Streaming. Bewertungen werden gesendet, wenn der Integritätszustand einer Ressource aktualisiert wird (wenn keine Aktualisierungen durchgeführt werden, werden keine Daten gesendet).
   • Momentaufnahmen: Eine Momentaufnahme des aktuellen Status der ausgewählten Datentypen, die einmal pro Woche pro Abonnement gesendet werden. Um Momentaufnahmedaten zu identifizieren, suchen Sie nach dem Feld IsSnapshot.

   Wenn Ihre Auswahl eine dieser Empfehlungen enthält, können Sie die Ergebnisse der Sicherheitsrisikobewertung mit ihnen aufnehmen:

   • Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden
   • Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden
   • Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys)
   • Sicherheitsrisiken für Computer müssen behoben werden
   • Systemupdates sollten auf Ihren Computern installiert sein

   Um die Ergebnisse mit diesen Empfehlungen aufzunehmen, legen Sie Sicherheitsergebnisse einschließen auf Ja fest.

   

6. Wählen Sie unter Ziel exportieren aus, wo die Daten gespeichert werden sollen. Daten können in einem Ziel eines anderen Abonnements gespeichert werden (z. B. in einer zentralen Event Hubs-Instanz oder in einem zentralen Log Analytics-Arbeitsbereich).

   Sie können die Daten auch an einen Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten senden

7. Klicken Sie auf Speichern.

Hinweis

Log Analytics unterstützt nur Datensätze, die bis zu 32 KB groß sind. Wenn der Datengrenzwert erreicht ist, zeigt eine Warnung die Meldung Datengrenzwert wurde überschritten an.

Zugehöriger Inhalt

In diesem Artikel haben Sie erfahren, wie Sie fortlaufende Exporte ihrer Empfehlungen und Warnungen konfigurieren. Außerdem haben Sie gelernt, wie Sie Ihre Warnungsdaten als CSV-Datei herunterladen.

So zeigen Sie verwandte Inhalte an:

• Informieren Sie sich über Vorlagen zur Workflowautomatisierung.
• Lesen Sie die Dokumentation zu Azure Event Hubs.
• Erfahren Sie mehr über Microsoft Sentinel.
• Überprüfen Sie die Dokumentation zu Azure Monitor.
• Erfahren Sie, wie Sie Datentypenschemas exportieren.
• Sehen Sie sich häufige Fragen zum fortlaufenden Export an.