Verwenden von Datenverbindungen

In diesem Artikel wird das Datenverbindungsfeature in Microsoft Defender External Attack Surface Management (Defender EASM) erläutert.

Übersicht

Defender EASM bietet jetzt Datenverbindungen, mit denen Sie Ihre Angriffsflächesdaten nahtlos in andere Microsoft-Lösungen integrieren können, um vorhandene Workflows um neue Erkenntnisse zu ergänzen. Sie müssen Daten aus Defender EASM in die anderen Sicherheitstools abrufen, die Sie zu Korrekturzwecken verwenden, um Ihre Angriffsflächesdaten optimal nutzen zu können.

Der Datenconnector sendet Defender EASM Ressourcendaten an zwei verschiedene Plattformen: Log Analytics und Azure Data Explorer. Sie müssen Defender EASM Daten in eines der tools exportieren. Datenverbindungen unterliegen dem Preismodell für jede plattformübergreifende Plattform.

Log Analytics bietet Funktionen für Sicherheitsinformationen und Ereignisverwaltung sowie Sicherheitsorchestrierung, Automatisierung und Reaktion. Defender EASM Informationen zu Ressourcen oder Erkenntnissen können in Log Analytics verwendet werden, um vorhandene Workflows mit anderen Sicherheitsdaten anzureichern. Diese Informationen können Firewall- und Konfigurationsinformationen, Threat Intelligence- und Compliancedaten ergänzen, um Einblick in Ihre externe Infrastruktur im offenen Internet zu bieten.

Sie haben folgende Möglichkeiten:

  • Erstellen oder Anreichern von Sicherheitsvorfällen
  • Erstellen sie Untersuchungsplaybooks.
  • Trainieren von Machine Learning-Algorithmen
  • Lösen Sie Korrekturaktionen aus.

Azure Data Explorer ist eine Big Data-Analyseplattform, mit der Sie große Datenmengen aus verschiedenen Quellen mit flexiblen Anpassungsfunktionen analysieren können. Defender EASM Ressourcen- und Erkenntnisdaten können integriert werden, um Visualisierungs-, Abfrage-, Erfassungs- und Verwaltungsfunktionen innerhalb der Plattform zu nutzen.

Unabhängig davon, ob Sie benutzerdefinierte Berichte mit Power BI erstellen oder nach Ressourcen suchen, die genauen KQL-Abfragen entsprechen: Durch den Export Defender EASM Daten in Azure Data Explorer können Sie Ihre Angriffsflächesdaten mit endlosem Anpassungspotenzial nutzen.

Dateninhaltsoptionen

Defender EASM Datenverbindungen bieten Ihnen die Möglichkeit, zwei verschiedene Arten von Angriffsoberflächendaten in das Tool Ihrer Wahl zu integrieren. Sie können Ressourcendaten, Erkenntnisse zur Angriffsfläche oder beide Datentypen migrieren. Ressourcendaten enthalten präzise Details zu Ihrem gesamten Bestand. Erkenntnisse zur Angriffsfläche bieten sofort umsetzbare Erkenntnisse basierend auf Defender EASM Dashboards.

Um die Infrastruktur genau darzustellen, die für Ihre organization am wichtigsten ist, enthalten beide Inhaltsoptionen nur Ressourcen im Zustand Genehmigter Bestand.

Bestandsdaten: Die Option Ressourcendaten sendet Daten zu allen Bestandsressourcen an das Tool Ihrer Wahl. Diese Option eignet sich am besten für Anwendungsfälle, in denen die differenzierten zugrunde liegenden Metadaten der Schlüssel zu Ihrer Defender EASM Integration sind. Beispiele hierfür sind Microsoft Sentinel oder benutzerdefinierte Berichte in Azure Data Explorer. Sie können allgemeine Kontexte für jede Ressource im Bestand und präzise Details exportieren, die für den jeweiligen Ressourcentyp spezifisch sind.

Diese Option bietet keine vordefinierten Erkenntnisse zu den Ressourcen. Stattdessen bietet es eine große Menge an Daten, sodass Sie die angepassten Erkenntnisse finden können, die Ihnen am wichtigsten sind.

Erkenntnisse zur Angriffsfläche: Erkenntnisse zur Angriffsfläche bieten einen umsetzbaren Satz von Ergebnissen, die auf den wichtigsten Erkenntnissen basieren, die über Dashboards in Defender EASM bereitgestellt werden. Diese Option stellt weniger präzise Metadaten für jedes Medienobjekt bereit. Es kategorisiert Ressourcen basierend auf den entsprechenden Erkenntnissen und stellt den allgemeinen Kontext bereit, der für die weitere Untersuchung erforderlich ist. Diese Option ist ideal, wenn Sie diese vordefinierten Erkenntnisse in benutzerdefinierte Berichtsworkflows mit Daten aus anderen Tools integrieren möchten.

Konfigurationsübersichten

Dieser Abschnitt enthält allgemeine Informationen zur Konfiguration.

Zugreifen auf Datenverbindungen

Wählen Sie im bereich ganz links in Ihrem Defender EASM-Ressourcenbereich unter Verwaltendie Option Datenverbindungen aus. Auf dieser Seite werden die Datenconnectors für Log Analytics und Azure Data Explorer angezeigt. Sie listet alle aktuellen Verbindungen auf und bietet die Möglichkeit, Verbindungen hinzuzufügen, zu bearbeiten oder zu entfernen.

Screenshot: Seite

Verbindungsvoraussetzungen

Um eine Datenverbindung erfolgreich herzustellen, müssen Sie zunächst sicherstellen, dass Sie die erforderlichen Schritte ausgeführt haben, um Defender EASM Berechtigung für das Tool Ihrer Wahl zu erteilen. Dieser Prozess ermöglicht es der Anwendung, Ihre exportierten Daten zu erfassen. Außerdem werden die Authentifizierungsanmeldeinformationen bereitgestellt, die zum Konfigurieren der Verbindung erforderlich sind.

Hinweis

Defender EASM Datenverbindungen unterstützen keine privaten Verbindungen oder Netzwerke.

Konfigurieren von Log Analytics-Berechtigungen

  1. Öffnen Sie den Log Analytics-Arbeitsbereich, der Ihre Defender EASM Daten erfasst, oder erstellen Sie einen neuen Arbeitsbereich.

  2. Wählen Sie im bereich ganz links unter Einstellungen die Option Agents aus.

    Screenshot: Log Analytics-Agents

  3. Erweitern Sie den Abschnitt Anweisungen für den Log Analytics-Agent , um Ihre Arbeitsbereichs-ID und Ihren Primärschlüssel anzuzeigen. Diese Werte werden verwendet, um Ihre Datenverbindung einzurichten.

Hinweis

Die HTTP-Datensammler-API, die derzeit vom Defender EASM Log Analytics-Datenconnector verwendet wird, wird am 14. September 2026 eingestellt.

Alle neuen Log Analytics-Datenconnectors verwenden die Protokollerfassungs-API, die zusätzliche Berechtigungskonfigurationen erfordert, wie unten beschrieben.

Konfigurieren von Ressourcengruppenrollenzuweisungen

  1. Wählen Sie im äußersten linken Bereich Übersicht aus, und navigieren Sie im Hauptbereich unter Essentials zur Ressourcengruppe.
  2. Öffnen Sie die Ressourcengruppe, die den Log Analytics-Arbeitsbereich enthält.
  3. Wählen Sie im äußersten linken Bereich Zugriffssteuerung (IAM) aus.
  4. Suchen Sie die Rolle Leser , und wählen Sie sie aus.
  5. Suchen Sie die EASM-API als Mitglied für die Rollenzuweisung, und wählen Sie sie aus. Screenshot: Mitglieder für Rollenzuweisungen, insbesondere die EASM-API-App.
  6. Stellen Sie sicher, dass der Zuweisungstyp Dauerhaft ist, und klicken Sie dann auf Überprüfen + zuweisen.
  7. Wiederholen Sie dies, und fügen Sie die Rollen Überwachungsmitwirkender, Log Analytics-Mitwirkender und Herausgeber von Überwachungsmetriken für die EASM-API-App hinzu.

Hinweis

Die Zuweisung der Rollenzuweisungen für die EASM-API kann einige Minuten dauern. Warten Sie nach dem Konfigurieren der Zuweisungen einige Minuten, um eine neue Datenverbindung zu erstellen.

Konfigurieren von Abonnementressourcenanbietern

  1. Öffnen Sie das Abonnement, das die Ressourcengruppe und den Log Analytics-Arbeitsbereich enthält.
  2. Wählen Sie im bereich ganz links unter Einstellungendie Option Ressourcenanbieter aus.
  3. Suchen Sie nach microsoft.insights, und registrieren Sie den Anbieter. Screenshot: Ressourcenanbieter, insbesondere microsoft.insights.

Hinweis

Bei Verwendung der neuen Log Analytics-API müssen sich die Defender EASM-Ressource und der Log Analytics-Arbeitsbereich, der Ihre Defender EASM Daten erfasst, im selben Mandanten befinden.

Die Verwendung dieser Datenverbindung unterliegt der Preisstruktur von Log Analytics. Weitere Informationen finden Sie unter Azure Monitor – Preise.

Konfigurieren von Azure Data Explorer Berechtigungen

Stellen Sie sicher, dass der Defender EASM API-Dienstprinzipal Zugriff auf die richtigen Rollen in der Datenbank hat, in die Sie Ihre Angriffsflächesdaten exportieren möchten. Stellen Sie zunächst sicher, dass Ihre Defender EASM-Ressource im entsprechenden Mandanten erstellt wurde, da diese Aktion den EASM API-Prinzipal bereitstellt.

  1. Öffnen Sie den Azure Data Explorer Cluster, der Ihre Defender EASM Daten erfasst, oder erstellen Sie einen neuen Cluster.

  2. Wählen Sie im bereich ganz links unter Daten die Option Datenbanken aus.

  3. Wählen Sie Datenbank hinzufügen aus, um eine Datenbank zu erstellen, die Ihre Defender EASM Daten enthält.

    Screenshot: Azure Data Explorer Datenbank hinzufügen

  4. Benennen Sie Ihre Datenbank, konfigurieren Sie Aufbewahrungs- und Cachezeiträume, und wählen Sie Erstellen aus.

    Screenshot: Erstellen einer neuen Datenbank

  5. Nachdem Ihre Defender EASM Datenbank erstellt wurde, wählen Sie den Datenbanknamen aus, um die Detailseite zu öffnen. Wählen Sie im äußersten linken Bereich unter Übersichtdie Option Berechtigungen aus. Um Defender EASM Daten erfolgreich in Azure Data Explorer zu exportieren, müssen Sie zwei neue Berechtigungen für die EASM-API erstellen: user und ingestor.

    Screenshot: Azure Data Explorer Berechtigungen

  6. Wählen Sie Hinzufügen aus, und erstellen Sie einen Benutzer. Suchen Sie nach EASM API, wählen Sie den Wert aus, und wählen Sie Auswählen aus.

  7. Wählen Sie Hinzufügen aus, um einen Ingestor zu erstellen. Führen Sie die zuvor beschriebenen Schritte aus, um die EASM-API als Ingestor hinzuzufügen.

  8. Ihre Datenbank kann jetzt eine Verbindung mit Defender EASM herstellen. Sie benötigen den Clusternamen, den Datenbanknamen und die Region, wenn Sie Ihre Datenverbindung konfigurieren.

Hinzufügen einer Datenverbindung

Sie können Ihre Defender EASM Daten entweder mit Log Analytics oder Azure Data Explorer verbinden. Wählen Sie hierzu auf der Seite Datenverbindungen die Option Verbindung hinzufügen für das entsprechende Tool aus.

Auf der rechten Seite der Seite Datenverbindungen wird ein Konfigurationsbereich geöffnet. Die folgenden Felder sind für jedes tool erforderlich.

