Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender para la nube genera alertas y recomendaciones de seguridad. Puede exportar estos datos a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de administración de eventos e información de seguridad (SIEM), de orquestación de seguridad, automatización y respuesta (SOAR) o de modelo de implementación clásico de TI. Puede transmitir datos a medida que se generan o puede enviar instantáneas programadas de nuevos datos.
En este artículo se explica cómo configurar la exportación continua a un área de trabajo de Log Analytics o un centro de eventos en Azure.
Sugerencia
Defender for Cloud también ofrece una exportación manual única a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo CSV.
Prerrequisitos
Necesita una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede registrarse para obtener una suscripción gratuita.
Debe haber habilitado Microsoft Defender para la nube en la suscripción de Azure.
Roles y permisos necesarios:
- Administrador de seguridad o propietario del grupo de recursos
- Permisos de escritura para el recurso de destino.
- Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
- Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
- Para exportar a un área de trabajo de Log Analytics:
Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/read.Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/action.Obtenga más información sobre las soluciones de área de trabajo de Azure Monitor y Log Analytics.
Configuración de la exportación continua en Azure Portal
Puede configurar la exportación continua en las páginas de Microsoft Defender para la nube del portal de Azure, mediante la API REST o a escala mediante plantillas de Azure Policy.
Para configurar una exportación continua a Log Analytics o Azure Event Hubs mediante Azure Portal:
En el menú de recursos de Defender for Cloud, seleccione Configuración del entorno.
Seleccione la suscripción para la que desea configurar la exportación de datos.
En el menú de recursos en Configuración, seleccione Exportación continua.
Aparecen las opciones de exportación. Hay una pestaña para cada destino: Event Hubs o Log Analytics área de trabajo.
Seleccione el tipo de datos que desea exportar y, a continuación, elija filtros para ese tipo. Por ejemplo, solo puede exportar alertas de gravedad alta.
Seleccione la frecuencia de exportación:
- Streaming. Las evaluaciones se envían cuando se actualiza el estado de mantenimiento de un recurso (si no se producen actualizaciones, no se envía ningún dato).
- Instantáneas. Instantánea del estado actual de los tipos de datos seleccionados que se envían una vez a la semana por suscripción. Para identificar los datos de instantáneas, busque el campo IsSnapshot.
Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades con ellos:
- Las bases de datos SQL deben tener resueltos los resultados de vulnerabilidades
- Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
- Las imágenes del registro de contenedor deben tener los resultados de vulnerabilidad resueltos (con tecnología de Qualys)
- Las máquinas deben tener resueltos los resultados de vulnerabilidades
- Las actualizaciones del sistema deben instalarse en las máquinas
Para incluir los resultados con estas recomendaciones, establezca Incluir hallazgos de seguridad en Sí.
En Exportar destino, elija dónde desea guardar los datos. Los datos se pueden guardar en un destino de una suscripción diferente (por ejemplo, en una instancia central de Event Hubs o en un área de trabajo central de Log Analytics).
También puede enviar los datos a un centro de eventos o al área de trabajo de Log Analytics en un inquilino diferente.
Haga clic en Guardar.
Nota:
Log Analytics solo admite registros de hasta 32 KB de tamaño. Cuando se alcanza el límite de datos, una alerta muestra el mensaje Se ha superado el límite de datos.
Contenido relacionado
En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También ha aprendido a descargar los datos de alertas como un archivo CSV.
Para ver el contenido relacionado:
- Aprenda a ver los datos exportados en Azure Monitor.
- Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
- Consulte la documentación de Azure Event Hubs.
- Más información sobre Microsoft Sentinel.
- Revise la documentación de Azure Monitor.
- Obtenga información sobre cómo exportar esquemas de tipos de datos.
- Consulte las preguntas comunes sobre la exportación continua.