Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud generiert Sicherheitswarnungen und Empfehlungen. Sie können diese Daten zu Log Analytics in Azure Monitor, zu Azure Event Hubs oder zu einer anderen SIEM-Lösung (Security Information and Event Management, SOAR-Lösung (Security Orchestration Automated Response) oder zur klassischen IT-Bereitstellungsmodelllösung exportieren. Sie können Daten streamen, während sie erzeugt werden, oder geplante Momentaufnahmen neuer Daten senden.
In diesem Artikel wird erläutert, wie Sie den kontinuierlichen Export in einen Log Analytics Arbeitsbereich oder einen Event Hub in Azure einrichten.
Tipp
Defender for Cloud bietet auch einen einmaligen manuellen Export in eine CSV-Datei (Durch Trennzeichen getrennte Werte). Erfahren Sie, wie Sie eine CSV-Datei herunterladen.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Erforderliche Rollen und Berechtigungen:
- Sicherheitsadministrator oder Eigentümer für die Ressourcengruppe
- Schreibberechtigungen für die Zielressource.
- Wenn Sie die Azure Policy DeployIfNotExist-Richtlinien verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
- Um Daten in Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
- So exportieren Sie in einen Log Analytics-Arbeitsbereich:
Wenn sie über die SecurityCenterFree-Lösung verfügt, benötigen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung:
Microsoft.OperationsManagement/solutions/readWenn sie nicht über die SecurityCenterFree-Lösung verfügt, benötigen Sie Schreibberechtigungen für die Arbeitsbereichslösung:
Microsoft.OperationsManagement/solutions/action.Erfahren Sie mehr über Azure Monitor- und Log Analytics-Arbeitsbereichslösungen.
Einrichten eines kontinuierlichen Exports im Azure-Portal
Sie können den kontinuierlichen Export auf den Seiten von Microsoft Defender for Cloud im Azure-Portal, mithilfe der REST-API oder im großen Maßstab mithilfe von Azure Policy-Vorlagen einrichten.
So richten Sie einen kontinuierlichen Export nach Log Analytics oder Azure Event Hubs mithilfe des Azure-Portals ein:
Wählen Sie im Menü "Defender für Cloud-Ressource" die Option "Umgebungseinstellungen" aus.
Wählen Sie das Abonnement aus, für das Sie den Datenexport konfigurieren möchten.
Wählen Sie im Ressourcenmenü unter "Einstellungen" die Option "Fortlaufender Export" aus.
Exportoptionen werden angezeigt. Für jedes Ziel gibt es eine Registerkarte: Event Hubs oder den Log Analytics-Arbeitsbereich.
Wählen Sie den Datentyp aus, den Sie exportieren möchten, und wählen Sie dann Filter für diesen Typ aus. Sie können beispielsweise nur Warnungen mit hohem Schweregrad exportieren.
Wählen Sie die Exporthäufigkeit aus:
- Streaming. Bewertungen werden gesendet, wenn der Integritätsstatus einer Ressource aktualisiert wird (wenn keine Aktualisierungen auftreten, werden keine Daten gesendet).
- Momentaufnahmen. Eine Momentaufnahme des aktuellen Status der ausgewählten Datentypen, die einmal pro Woche pro Abonnement gesendet werden. Um Momentaufnahmendaten zu identifizieren, suchen Sie nach dem Feld IsSnapshot.
Wenn Ihre Auswahl einen der folgenden Empfehlungen enthält, können Sie die Ergebnisse der Sicherheitsrisikobewertung mit ihnen einschließen:
- SQL-Datenbanken sollten Sicherheitsrisiken behoben haben
- Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden
- Die Images der Containerregistrierung sollten über behobene Schwachstellen verfügen (powered by Qualys)
- Computer sollten Sicherheitsrisiken behoben haben
- Systemupdates sollten auf Ihren Computern installiert werden
Um die Ergebnisse mit diesen Empfehlungen einzuschließen, legen Sie "Sicherheitsergebnisse einschließen " auf "Ja" fest.
Wählen Sie unter "Ziel exportieren" aus, wo die Daten gespeichert werden sollen. Daten können in einem Ziel eines anderen Abonnements gespeichert werden (z. B. in einer zentralen Event Hubs-Instanz oder in einem zentralen Log Analytics-Arbeitsbereich).
Sie können die Daten auch an einen Event Hub- oder Log Analytics-Arbeitsbereich in einem anderen Mandanten senden.
Wählen Sie Speichern aus.
Hinweis
Log Analytics unterstützt nur Datensätze, die bis zu 32 KB groß sind. Wenn der Datengrenzwert erreicht ist, zeigt eine Warnung die Meldung an, dass der Datengrenzwert überschritten wurde.
Verwandte Inhalte
In diesem Artikel haben Sie erfahren, wie Sie fortlaufende Exporte Ihrer Empfehlungen und Warnungen konfigurieren. Außerdem haben Sie erfahren, wie Sie Ihre Warnungsdaten als CSV-Datei herunterladen.
So zeigen Sie verwandte Inhalte an:
- Erfahren Sie, wie Sie exportierte Daten in Azure Monitor anzeigen.
- Erfahren Sie mehr über Workflowautomatisierungsvorlagen.
- Weitere Informationen finden Sie in der Dokumentation zu Azure Event Hubs.
- Erfahren Sie mehr über Microsoft Sentinel.
- Lesen Sie die Dokumentation zu Azure Monitor.
- Erfahren Sie, wie Sie Datentypenschemas exportieren.
- Sehen Sie sich häufige Fragen zum kontinuierlichen Export an.