Exportación continua de datos de Microsoft Defender for Cloud

Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información de estas alertas y recomendaciones, puede exportarlas a Azure Log Analytics, Event Hubs o a otra solución de modelo de implementación clásico de servicios de TI, SOAR o SIEM. Puede transmitir las alertas y recomendaciones a medida que se generan o definen una programación para enviar instantáneas periódicas de todos los datos nuevos.

Con la exportación continua, puede personalizar completamente qué información exportar y hacia dónde va. Por ejemplo, puede configurarla para que:

• Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
• Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
• Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada vez que se generen.
• La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la puntuación de un control cambia en 0,01 o más.

En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a Azure Event Hubs.

Sugerencia

Defender for Cloud también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad

Aspecto	Detalles
Estado de la versión:	Disponibilidad general (GA)
Precios:	Gratuito
Roles y permisos necesarios:	Administrador de seguridad o Propietario en el grupo de recursos. Permisos de escritura para el recurso de destino. Si usa las directivas de Azure Policy "DeployIfNotExist", necesita los permisos que le permiten asignar directivas Para exportar datos a Event Hubs, necesita permiso de escritura en la directiva de Event Hubs. Para exportar a un área de trabajo de Log Analytics: Si tiene la solución SecurityCenterFree, necesita un mínimo de permisos de lectura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/read Si no tiene la solución SecurityCenterFree, necesita permisos de escritura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/action Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics
Nubes:	Nubes comerciales Nacional (Azure Government, Microsoft Azure operado por 21Vianet)

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:

• Alertas de seguridad.
• Recomendaciones de seguridad.
• Conclusiones de seguridad. Las conclusiones pueden considerarse como "sub-recomendaciones" y pertenecen a una recomendación "principal". Por ejemplo:
  • Cada recomendación Las actualizaciones del sistema deben instalarse en sus máquinas (con tecnología de Update Center) y Las actualizaciones del sistema deben estar instaladas en las máquinas tiene una recomendación "secundaria" para cada actualización pendiente del sistema.
  • La recomendación Machines should have vulnerability findings resolved (Las máquinas deben tener resueltos los hallazgos de vulnerabilidades) tiene una recomendación "secundaria" para cada vulnerabilidad identificada mediante el analizador de vulnerabilidades.

    Nota

    Si va a configurar una exportación continua con la API REST, incluya siempre el elemento primario con los resultados.

• Puntuación segura por suscripción o por control.
• Datos de cumplimiento normativo.

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Microsoft Defender for Cloud en Azure Portal, a través de la API de REST o a gran escala con las plantillas de Azure Policy proporcionadas.

Uso de Azure Portal

Configuración de la exportación continua desde las páginas de Defender for Cloud en Azure Portal

Si va a configurar una exportación continua a Log Analytics o a Azure Event Hubs:

1. En el menú de Defender for Cloud, abra Parámetros del entorno.

2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.

3. En la barra lateral de la página de configuración de esa suscripción, seleccione Exportación continua.

   

   Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea un centro de eventos o un área de trabajo de Log Analytics.

4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo, exportar solo alertas de gravedad alta).

5. Seleccione la frecuencia de exportación:

   • Streaming: las evaluaciones se envían cuando se actualiza el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se envían datos).
   • Instantáneas: una instantánea del estado actual de los tipos de datos seleccionados que se envían una vez a la semana por suscripción. Para identificar los datos de la instantánea, busque el campo IsSnapshot.

   Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

   • Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.
   • Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
   • Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys])
   • Machines should have vulnerability findings resolved (Las máquinas deben tener resueltos los hallazgos de vulnerabilidades)
   • Se deben instalar actualizaciones del sistema en las máquinas

   Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de seguridad.

   

6. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en un área de trabajo central de Log Analytics).

   También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics en un inquilino diferente.

7. Seleccione Guardar.

Nota:

Log Analytics solo admite registros con un tamaño de hasta 32 KB. Cuando se alcance el límite de datos, verá una alerta que le indica Data limit has been exceeded.

Uso de la API de REST

Configuración de la exportación continua mediante la API REST

La exportación continua se puede configurar y administrar mediante las API de automatizaciones de Microsoft Defender for Cloud. Use esta API para crear o actualizar reglas para exportarlas a cualquiera de los siguientes destinos posibles:

• Azure Event Hubs
• Área de trabajo de Log Analytics
• Azure Logic Apps

También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics en un inquilino diferente.

Estos son algunos ejemplos de opciones que solo puede usar en la API:

• Mayor volumen: con la API, puede crear varias configuraciones de exportación en una sola suscripción. La página de Exportación continua en Azure Portal solo admite una configuración de exportación por suscripción.

• Características adicionales: La API ofrece parámetros que no se muestran en Azure Portal. Por ejemplo, puede agregar etiquetas a su recurso de automatización y definir su exportación en función de un conjunto más amplio de propiedades de alerta y recomendación que las ofrecidas en la página de Exportación continua del Azure Portal.

• Ámbito más centrado: la API proporciona un nivel más detallado del ámbito de sus configuraciones de exportación. Cuando se define una exportación con la API, se puede hacer a nivel de grupo de recursos. Si usa la página de Exportación continua en el Azure Portal, tiene que definirla a nivel de suscripción.

  Sugerencia

  Estas opciones de solo API no se muestran en el Azure Portal. Si los usa, habrá un banner que le informará de que existen otras configuraciones.

Implementación a gran escala con Azure Policy

Configuración de la exportación continua a gran escala con las directivas proporcionadas

La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.

Para implementar las configuraciones de la exportación continua en la organización, use las directivas "DeployIfNotExist" de Azure Policy proporcionadas para crear y configurar los procedimientos de exportación continua.

Para implementar estas directivas

1. Seleccione en esta tabla la directiva que desea aplicar:

   Objetivo	Directiva	Id. de directiva
   Exportación continua a Event Hubs	Implementación de la exportación a Event Hubs para recomendaciones y alertas de Microsoft Defender for Cloud	cdfcce10-4578-4ecd-9703-530938e4abcb
   Exportación continua a las áreas de trabajo de Log Analytics	Implementación de la exportación al área de trabajo de Log Analytics para recomendaciones y alertas de Microsoft Defender for Cloud	ffb6f416-7bd2-4488-8828-56585fef2be9

   Sugerencia

   También puede encontrarlos buscando Azure Policy:

   1. Abra Azure Policy.
   2. En el menú Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.

2. En la página pertinente de Azure Policy, seleccione Asignar.

3. Abra cada pestaña y establezca los parámetros como quiera:

   1. En la pestaña Aspectos básicos, establezca el ámbito de la directiva. Para usar la administración centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que usan la configuración de exportación continua.
   2. En la pestaña Parámetros, establezca el grupo de recursos y los detalles del tipo de datos.

      Sugerencia

      Cada parámetro tiene información sobre herramientas que explica las opciones disponibles.

      La pestaña Parámetros de Azure Policy (1) proporciona acceso a opciones de configuración similares, como la página de exportación continua de Defender for Cloud (2).

   3. Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña Corrección y seleccione la opción para crear una tarea de corrección.

4. Revise la página de resumen y seleccione Crear.

Exportación a un área de trabajo de Log Analytics

Si quiere analizar datos de Microsoft Defender for Cloud dentro de un área de trabajo de Log Analytics o usar alertas de Azure junto con alertas de Defender for Cloud, configure la exportación continua al área de trabajo de Log Analytics.

Tablas y esquemas de Log Analytics

Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y SecurityRecommendation respectivamente.

El nombre de la solución de Log Analytics que contiene estas tablas depende de si ha habilitado las características de seguridad mejorada: Seguridad ("Security and Audit") o SecurityCenterFree.

Sugerencia

Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o SecurityCenterFree.

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de tabla de Log Analytics.

Exportación de datos a Azure Event Hubs o un área de trabajo de Log Analytics en otro inquilino

No puede configurar los datos que se exportarán a un área de trabajo de análisis de registros en otro inquilino cuando use Azure Policy para asignar la configuración. Este proceso solo funciona con la API de REST y la configuración no se admite en Azure Portal (debido a la necesidad de un contexto multiinquilino). Azure Lighthouse no resuelve este problema con Policy, aunque puede usar Lighthouse como método de autenticación.

Al recopilar datos en un inquilino, puede analizar los datos desde una ubicación central.

Para exportar datos a Azure Event Hubs o a un área de trabajo de Log Analytics en un inquilino diferente:

1. En el inquilino que tiene el área de trabajo de Log Analytics o Azure Event Hubs, invite a un usuario del inquilino que hospeda la configuración de exportación continua, o bien configure Azure Lighthouse para el inquilino de origen y destino.
2. Si usa el acceso de invitado de Azure AD B2B, asegúrese de que el usuario acepta la invitación para acceder al inquilino como invitado.
3. Si usa un área de trabajo de Log Analytics, asigne al usuario en el inquilino del área de trabajo uno de estos roles: Propietario, Colaborador, Colaborador de Log Analytics, Colaborador de Sentinel o Colaborador de supervisión.
4. Cree y envíe la solicitud a la API de REST de Azure para configurar los recursos necesarios. Deberá administrar los tokens de portador tanto en el contexto del inquilino local (área de trabajo) como en el inquilino remoto (exportación continua).

Exportación continua a un centro de eventos detrás de un firewall

Puede habilitar la exportación continua como un servicio de confianza para que pueda enviar datos a un centro de eventos que tenga habilitada una instancia de Azure Firewall.

Para conceder acceso a la exportación continua como servicio de confianza:

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

3. Seleccione el recurso correspondiente.

4. Seleccione Exportación continua.

5. Seleccione Exportación como servicio de confianza.

   

Debe agregar la asignación de roles correspondiente en la instancia de Event Hubs de destino.

Para agregar la asignación de roles correspondiente en el centro de eventos de destino:

1. Vaya a la instancia de Event Hubs seleccionada.

2. Seleccione Control de acceso>Agregar asignación de roles.

   

3. Seleccione Remitente de los datos de Azure Event Hubs.

4. Seleccione la pestaña Miembros.

5. Seleccione + Seleccionar miembros.

6. Busque y seleccione Proveedor de recursos de seguridad de Microsoft Azure.

   

7. Seleccione Revisar y asignar.

Visualización de las recomendaciones y alertas exportadas en Azure Monitor

También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.

Azure Monitor proporciona una experiencia de alerta unificada para varias alertas de Azure, incluido el registro de diagnóstico, alertas métricas y alertas personalizadas basadas en consultas del área de trabajo de Log Analytics.

Para ver las alertas y recomendaciones de Defender for Cloud en Azure Monitor, configure una regla de alerta basada en consultas de Log Analytics (Alerta de registro):

1. En la página Alertasde Azure Monitor, seleccione Nueva regla de alerta.

   

2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una regla de alertas de registro en Azure Monitor):

   • En Recurso, seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y las alertas de seguridad.

   • En Condición, seleccione Custom log search (Búsqueda de registros personalizada). En la página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia. En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para consultar los tipos de datos que Defender for Cloud exporta continuamente al habilitar la característica de exportación continua a Log Analytics.

   • Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar. Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los webhooks, etc.

Las alertas o recomendaciones de Microsoft Defender for Cloud aparecen (según las reglas de exportación continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Alertas de seguridad o Recomendaciones y seleccione el botón para Download CSV report (Descargar informe en CSV).

Sugerencia

Debido a las limitaciones de Azure Resource Graph, los informes se limitan a un tamaño de archivo de 13 000 filas. Si observa errores relacionados con la exportación de demasiados datos, intente limitar la salida seleccionando un conjunto más pequeño de suscripciones para exportar.

Nota

Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Pasos siguientes

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para obtener material relacionado, consulte la documentación siguiente:

• Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
• Documentación de Azure Event Hubs
• Documentación de Microsoft Sentinel
• Documentación sobre Azure Monitor
• Exportación de esquemas de tipos de datos
• Consulte preguntas comunes sobre la exportación continua.