Anzeigen exportierter Daten in Azure Monitor
Nachdem Sie den fortlaufenden Export von Microsoft Defender for Cloud-Sicherheitswarnungen und -empfehlungen eingerichtet haben, können Sie die Daten in Azure Monitor anzeigen. In diesem Artikel wird beschrieben, wie Sie die Daten in Log Analytics oder in Azure Event Hubs anzeigen.
Voraussetzungen
- Einrichten des fortlaufenden Exports im Azure-Portal oder Einrichten eines fortlaufenden Exports mit Azure Policy oder Einrichten eines fortlaufenden Exports mit REST-API.
Anzeigen exportierter Warnungen und Empfehlungen in Azure Monitor
Azure Monitor bietet eine einheitliche Benachrichtigungserfahrung für verschiedene Azure-Warnungen, einschließlich ein Diagnoseprotokoll, Metrikwarnungen und benutzerdefinierte Warnungen, die auf Log Analytics-Arbeitsbereichsabfragen basieren.
Um Warnungen und Empfehlungen von Defender for Cloud in Azure Monitor anzuzeigen, konfigurieren Sie eine Warnungsregel, die auf Log Analytics-Abfragen (eine Protokollwarnungsregel) basiert.
Um eine Benachrichtigungsregel zu konfigurieren:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Überwachen, und wählen Sie diese Option aus.
Wählen Sie Warnungen aus.
Wählen Sie Neue Warnungsregel aus.
Richten Sie Ihre neue Regel auf die gleiche Weise ein, wie Sie eine Protokollwarnungsregel in Azure Monitor konfigurieren würden:
Wählen Sie als Ressource den Log Analytics-Arbeitsbereich aus, in den Sie Sicherheitswarnungen und Empfehlungen exportiert haben.
Wählen Sie als Bedingung die Option Benutzerdefinierte Protokollsuche aus. Konfigurieren Sie auf der Seite, die angezeigt wird, die Abfrage, den Rückblickzeitraum und den Häufigkeitszeitraum. In der Suchabfrage können Sie SecurityAlert oder SecurityRecommendation eingeben, um die Datentypen abzufragen, in die Defender for Cloud fortlaufend exportiert, wenn Sie die Log Analytics-Funktion „Fortlaufender Export“ aktivieren.
Erstellen Sie optional eine Aktionsgruppe, die ausgelöst werden soll. Aktionsgruppen können das Senden einer E-Mail automatisieren, ein ITSM-Ticket erstellen, einen Webhook ausführen und vieles mehr basierend auf einem Ereignis in Ihrer Umgebung.
Die Warnungen oder Empfehlungen von Defender for Cloud erscheinen in Azure Monitor-Warnungen (abhängig von den von Ihnen konfigurierten Regeln für den fortlaufenden Export und der Bedingung, die Sie in Ihrer Azure Monitor-Warnungsregel definiert haben), und eine Aktionsgruppe (sofern vorhanden) wird automatisch ausgelöst.