Exportación continua de datos de Microsoft Defender for Cloud

Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información de estas alertas y recomendaciones, puede exportarla a Azure Log Analytics, Event Hubs o a otra solución de administración de servicios de TI, SOAR o SIEM. Puede transmitir las alertas y recomendaciones a medida que se generan o definen una programación para enviar instantáneas periódicas de todos los datos nuevos.

Con la exportación continua, puedes personalizar completamente lo que se exportará y a dónde irá. Por ejemplo, puede configurarla para que:

  • Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
  • Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
  • Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada vez que se generen.
  • La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la puntuación de un control cambia en 0,01 o más.

En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a Azure Event Hubs.

Sugerencia

Defender for Cloud también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Gratuito
Roles y permisos necesarios:
  • Administrador de seguridad o Propietario en el grupo de recursos.
  • Permisos de escritura para el recurso de destino.
  • Si utiliza las directivas "DeployIfNotExist" de Azure Policy, también necesitará permisos para asignar directivas.
  • Para exportar datos a Event Hubs, necesitará permiso de escritura en la directiva de Event Hubs.
  • Para exportar a un área de trabajo de Log Analytics:
    • Si tiene la solución SecurityCenterFree, necesitará un mínimo de permisos de lectura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/read
    • Si no tiene la solución SecurityCenterFree, necesitará permisos de escritura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/action
    • Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet)

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Microsoft Defender for Cloud en Azure Portal, a través de la API de REST o a gran escala con las plantillas de Azure Policy proporcionadas.

Configuración de la exportación continua desde las páginas de Defender for Cloud en Azure Portal

Si va a configurar una exportación continua a Log Analytics o a Azure Event Hubs:

  1. En el menú de Defender for Cloud, abra Parámetros del entorno.

  2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.

  3. En la barra lateral de la página de configuración de esa suscripción, seleccione Exportación continua.

    Opciones de exportación en Microsoft Defender for Cloud.

    Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea un centro de eventos o un área de trabajo de Log Analytics.

  4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo, exportar solo alertas de gravedad alta).

  5. Seleccione la frecuencia de exportación:

    • Streaming: las evaluaciones se enviarán cuando se actualice el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
    • Instantáneas: se enviará una vez a la semana por suscripción una instantánea del estado actual de los tipos de datos seleccionados. Para identificar los datos de la instantánea, busque el campo IsSnapshot.

    Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

    Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de seguridad.

    Control de alternancia Incluir resultados de seguridad en la configuración de la exportación continua.

  6. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en un área de trabajo central de Log Analytics).

    También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics en un inquilino diferente.

  7. Seleccione Guardar.

Nota:

Log Analytics solo admite registros con un tamaño de hasta 32 KB. Cuando se alcance el límite de datos, verá una alerta que le indica Data limit has been exceeded.

Exportación a un área de trabajo de Log Analytics

Si quiere analizar datos de Microsoft Defender for Cloud dentro de un área de trabajo de Log Analytics o usar alertas de Azure junto con alertas de Defender for Cloud, configure la exportación continua al área de trabajo de Log Analytics.

Tablas y esquemas de Log Analytics

Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y SecurityRecommendation respectivamente.

El nombre de la solución de Log Analytics que contiene estas tablas depende de si ha habilitado las características de seguridad mejorada: Seguridad ("Security and Audit") o SecurityCenterFree.

Sugerencia

Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o SecurityCenterFree.

Tabla SecurityAlert de Log Analytics

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de tabla de Log Analytics.

Exportación de datos a un centro de eventos de Azure o un área de trabajo de Log Analytics en otro inquilino

Puede exportar datos a un centro de eventos de Azure o a un área de trabajo de Log Analytics en un inquilino diferente, sin usar Azure Lighthouse. Al recopilar datos en un inquilino, puede analizar los datos desde una ubicación central.

Para exportar datos a un centro de eventos de Azure o a un área de trabajo de Log Analytics en un inquilino diferente:

  1. En el inquilino que tiene el centro de eventos de Azure o el área de trabajo de Log Analytics, invite a un usuario del inquilino que hospeda la configuración de exportación continua.
  2. Para un área de trabajo de Log Analytics: después de que el usuario acepte la invitación para unirse al inquilino, asigne al usuario en el inquilino del área de trabajo uno de estos roles: Propietario, Colaborador, Colaborador de Log Analytics, Colaborador de Sentinel, Colaborador de supervisión
  3. Configure la configuración de exportación continua y seleccione el centro de eventos o el área de trabajo de Analytics a la que enviar los datos.

También puede configurar la exportación a otro inquilino mediante la API de REST. Para obtener más información, consulte las automatizaciones API de REST.

Visualización de las recomendaciones y alertas exportadas en Azure Monitor

También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.

Azure Monitor proporciona una experiencia de alerta unificada para varias alertas de Azure, incluido el registro de diagnóstico, alertas métricas y alertas personalizadas basadas en consultas del área de trabajo de Log Analytics.

Para ver las alertas y recomendaciones de Defender for Cloud en Azure Monitor, configure una regla de alerta basada en consultas de Log Analytics (Alerta de registro):

  1. En la página Alertasde Azure Monitor, seleccione Nueva regla de alerta.

    Página de alertas de Azure Monitor.

  2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una regla de alertas de registro en Azure Monitor):

    • En Recurso, seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y las alertas de seguridad.

    • En Condición, seleccione Custom log search (Búsqueda de registros personalizada). En la página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia. En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para consultar los tipos de datos que Defender for Cloud exporta continuamente al habilitar la característica de exportación continua a Log Analytics.

    • Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar. Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los webhooks, etc. Regla de alertas de Azure Monitor.

Ahora verá las nuevas alertas o recomendaciones de Microsoft Defender for Cloud (según las reglas de exportación continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Alertas de seguridad o Recomendaciones y seleccione el botón para Download CSV report (Descargar informe en CSV).

Sugerencia

Debido a las limitaciones de Azure Resource Graph, los informes se limitan a un tamaño de archivo de 13 000 filas. Si observa errores relacionados con la exportación de demasiados datos, intente limitar la salida seleccionando un conjunto más pequeño de suscripciones para exportar.

Descargar datos de alertas como un archivo CSV.

Nota

Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Preguntas frecuentes: exportación continua

¿Cuáles son los costos de la exportación de datos?

La habilitación de una exportación continua no tiene costo alguno. Sin embargo, la ingesta y retención de datos del área de trabajo de Log Analytics, pueden tener costo, en función de la configuración.

Muchas alertas solo se proporcionan cuando ha habilitado los planes de Defender para los recursos. Un buen método para obtener una vista previa de las alertas que obtendrá en los datos exportados consiste en ver las alertas que se muestran en las páginas de Defender for Cloud en Azure Portal.

Obtenga más información sobre los precios del área de trabajo de Log Analytics.

Obtenga más información sobre los precios de Azure Event Hubs.

¿La exportación incluye datos sobre el estado actual de todos los recursos?

No. La exportación continua se creó para la transmisión de eventos:

  • Las alertas recibidas antes de habilitar la exportación no se exportarán.
  • Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó la exportación.
  • La puntuación de seguridad por control de seguridad o suscripción se envía cuando cambia la puntuación de un control de seguridad en 0,01 o más.
  • El estado de cumplimiento normativo se envía cuando cambia el estado del cumplimiento del recurso.

¿Por qué se envían recomendaciones en distintos intervalos?

Las distintas recomendaciones tienen diferentes intervalos de evaluación del cumplimiento, que pueden ir desde cada pocos minutos hasta cada pocos días. Por lo tanto, la cantidad de tiempo que tardan las recomendaciones en aparecer en las exportaciones varía.

¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante desastres (BCDR)?

La exportación continua puede resultar útil en la preparación para escenarios de BCDR en los que el recurso de destino está experimentando una interrupción u otro desastre. Sin embargo, es responsabilidad de la organización evitar la pérdida de datos estableciendo copias de seguridad según las directrices de Azure Event Hubs, el área de trabajo de Log Analytics y Logic App.

Obtenga más información en Recuperación ante desastres geográfica de Azure Event Hubs.

¿Cuáles son los permisos mínimos de directiva de SAS necesarios al exportar datos a Azure Event Hubs?

Enviar es el mínimo de permisos de directiva de SAS necesarios. Para obtener instrucciones paso a paso, consulte Paso 1. Creación de un espacio de nombres de Event Hubs y un centro de eventos con permisos de envío en este artículo.

Pasos siguientes

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para obtener material relacionado, consulte la documentación siguiente: