Freigeben über


Einrichten eines fortlaufenden Exports im Azure-Portal

Microsoft Defender für Cloud generiert detaillierte Sicherheitswarnungen und -empfehlungen. Um die Informationen zu analysieren, die sich in diesen Warnungen und Empfehlungen befinden, können Sie diese zu Log Analytics in Azure Monitor, zu Azure Event Hubs oder zu einer anderen Lösung für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) oder einem ein klassisches IT-Bereitstellungsmodell exportieren. Sie können die Warnungen und Empfehlungen bei deren Generierung streamen, oder einen Zeitplan definieren, um regelmäßige Momentaufnahmen aller neuen Daten zu senden.

In diesem Artikel wird beschrieben, wie Sie den fortlaufenden Export zu einem Log Analytics-Arbeitsbereich oder einen Event Hub in Azure einrichten.

Tipp

Defender for Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.

Voraussetzungen

Erforderliche Rollen und Berechtigungen:

  • Sicherheitsadministrator*in oder Besitzer*in für die Ressourcengruppe
  • Schreibberechtigungen für die Zielressource.
  • Wenn Sie die DeployIfNotExist-Richtlinien von Azure Policy verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
  • Um Daten zu Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
  • So exportieren Sie in einen Log Analytics-Arbeitsbereich
    • Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/read.

    • Wenn er nicht über die SecurityCenterFree-Lösung verfügt, müssen Sie Schreibberechtigungen für die Arbeitsbereichslösung haben: Microsoft.OperationsManagement/solutions/action.

      Erfahren Sie mehr über Azure Monitor und Log Analytics-Arbeitsbereichslösungen.

Einrichten eines fortlaufenden Exports im Azure-Portal

Sie können den fortlaufenden Export auf den Microsoft Defender for Cloud-Seiten im Azure-Portal einrichten, indem Sie die REST-API verwenden, oder im großen Stil mithilfe der bereitgestellten Azure Policy-Vorlagen.

So richten Sie einen fortlaufenden Export zu Log Analytics oder Azure Event Hubs mithilfe des Azure-Portals ein:

  1. Wählen Sie im Ressourcenmenü von Defender for Cloud die Option Umgebungseinstellungen aus.

  2. Wählen Sie das Abonnement aus, für das Sie den Datenexport konfigurieren möchten.

  3. Wählen Sie im Ressourcenmenü unter Einstellungen die Option Fortlaufender Export aus.

    Screenshot der Exportoptionen in Microsoft Defender for Cloud.

    Die Exportoptionen werden angezeigt. Es gibt eine Registerkarte für jedes verfügbare Exportziel (Event Hub-Instanz oder Log Analytics-Arbeitsbereich).

  4. Wählen Sie den Datentyp aus, den Sie exportieren möchten, und wählen Sie aus den Filtern für jeden Typ aus (z. B. nur Warnungen mit hohem Schweregrad exportieren).

  5. Wählen Sie die Exporthäufigkeit aus:

    • Streaming. Bewertungen werden gesendet, wenn der Integritätszustand einer Ressource aktualisiert wird (wenn keine Aktualisierungen durchgeführt werden, werden keine Daten gesendet).
    • Momentaufnahmen: Eine Momentaufnahme des aktuellen Status der ausgewählten Datentypen, die einmal pro Woche pro Abonnement gesendet werden. Um Momentaufnahmedaten zu identifizieren, suchen Sie nach dem Feld IsSnapshot.

    Wenn Ihre Auswahl eine dieser Empfehlungen enthält, können Sie die Ergebnisse der Sicherheitsrisikobewertung mit ihnen aufnehmen:

    Um die Ergebnisse mit diesen Empfehlungen aufzunehmen, legen Sie Sicherheitsergebnisse einschließen auf Ja fest.

    Screenshot der Umschaltfläche Sicherheitsergebnisse einschließen in einer fortlaufenden Exportkonfiguration.

  6. Wählen Sie unter Ziel exportieren aus, wo die Daten gespeichert werden sollen. Daten können in einem Ziel eines anderen Abonnements gespeichert werden (z. B. in einer zentralen Event Hubs-Instanz oder in einem zentralen Log Analytics-Arbeitsbereich).

    Sie können die Daten auch an einen Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten senden

  7. Klicken Sie auf Speichern.

Hinweis

Log Analytics unterstützt nur Datensätze, die bis zu 32 KB groß sind. Wenn der Datengrenzwert erreicht ist, zeigt eine Warnung die Meldung Datengrenzwert wurde überschritten an.

In diesem Artikel haben Sie erfahren, wie Sie fortlaufende Exporte ihrer Empfehlungen und Warnungen konfigurieren. Außerdem haben Sie gelernt, wie Sie Ihre Warnungsdaten als CSV-Datei herunterladen.

So zeigen Sie verwandte Inhalte an: