Exportación continua de datos de Microsoft Defender for Cloud

Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información de estas alertas y recomendaciones, puede exportarla a Azure Log Analytics, Event Hubs o a otra solución de administración de servicios de TI, SOAR o SIEM. Puede transmitir las alertas y recomendaciones a medida que se generan o definen una programación para enviar instantáneas periódicas de todos los datos nuevos.

Con la exportación continua, puedes personalizar completamente lo que se exportará y a dónde irá. Por ejemplo, puede configurarla para que:

• Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
• Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
• Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada vez que se generen.
• La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la puntuación de un control cambia en 0,01 o más.

En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a Azure Event Hubs.

Sugerencia

Defender for Cloud también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad

Aspecto	Detalles
Estado de la versión:	Disponibilidad general (GA)
Precios:	Gratuito
Roles y permisos necesarios:	Administrador de seguridad o Propietario en el grupo de recursos. Permisos de escritura para el recurso de destino. Si utiliza las directivas "DeployIfNotExist" de Azure Policy, también necesitará permisos para asignar directivas. Para exportar datos a Event Hubs, necesitará permiso de escritura en la directiva de Event Hubs. Para exportar a un área de trabajo de Log Analytics: Si tiene la solución SecurityCenterFree, necesitará un mínimo de permisos de lectura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/read Si no tiene la solución SecurityCenterFree, necesitará permisos de escritura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/action Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics
Nubes:	Nubes comerciales Nacionales (Azure Government, Azure China 21Vianet)

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:

• Alertas de seguridad.
• Recomendaciones de seguridad.
• Conclusiones de seguridad. Las conclusiones pueden considerarse como "sub-recomendaciones" y pertenecen a una recomendación "principal". Por ejemplo:
  • Cada recomendación Las actualizaciones del sistema deben instalarse en sus máquinas (con tecnología de Update Center) y Las actualizaciones del sistema deben estar instaladas en las máquinas tiene una recomendación "secundaria" para cada actualización pendiente del sistema.
  • La recomendación Machines should have vulnerability findings resolved (Las máquinas deben tener resueltos los hallazgos de vulnerabilidades) tiene una recomendación "secundaria" para cada vulnerabilidad identificada mediante el analizador de vulnerabilidades.

  Nota

  Si va a configurar una exportación continua con la API REST, incluya siempre el elemento primario con los resultados.

• Puntuación segura por suscripción o por control.
• Datos de cumplimiento normativo.

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Microsoft Defender for Cloud en Azure Portal, a través de la API de REST o a gran escala con las plantillas de Azure Policy proporcionadas.

Uso de Azure Portal

Configuración de la exportación continua desde las páginas de Defender for Cloud en Azure Portal

Si va a configurar una exportación continua a Log Analytics o a Azure Event Hubs:

1. En el menú de Defender for Cloud, abra Parámetros del entorno.

2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.

3. En la barra lateral de la página de configuración de esa suscripción, seleccione Exportación continua.

   

   Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea un centro de eventos o un área de trabajo de Log Analytics.

4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo, exportar solo alertas de gravedad alta).

5. Seleccione la frecuencia de exportación:

   • Streaming: las evaluaciones se enviarán cuando se actualice el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
   • Instantáneas: se enviará una vez a la semana por suscripción una instantánea del estado actual de los tipos de datos seleccionados. Para identificar los datos de la instantánea, busque el campo IsSnapshot.

   Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

   • Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.
   • Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
   • Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys])
   • Machines should have vulnerability findings resolved (Las máquinas deben tener resueltos los hallazgos de vulnerabilidades)
   • Se deben instalar actualizaciones del sistema en las máquinas

   Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de seguridad.

   

6. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en un área de trabajo central de Log Analytics).

   También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics en un inquilino diferente.

7. Seleccione Guardar.

Nota:

Log Analytics solo admite registros con un tamaño de hasta 32 KB. Cuando se alcance el límite de datos, verá una alerta que le indica Data limit has been exceeded.

Uso de la API de REST

Configuración de la exportación continua mediante la API REST

La exportación continua se puede configurar y administrar mediante las API de automatizaciones de Microsoft Defender for Cloud. Use esta API para crear o actualizar reglas para exportarlas a cualquiera de los siguientes destinos posibles:

• Azure Event Hubs
• Área de trabajo de Log Analytics
• Azure Logic Apps

También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics en un inquilino diferente.

Estos son algunos ejemplos de opciones que solo puede usar en la API:

• Mayor volumen: con la API, puede crear varias configuraciones de exportación en una sola suscripción. La página de Exportación continua en Azure Portal solo admite una configuración de exportación por suscripción.

• Características adicionales: La API ofrece parámetros que no se muestran en Azure Portal. Por ejemplo, puede agregar etiquetas a su recurso de automatización y definir su exportación en función de un conjunto más amplio de propiedades de alerta y recomendación que las ofrecidas en la página de Exportación continua del Azure Portal.

• Ámbito más centrado: la API proporciona un nivel más detallado del ámbito de sus configuraciones de exportación. Cuando se define una exportación con la API, se puede hacer a nivel de grupo de recursos. Si usa la página de Exportación continua en el Azure Portal, tiene que definirla a nivel de suscripción.

  Sugerencia

  Estas opciones de solo API no se muestran en el Azure Portal. Si los usa, habrá un banner que le informará de que existen otras configuraciones.

Implementación a gran escala con Azure Policy

Configuración de la exportación continua a gran escala con las directivas proporcionadas

La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.

Para implementar las configuraciones de la exportación continua en la organización, use las directivas "DeployIfNotExist" de Azure Policy proporcionadas para crear y configurar los procedimientos de exportación continua.

Para implementar estas directivas

1. Seleccione en esta tabla la directiva que desea aplicar:

   Objetivo	Directiva	Id. de directiva
   Exportación continua a Event Hubs	Implementación de la exportación a Event Hubs para recomendaciones y alertas de Microsoft Defender for Cloud	cdfcce10-4578-4ecd-9703-530938e4abcb
   Exportación continua a las áreas de trabajo de Log Analytics	Implementación de la exportación al área de trabajo de Log Analytics para recomendaciones y alertas de Microsoft Defender for Cloud	ffb6f416-7bd2-4488-8828-56585fef2be9

   Sugerencia

   También puede encontrarlos buscando Azure Policy:

   1. Abra Azure Policy.
   2. En el menú Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.

2. En la página pertinente de Azure Policy, seleccione Asignar.

3. Abra cada pestaña y establezca los parámetros como quiera:

   1. En la pestaña Aspectos básicos, establezca el ámbito de la directiva. Para usar la administración centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que usarán la configuración de la exportación continua.
   2. En la pestaña Parámetros, establezca el grupo de recursos y los detalles del tipo de datos.

      Sugerencia

      Cada parámetro tiene información sobre herramientas que explica las opciones disponibles.

      La pestaña Parámetros de Azure Policy (1) proporciona acceso a opciones de configuración similares, como la página de exportación continua de Defender for Cloud (2).

   3. Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña Corrección y seleccione la opción para crear una tarea de corrección.

4. Revise la página de resumen y seleccione Crear.

Exportación a un área de trabajo de Log Analytics

Si quiere analizar datos de Microsoft Defender for Cloud dentro de un área de trabajo de Log Analytics o usar alertas de Azure junto con alertas de Defender for Cloud, configure la exportación continua al área de trabajo de Log Analytics.

Tablas y esquemas de Log Analytics

Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y SecurityRecommendation respectivamente.

El nombre de la solución de Log Analytics que contiene estas tablas depende de si ha habilitado las características de seguridad mejorada: Seguridad ("Security and Audit") o SecurityCenterFree.

Sugerencia

Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o SecurityCenterFree.

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de tabla de Log Analytics.

Exportación de datos a un centro de eventos de Azure o un área de trabajo de Log Analytics en otro inquilino

Puede exportar datos a un centro de eventos de Azure o a un área de trabajo de Log Analytics en un inquilino diferente, sin usar Azure Lighthouse. Al recopilar datos en un inquilino, puede analizar los datos desde una ubicación central.

Para exportar datos a un centro de eventos de Azure o a un área de trabajo de Log Analytics en un inquilino diferente:

1. En el inquilino que tiene el centro de eventos de Azure o el área de trabajo de Log Analytics, invite a un usuario del inquilino que hospeda la configuración de exportación continua.
2. Para un área de trabajo de Log Analytics: después de que el usuario acepte la invitación para unirse al inquilino, asigne al usuario en el inquilino del área de trabajo uno de estos roles: Propietario, Colaborador, Colaborador de Log Analytics, Colaborador de Sentinel, Colaborador de supervisión
3. Configure la configuración de exportación continua y seleccione el centro de eventos o el área de trabajo de Analytics a la que enviar los datos.

También puede configurar la exportación a otro inquilino mediante la API de REST. Para obtener más información, consulte las automatizaciones API de REST.

Visualización de las recomendaciones y alertas exportadas en Azure Monitor

También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.

Azure Monitor proporciona una experiencia de alerta unificada para varias alertas de Azure, incluido el registro de diagnóstico, alertas métricas y alertas personalizadas basadas en consultas del área de trabajo de Log Analytics.

Para ver las alertas y recomendaciones de Defender for Cloud en Azure Monitor, configure una regla de alerta basada en consultas de Log Analytics (Alerta de registro):

1. En la página Alertasde Azure Monitor, seleccione Nueva regla de alerta.

   

2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una regla de alertas de registro en Azure Monitor):

   • En Recurso, seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y las alertas de seguridad.

   • En Condición, seleccione Custom log search (Búsqueda de registros personalizada). En la página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia. En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para consultar los tipos de datos que Defender for Cloud exporta continuamente al habilitar la característica de exportación continua a Log Analytics.

   • Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar. Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los webhooks, etc.

Ahora verá las nuevas alertas o recomendaciones de Microsoft Defender for Cloud (según las reglas de exportación continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Alertas de seguridad o Recomendaciones y seleccione el botón para Download CSV report (Descargar informe en CSV).

Sugerencia

Debido a las limitaciones de Azure Resource Graph, los informes se limitan a un tamaño de archivo de 13 000 filas. Si observa errores relacionados con la exportación de demasiados datos, intente limitar la salida seleccionando un conjunto más pequeño de suscripciones para exportar.

Nota

Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Preguntas frecuentes: exportación continua

¿Cuáles son los costos de la exportación de datos?

La habilitación de una exportación continua no tiene costo alguno. Sin embargo, la ingesta y retención de datos del área de trabajo de Log Analytics, pueden tener costo, en función de la configuración.

Muchas alertas solo se proporcionan cuando ha habilitado los planes de Defender para los recursos. Un buen método para obtener una vista previa de las alertas que obtendrá en los datos exportados consiste en ver las alertas que se muestran en las páginas de Defender for Cloud en Azure Portal.

Obtenga más información sobre los precios del área de trabajo de Log Analytics.

Obtenga más información sobre los precios de Azure Event Hubs.

¿La exportación incluye datos sobre el estado actual de todos los recursos?

No. La exportación continua se creó para la transmisión de eventos:

• Las alertas recibidas antes de habilitar la exportación no se exportarán.
• Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó la exportación.
• La puntuación de seguridad por control de seguridad o suscripción se envía cuando cambia la puntuación de un control de seguridad en 0,01 o más.
• El estado de cumplimiento normativo se envía cuando cambia el estado del cumplimiento del recurso.

¿Por qué se envían recomendaciones en distintos intervalos?

Las distintas recomendaciones tienen diferentes intervalos de evaluación del cumplimiento, que pueden ir desde cada pocos minutos hasta cada pocos días. Por lo tanto, la cantidad de tiempo que tardan las recomendaciones en aparecer en las exportaciones varía.

¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante desastres (BCDR)?

La exportación continua puede resultar útil en la preparación para escenarios de BCDR en los que el recurso de destino está experimentando una interrupción u otro desastre. Sin embargo, es responsabilidad de la organización evitar la pérdida de datos estableciendo copias de seguridad según las directrices de Azure Event Hubs, el área de trabajo de Log Analytics y Logic App.

Obtenga más información en Recuperación ante desastres geográfica de Azure Event Hubs.

¿Cuáles son los permisos mínimos de directiva de SAS necesarios al exportar datos a Azure Event Hubs?

Enviar es el mínimo de permisos de directiva de SAS necesarios. Para obtener instrucciones paso a paso, consulte Paso 1. Creación de un espacio de nombres de Event Hubs y un centro de eventos con permisos de envío en este artículo.

Pasos siguientes

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para obtener material relacionado, consulte la documentación siguiente:

• Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
• Documentación de Azure Event Hubs
• Documentación de Microsoft Sentinel
• Documentación sobre Azure Monitor
• Exportación de esquemas de tipos de datos