Log Analytics

  • Name: Geben Sie einen Namen für diese Datenverbindung ein.

  • Arbeitsbereichs-ID: Geben Sie die Arbeitsbereichs-ID für die Log Analytics-instance ein, in die Sie Defender EASM Daten exportieren möchten.

  • Inhalt: Wählen Sie diese Option aus, um Ressourcendaten, Erkenntnisse zur Angriffsfläche oder beide Datasets zu integrieren.

  • Häufigkeit: Wählen Sie die Häufigkeit aus, mit der die Defender EASM Verbindung aktualisierte Daten an das Tool Ihrer Wahl sendet. Verfügbare Optionen sind täglich, wöchentlich und monatlich.

    Screenshot: Bildschirm

Hinweis

Alle neuen Datenverbindungen verwenden die Log Analytics-API und keinen API-Schlüssel.

Azure Data Explorer

  • Name: Geben Sie einen Namen für diese Datenverbindung ein.

  • Clustername: Geben Sie den Namen des Azure Data Explorer Clusters ein, in den Sie Defender EASM Daten exportieren möchten.

  • Region: Geben Sie die Region des Azure Data Explorer Clusters ein.

  • Datenbankname: Geben Sie den Namen der gewünschten Datenbank ein.

  • Inhalt: Wählen Sie diese Option aus, um Ressourcendaten, Erkenntnisse zur Angriffsfläche oder beide Datasets zu integrieren.

  • Häufigkeit: Wählen Sie die Häufigkeit aus, mit der die Defender EASM Verbindung aktualisierte Daten an das Tool Ihrer Wahl sendet. Verfügbare Optionen sind täglich, wöchentlich und monatlich.

    Screenshot: Bildschirm

    Nachdem alle Felder konfiguriert wurden, wählen Sie Hinzufügen aus, um die Datenverbindung zu erstellen. An diesem Punkt zeigt die Seite Datenverbindungen ein Banner an, das angibt, dass die Ressource erfolgreich erstellt wurde. Nach 30 Minuten beginnen die Daten aufzufüllen. Nachdem Verbindungen erstellt wurden, werden sie unter dem entsprechenden Tool auf der Hauptseite Datenverbindungen aufgeführt.

Bearbeiten oder Löschen einer Datenverbindung

Sie können eine Datenverbindung bearbeiten oder löschen. Sie können z. B. feststellen, dass eine Verbindung als Getrennt aufgeführt ist. In diesem Fall müssen Sie die Konfigurationsdetails erneut eingeben, um das Problem zu beheben.

So bearbeiten oder löschen Sie eine Datenverbindung:

  1. Wählen Sie die entsprechende Verbindung aus der Liste auf der Hauptseite Datenverbindungen aus .

    Screenshot: Getrennte Datenverbindungen

  2. Eine Seite wird geöffnet, die weitere Daten zur Verbindung bereitstellt. Es werden die Konfigurationen angezeigt, die Sie beim Erstellen der Verbindung ausgewählt haben, sowie alle Fehlermeldungen. Außerdem werden die folgenden Daten angezeigt:

    • Wiederholung am: Der Tag der Woche oder des Monats, an dem Defender EASM aktualisierte Daten an das verbundene Tool sendet.

    • Erstellt: Das Datum und die Uhrzeit der Erstellung der Datenverbindung.

    • Aktualisiert: Das Datum und die Uhrzeit der letzten Aktualisierung der Datenverbindung.

      Screenshot: Testen von Verbindungen

  3. Auf dieser Seite können Sie ihre Datenverbindung wiederherstellen, bearbeiten oder löschen.

    • Erneute Verbindung: Versucht, die Datenverbindung ohne Änderungen an der Konfiguration zu überprüfen. Diese Option ist am besten geeignet, wenn Sie die für die Datenverbindung verwendeten Authentifizierungsanmeldeinformationen überprüft haben.
    • Bearbeiten: Ermöglicht es Ihnen, die Konfiguration für die Datenverbindung zu ändern.
    • Löschen: Löscht die Datenverbindung.
  • Last updated on