Uso de conexiones de datos
En este artículo se describe la característica de conexiones de datos en Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM de Defender).
Información general
EaSM de Defender ahora ofrece conexiones de datos para ayudarle a integrar sin problemas los datos de la superficie expuesta a ataques en otras soluciones de Microsoft para complementar los flujos de trabajo existentes con nuevas conclusiones. Debe obtener datos de EASM de Defender en las demás herramientas de seguridad que use para la corrección para hacer el mejor uso de los datos de la superficie expuesta a ataques.
El conector de datos envía datos de recursos de EASM de Defender a dos plataformas diferentes: Log Analytics y Azure Data Explorer. Debe exportar datos de EASM de Defender a cualquiera de las herramientas. Las conexiones de datos están sujetas al modelo de precios para cada plataforma correspondiente.
Log Analytics proporciona información de seguridad, administración de eventos y funcionalidades de orquestación, automatización y respuesta de seguridad. La información de información o recursos de EASM de Defender se puede usar en Log Analytics para enriquecer los flujos de trabajo existentes con otros datos de seguridad. Esta información puede complementar la información de configuración y firewall, la inteligencia sobre amenazas y los datos de cumplimiento para proporcionar visibilidad sobre la infraestructura externa en Internet abierta.
Puede:
- Cree o enriquezca incidentes de seguridad.
- Crear cuadernos de estrategias de investigación.
- Entrenamiento de algoritmos de aprendizaje automático.
- Desencadenar acciones de corrección.
Azure Data Explorer es una plataforma de análisis de macrodatos que le ayuda a analizar grandes volúmenes de datos de varios orígenes con funcionalidades de personalización flexibles. Los datos de información y recursos de EASM de Defender se pueden integrar para usar las funcionalidades de visualización, consulta, ingesta y administración dentro de la plataforma.
Tanto si va a crear informes personalizados con Power BI como si busca recursos que coincidan con consultas KQL precisas, exportar datos de EASM de Defender a Azure Data Explorer le permite usar los datos de la superficie expuesta a ataques con un potencial de personalización sin fin.
Opciones de contenido de datos
Las conexiones de datos de EASM de Defender ofrecen la posibilidad de integrar dos tipos diferentes de datos de superficie expuesta a ataques en la herramienta que prefiera. Puede optar por migrar datos de recursos, información sobre la superficie expuesta a ataques o ambos tipos de datos. Los datos de recursos proporcionan detalles pormenorizados sobre todo el inventario. Las conclusiones de la superficie expuesta a ataques proporcionan información que requiere acción inmediata en función de los paneles de EASM de Defender.
Para presentar con precisión la infraestructura que más importa a su organización, ambas opciones de contenido solo incluyen recursos en el estado de inventario aprobado .
Datos de recursos: la opción Datos de recursos envía datos sobre todos los recursos de inventario a la herramienta que prefiera. Esta opción es mejor para casos de uso en los que los metadatos subyacentes granulares son clave para la integración de EASM de Defender. Entre los ejemplos se incluyen Microsoft Sentinel o informes personalizados en Azure Data Explorer. Puede exportar contexto de alto nivel en cada recurso de inventario y detalles granulares específicos del tipo de recurso determinado.
Esta opción no proporciona información predeterminada sobre los recursos. En su lugar, ofrece una gran cantidad de datos para que pueda encontrar la información personalizada que más le interesa.
Información sobre la superficie expuesta a ataques: las conclusiones de la superficie expuesta a ataques proporcionan un conjunto accionable de resultados en función de la información clave que se entrega a través de paneles en EASM de Defender. Esta opción proporciona metadatos menos granulares en cada recurso. Clasifica los recursos en función de la información correspondiente y proporciona el contexto de alto nivel necesario para investigar más. Esta opción es ideal si desea integrar estas conclusiones predeterminadas en flujos de trabajo de informes personalizados con datos de otras herramientas.
Información general sobre la configuración
En esta sección se presenta información general sobre la configuración.
Acceso a conexiones de datos
En el panel izquierdo del panel de recursos de EASM de Defender, en Administrar, seleccione Conexiones de datos. En esta página se muestran los conectores de datos para Log Analytics y Azure Data Explorer. Enumera las conexiones actuales y proporciona la opción de agregar, editar o quitar conexiones.
Requisitos previos de conexión
Para crear correctamente una conexión de datos, primero debe asegurarse de que ha completado los pasos necesarios para conceder el permiso EASM de Defender a la herramienta que prefiera. Este proceso permite a la aplicación ingerir los datos exportados. También proporciona las credenciales de autenticación necesarias para configurar la conexión.
Configuración de permisos de Log Analytics
Abra el área de trabajo de Log Analytics que ingerirá los datos de EASM de Defender o creará una nueva área de trabajo.
En el panel situado más a la izquierda, en Configuración, seleccione Agentes.
Expanda la sección Instrucciones del agente de Log Analytics para ver el identificador del área de trabajo y la clave principal. Estos valores se usan para configurar la conexión de datos.
El uso de esta conexión de datos está sujeto a la estructura de precios de Log Analytics. Para obtener más información, consulte Precios de Azure Monitor.
Configuración de permisos de Azure Data Explorer
Asegúrese de que la entidad de servicio de la API de EASM de Defender tiene acceso a los roles correctos de la base de datos donde desea exportar los datos de la superficie expuesta a ataques. En primer lugar, asegúrese de que el recurso de EASM de Defender se creó en el inquilino adecuado porque esta acción aprovisiona la entidad de seguridad de la API de EASM.
Abra el clúster de Azure Data Explorer que ingerirá los datos de EASM de Defender o creará un clúster.
En el panel situado más a la izquierda, en Datos, seleccione Bases de datos.
Seleccione Agregar base de datos para crear una base de datos para hospedar los datos de EASM de Defender.
Asigne un nombre a la base de datos, configure períodos de retención y caché y seleccione Crear.
Una vez creada la base de datos de EASM de Defender, seleccione el nombre de la base de datos para abrir la página de detalles. En el panel situado más a la izquierda, en Información general, seleccione Permisos. Para exportar correctamente los datos de EASM de Defender a Azure Data Explorer, debe crear dos nuevos permisos para la API de EASM: usuario e ingeror.
Seleccione Agregar y cree un usuario. Busque EASM API, seleccione el valor y elija Seleccionar.
Seleccione Agregar para crear un ingeror. Siga los mismos pasos descritos anteriormente para agregar la API de EASM como un ingeror.
La base de datos ya está lista para conectarse a EASM de Defender. Necesita el nombre del clúster, el nombre de la base de datos y la región al configurar la conexión de datos.
Adición de una conexión de datos
Puede conectar los datos de EASM de Defender a Log Analytics o Azure Data Explorer. Para ello, seleccione Agregar conexión para la herramienta adecuada en la página Conexiones de datos .
Se abre un panel de configuración en el lado derecho de la página Conexiones de datos . Los campos siguientes son necesarios para cada herramienta correspondiente.
Log Analytics
Nombre: escriba un nombre para esta conexión de datos.
Id. del área de trabajo: escriba el identificador del área de trabajo de la instancia de Log Analytics donde desea exportar los datos de EASM de Defender.
Clave de API: escriba la clave de API de la instancia de Log Analytics.
Contenido: seleccione esta opción para integrar datos de recursos, información sobre la superficie expuesta a ataques o ambos conjuntos de datos.
Frecuencia: seleccione la frecuencia que usa la conexión de EASM de Defender para enviar datos actualizados a la herramienta que prefiera. Las opciones disponibles son diaria, semanal y mensual.
Explorador de datos de Azure
Nombre: escriba un nombre para esta conexión de datos.
Nombre del clúster: escriba el nombre del clúster de Azure Data Explorer en el que desea exportar los datos de EASM de Defender.
Región: escriba la región del clúster de Azure Data Explorer.
Nombre de la base de datos: escriba el nombre de la base de datos deseada.
Contenido: seleccione esta opción para integrar datos de recursos, información sobre la superficie expuesta a ataques o ambos conjuntos de datos.
Frecuencia: seleccione la frecuencia que usa la conexión de EASM de Defender para enviar datos actualizados a la herramienta que prefiera. Las opciones disponibles son diaria, semanal y mensual.
Una vez configurados todos los campos, seleccione Agregar para crear la conexión de datos. En este punto, la página Conexiones de datos muestra un banner que indica que el recurso se creó correctamente. En 30 minutos, los datos comienzan a rellenarse. Una vez creadas las conexiones, se muestran en la herramienta aplicable en la página conexiones de datos principal.
Edición o eliminación de una conexión de datos
Puede editar o eliminar una conexión de datos. Por ejemplo, es posible que observe que una conexión aparece como Desconectada. En este caso, debe volver a escribir los detalles de configuración para corregir el problema.
Para editar o eliminar una conexión de datos:
Seleccione la conexión adecuada de la lista en la página conexiones de datos principal.
Se abre una página que proporciona más datos sobre la conexión. Muestra las configuraciones que eligió al crear la conexión y los mensajes de error. También verá los datos siguientes:
Periódico en: el día de la semana o el mes que Defender EASM envía datos actualizados a la herramienta conectada.
Creado: fecha y hora en que se creó la conexión de datos.
Actualizado: fecha y hora en que se actualizó por última vez la conexión de datos.
Desde esta página, puede volver a conectar, editar o eliminar la conexión de datos.
- Reconexión: intenta validar la conexión de datos sin realizar ningún cambio en la configuración. Esta opción es mejor si validó las credenciales de autenticación usadas para la conexión de datos.
- Editar: permite cambiar la configuración de la conexión de datos.
- Eliminar: elimina la conexión de datos.