Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie sie Microsoft Defender for Cloud Daten anzeigen, die in Azure Monitor exportiert wurden. Es behandelt Log Analytics und Azure Event Hubs und erläutert, wie Azure Monitor Warnungsregeln basierend auf exportierten Daten erstellt werden.
Voraussetzungen
Bevor Sie beginnen, richten Sie den kontinuierlichen Export mit einer der folgenden Methoden ein:
- Einrichten des kontinuierlichen Exports im Azure Portal
- Einrichten eines fortlaufenden Exports per Azure-Richtlinie
- Richten Sie den kontinuierlichen Export mit REST-API (Representational State Transfer) ein.
Anzeigen exportierter Daten in Log Analytics
Wenn Sie Defender for Cloud-Daten in einen Log Analytics-Arbeitsbereich exportieren, werden automatisch zwei Haupttabellen erstellt:
SecurityAlertSecurityRecommendation
Sie können diese Tabellen in Log Analytics abfragen, um zu bestätigen, dass der fortlaufende Export funktioniert.
Melden Sie sich im Azure-Portal unter portal.azure.com an.
Suchen Sie nach Log Analytics-Arbeitsbereichen, und wählen Sie sie aus.
Wählen Sie den Arbeitsbereich aus, den Sie als Ziel für den kontinuierlichen Export konfiguriert haben.
Wählen Sie im Arbeitsbereichsmenü unter "Allgemein" die Option "Protokolle" aus.
Geben Sie im Abfragefenster eine der folgenden Abfragen ein, und wählen Sie "Ausführen" aus:
SecurityAlertoder
SecurityRecommendation
Anzeigen exportierter Daten in Azure Event Hubs
Wenn Sie Daten in Azure Event Hubs exportieren, streamt Defender für Cloud kontinuierlich Warnungen und Empfehlungen als Ereignisnachrichten. Sie können diese exportierten Ereignisse im Azure-Portal anzeigen und weiter analysieren, indem Sie einen nachgeschalteten Dienst verbinden.
Melden Sie sich im Azure-Portal unter portal.azure.com an.
Suchen Sie nach Event Hubs-Namespaces, und wählen Sie sie aus.
Wählen Sie den Namespace und den Event Hub aus, den Sie für den kontinuierlichen Export konfiguriert haben.
Wählen Sie im Event Hub-Menü Metriken aus, um Nachrichtenaktivitäten anzuzeigen, oderdie>, um ereignisinhalte zu überprüfen, die in Ihrem Aufnahmeziel gespeichert sind.
Optional können Sie ein verbundenes Tool wie Microsoft Sentinel, eine SIEM-Lösung (Security Information and Event Management) oder eine benutzerdefinierte Consumer-App verwenden, um die exportierten Ereignisse zu lesen und zu verarbeiten.
Hinweis
Defender for Cloud sendet Daten im JSON-Format (JavaScript Object Notation). Sie können entweder Event Hubs Capture oder Consumergruppen verwenden, um die exportierten Ereignisse zu speichern und zu analysieren.
Erstellen von Warnungsregeln in Azure Monitor (optional)
Sie können Azure Monitor-Warnungen basierend auf Ihren exportierten Defender for Cloud-Daten erstellen. Mit diesen Warnungen können Sie Automatisch Aktionen auslösen, z. B. das Senden von E-Mail-Benachrichtigungen oder das Erstellen von IT-Serviceverwaltungstickets (INFORMATION Technology Service Management, ITSM), wenn bestimmte Sicherheitsereignisse auftreten.
Melden Sie sich im Azure-Portal unter portal.azure.com an.
Suchen Sie nach Monitor und wählen Sie es aus.
Wählen Sie Warnungen.
Wählen Sie + Erstellen>Warnungsregel aus.
Richten Sie Ihre neue Regel auf die gleiche Weise ein, wie Sie Protokollwarnungsregeln in Azure Monitor konfigurieren. Ausführliche Informationen finden Sie unter Konfigurieren von Protokollwarnungsregeln:
- Wählen Sie als Ressourcentypen den Log Analytics-Arbeitsbereich aus, in den Sie Sicherheitswarnungen und Empfehlungen exportiert haben.
- Wählen Sie als Bedingung die Option Benutzerdefinierte Protokollsuche aus. Konfigurieren Sie auf der Seite, die angezeigt wird, die Abfrage, den Rückblickzeitraum und den Häufigkeitszeitraum. Geben Sie in der Abfrage "SecurityAlert " oder "SecurityRecommendation" ein.
- Erstellen Sie optional Aktionsgruppen, um automatisierte Antworten auszulösen. Anleitungen zum Einrichten finden Sie unter Azure Monitor Aktionsgruppen. Aktionsgruppen können E-Mails senden, ITSM-Tickets erstellen, Webhooks ausführen und vieles mehr.
Nachdem Sie die Regel gespeichert haben, werden Defender für Cloud-Warnungen oder -Empfehlungen basierend auf Ihrer kontinuierlichen Exportkonfiguration und Warnregelbedingungen in Azure Monitor angezeigt. Wenn Sie eine Aktionsgruppe verknüpft haben, wird sie automatisch ausgelöst, wenn die Regelkriterien erfüllt sind.