Exportált adatok megtekintése az Azure Monitorban

Miután beállította Felhőhöz készült Microsoft Defender biztonsági riasztások és javaslatok folyamatos exportálását, megtekintheti az adatokat az Azure Monitorban. Ez a cikk bemutatja, hogyan tekintheti meg az adatokat a Log Analyticsben vagy az Azure Event Hubsban.

Előfeltételek

• Folyamatos exportálás beállítása az Azure Portalon , vagy folyamatos exportálás beállítása az Azure Policy használatával vagy folyamatos exportálás beállítása a REST API-val.

Exportált riasztások és javaslatok megtekintése az Azure Monitorban

Az Azure Monitor egységes riasztási felületet biztosít a különböző Azure-riasztásokhoz, beleértve a diagnosztikai naplót, a metrikariasztásokat és a Log Analytics-munkaterület lekérdezéseire épülő egyéni riasztásokat.

A Felhőhöz készült Defender riasztásainak és javaslatainak az Azure Monitorban való megtekintéséhez konfiguráljon egy Log Analytics-lekérdezéseken (naplóriasztási szabályon) alapuló riasztási szabályt.

Riasztási szabály konfigurálása:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza a Figyelés lehetőséget.

3. Válassza a Riasztások lehetőséget.

4. Válassza az Új riasztási szabály lehetőséget.

   

5. Állítsa be az új szabályt ugyanúgy, ahogyan a naplóriasztási szabályt az Azure Monitorban konfigurálná:

   • Erőforrás esetén válassza ki azt a Log Analytics-munkaterületet, ahová biztonsági riasztásokat és javaslatokat exportált.

   • A Feltétel beállításnál válassza az Egyéni naplókeresés lehetőséget. A megjelenő lapon konfigurálja a lekérdezést, a visszakeresési időszakot és a gyakorisági időszakot. A keresési lekérdezésben megadhatja a SecurityAlert vagy a SecurityRecommendation értéket, hogy lekérdezhesse azokat az adattípusokat, amelyekbe Felhőhöz készült Defender folyamatosan exportálni, miközben engedélyezi a Log Analyticsbe való folyamatos exportálást.

   • Igény szerint hozzon létre egy műveletcsoportot az aktiváláshoz. A műveletcsoportok automatizálhatják az e-mailek küldését, az ITSM-jegy létrehozását, a webhook futtatását és egyebeket a környezet eseményei alapján.

A Felhőhöz készült Defender riasztások vagy javaslatok (a konfigurált folyamatos exportálási szabályoktól és az Azure Monitor-riasztási szabályban meghatározott feltételtől függően) jelennek meg az Azure Monitor-riasztásokban, és egy műveletcsoport automatikus aktiválásával (ha van ilyen).

Következő lépés

CSV-jelentés letöltése