Compartir vía


Configuración de la exportación continua en Azure Portal

Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información que contienen estas alertas y recomendaciones, puede exportarlas a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de modelo de implementación de Administración de eventos e información de seguridad (SIEM), de respuesta automatizada de orquestación de seguridad (SOAR) o clásica de TI. Puede transmitir las alertas y recomendaciones a medida que se generan o definir una programación para enviar instantáneas periódicas de todos los datos nuevos.

En este artículo se describe cómo configurar la exportación continua a un área de trabajo de Log Analytics o a un centro de eventos de Azure.

Sugerencia

Defender for Cloud también ofrece la opción de realizar una exportación manual puntual a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo CSV.

Requisitos previos

Roles y permisos necesarios:

  • Administrador de seguridad o propietario del grupo de recursos
  • Permisos de escritura para el recurso de destino.
  • Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
  • Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
  • Para exportar a un área de trabajo de Log Analytics:
    • Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/read.

    • Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/action.

      Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics.

Configuración de la exportación continua en Azure Portal

Puede configurar la exportación continua en las páginas de Microsoft Defender for Cloud en Azure Portal, mediante la API de REST o a gran escala usando las plantillas de Azure Policy proporcionadas.

Para configurar una exportación continua a Log Analytics o Azure Event Hubs mediante Azure Portal, siga estos pasos:

  1. En el menú de recursos de Defender for Cloud, seleccione Configuracióm del entorno.

  2. Seleccione la suscripción para la que quiere configurar la exportación de datos.

  3. En el menú de recursos en Configuración, seleccione Exportación continua.

    Captura de pantalla que muestra las opciones de exportación en Microsoft Defender for Cloud.

    Aparecen las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea un centro de eventos o un área de trabajo de Log Analytics.

  4. Seleccione el tipo de datos que quiere exportar y elija el filtro por el tipo (por ejemplo, exportar solo alertas de gravedad alta).

  5. Seleccione la frecuencia de exportación:

    • Streaming. Se envían evaluaciones cuando se actualiza el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se envían datos).
    • Instantáneas. Una instantánea del estado actual de los tipos de datos seleccionados que se envían una vez a la semana por suscripción. Para identificar los datos de la instantánea, busque el campo IsSnapshot.

    Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

    Para incluir los resultados con estas recomendaciones, establezca Incluir resultados de seguridad en .

    Captura de pantalla que muestra Incluir la alternancia de los resultados de seguridad en la configuración de la exportación continua.

  6. En Exportar destino, elija dónde desea guardar los datos. Los datos se pueden guardar en el destino de otra suscripción (por ejemplo, en una instancia central de Event Hubs o en un área de trabajo central de Log Analytics).

    También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics de otro inquilino.

  7. Seleccione Guardar.

Nota:

Log Analytics solo admite registros con un tamaño de hasta 32 KB. Cuando se alcanza este límite, una alerta muestra el mensaje Se ha superado el límite de datos.

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para ver contenido relacionado: