Freigeben über


Einrichten eines fortlaufenden Exports mit Azure Policy

Der fortlaufende Export von Microsoft Defender for Cloud-Sicherheitswarnungen und -empfehlungen kann Sie bei der Analyse der Daten in Log Analytics oder Azure Event Hubs unterstützen. Sie können den kontinuierlichen Export in Defender for Cloud im großen Maßstab einrichten, indem Sie die bereitgestellten Azure-Richtlinienvorlagen verwenden.

Tipp

Defender for Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.

Voraussetzungen

Erforderliche Rollen und Berechtigungen:

  • Sicherheitsadministrator*in oder Besitzer*in für die Ressourcengruppe

  • Schreibberechtigungen für die Zielressource.

  • Wenn Sie die DeployIfNotExist-Richtlinien von Azure Policy verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.

  • Um Daten zu Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.

  • So exportieren Sie in einen Log Analytics-Arbeitsbereich

    • Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/read.
    • Wenn er nicht über die SecurityCenterFree-Lösung verfügt, müssen Sie Schreibberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/action.

    Erfahren Sie mehr über Azure Monitor und Log Analytics-Arbeitsbereichslösungen.

Einrichten eines fortlaufenden Exports im großen Stil mit Azure Policy

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann Ihnen helfen, die Zeit zu verkürzen, die zum Untersuchen und Entschärfen von Sicherheitsvorfällen benötigt wird.

Verwenden Sie für die Bereitstellung Ihrer Konfigurationen für den fortlaufenden Export in Ihrer Organisation die von Azure Policy bereitgestellten DeployIfNotExist-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für den fortlaufenden Export.

So implementieren Sie diese Richtlinien:

  1. Wählen Sie eine Richtlinie aus, die angewendet werden soll:

    Zielsetzung Richtlinie Richtlinien-ID
    Fortlaufender Export zu Event Hubs Bereitstellen eines Exports in Event Hubs für Warnungen und Empfehlungen von Microsoft Defender für Cloud cdfcce10-4578-4ecd-9703-530938e4abcb
    Fortlaufender Export in einen Log Analytics-Arbeitsbereich Bereitstellen eines Exports in einem Log Analytics-Arbeitsbereich für Warnungen und Empfehlungen von Microsoft Defender für Cloud ffb6f416-7bd2-4488-8828-56585fef2be9
  2. Wählen Sie Zuweisen aus.

    Der Screenshot zeigt die Zuweisung der Azure Policy.

  3. Wählen Sie jede Registerkarte aus, und legen Sie die Parameter so fest, dass sie Ihren Anforderungen entsprechen:

    1. Legen Sie auf der Registerkarte Grundlagen den Bereich für die Richtlinie fest. Um die zentrale Verwaltung zu nutzen, weisen Sie die Richtlinie der Verwaltungsgruppe zu, welche die Abonnements enthält, welche die Konfiguration für den fortlaufenden Export verwenden.

    2. Legen Sie auf der Registerkarte Parameter den Ressourcengruppennamen, den Standort und die Event Hub-Details fest.

    3. Wenn Sie diese Zuweisung optional auf vorhandene Abonnements anwenden möchten, wählen Sie die Registerkarte Wartung aus und dann die Option zum Erstellen einer Wartungsaufgabe.

  4. Überprüfen Sie die Seite „Zusammenfassung“ und wählen dann Erstellen aus.

Nächster Schritt