Folyamatos exportálás beállítása az Azure Portalon

Felhőhöz készült Microsoft Defender részletes biztonsági riasztásokat és javaslatokat hoz létre. A riasztásokban és javaslatokban szereplő információk elemzéséhez exportálhatja őket az Azure Monitor Log Analyticsbe, az Azure Event Hubsba vagy egy másik biztonsági információ- és eseménykezelési (SIEM), biztonsági vezénylési automatikus válasz (SOAR) vagy klasszikus informatikai üzemi modell megoldásba. A riasztásokat és javaslatokat a generálásuk során streamelheti, vagy ütemezést határozhat meg az összes új adat rendszeres pillanatképeinek küldéséhez.

Ez a cikk bemutatja, hogyan állíthat be folyamatos exportálást Egy Log Analytics-munkaterületre vagy egy Azure-beli eseményközpontba.

Tipp.

Felhőhöz készült Defender egyszeri, manuális exportálást is lehetővé tesz egy vesszővel tagolt értékeket (CSV) használó fájlba. Megtudhatja, hogyan tölthet le CSV-fájlokat.

Előfeltételek

• Ehhez Microsoft Azure-előfizetésre van szükség. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes előfizetésre.

• Engedélyeznie kell Felhőhöz készült Microsoft Defender az Azure-előfizetésében.

Szükséges szerepkörök és engedélyek:

• Az erőforráscsoport biztonsági rendszergazdája vagy tulajdonosa
• Írási engedélyek a célerőforráshoz.
• Ha az Azure Policy DeployIfNotExist szabályzatokat használja, olyan engedélyekkel kell rendelkeznie, amelyek lehetővé teszik a szabályzatok hozzárendelését.
• Ha adatokat szeretne exportálni az Event Hubsba, írási engedélyekkel kell rendelkeznie az Event Hubs-házirendben.
• Log Analytics-munkaterületre való exportálás:

  • Ha rendelkezik a SecurityCenterFree megoldással, legalább olvasási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz: Microsoft.OperationsManagement/solutions/read.

  • Ha nem rendelkezik SecurityCenterFree-megoldásokkal, írási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz: Microsoft.OperationsManagement/solutions/action.

    További információ az Azure Monitor és a Log Analytics munkaterületi megoldásairól.

Folyamatos exportálás beállítása az Azure Portalon

A folyamatos exportálást az Azure Portal Felhőhöz készült Microsoft Defender lapjain állíthatja be a REST API használatával, vagy nagy léptékben a megadott Azure Policy-sablonok használatával.

Folyamatos exportálás beállítása a Log Analyticsbe vagy az Azure Event Hubsba az Azure Portal használatával:

1. Az Felhőhöz készült Defender erőforrás menüjében válassza a Környezeti beállítások lehetőséget.

2. Válassza ki azt az előfizetést, amelyhez konfigurálni szeretné az adatexportálást.

3. A Beállítások menüben válassza a Folyamatos exportálás lehetőséget.

   

   Megjelennek az exportálási beállítások. Minden elérhető exportálási célhoz tartozik egy lap, az eseményközponthoz vagy a Log Analytics-munkaterülethez.

4. Válassza ki az exportálni kívánt adattípust, és válasszon az egyes típusok szűrői közül (például csak nagy súlyosságú riasztások exportálása).

5. Válassza ki az exportálás gyakoriságát:

   • Streamelés. Az értékeléseket az erőforrás állapotának frissítésekor küldi el a rendszer (ha nem történik frissítés, nem küld adatokat).
   • Pillanatképek. Pillanatkép a kiválasztott adattípusok aktuális állapotáról, amelyeket előfizetésenként hetente egyszer küldenek el. A pillanatképadatok azonosításához keresse meg az IsSnapshot mezőt.

   Ha a kiválasztás a következő javaslatok egyikét tartalmazza, a biztonságirés-felmérés eredményeit is belefoglalhatja a következőkbe:

   • Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani
   • A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie
   • A tárolóregisztrációs adatbázis lemezképeinek sebezhetőségi megállapításait meg kell oldani (a Qualys működteti)
   • A gépeken meg kell oldani a biztonságirés-megállapításokat
   • A rendszerfrissítéseket telepíteni kell a gépekre

   Ha az eredményeket fel szeretné venni ezekbe a javaslatokba, állítsa a Biztonsági megállapítások belefoglalása igen értékre.

   

6. Az Exportálási cél területen adja meg, hogy hová szeretné menteni az adatokat. Az adatok menthetők egy másik előfizetés céljára (például egy központi Event Hubs-példányban vagy egy központi Log Analytics-munkaterületen).

   Az adatokat egy másik bérlő eseményközpontjába vagy Log Analytics-munkaterületére is elküldheti

7. Válassza a Mentés parancsot.

Feljegyzés

A Log Analytics csak a legfeljebb 32 KB méretű rekordokat támogatja. Az adatkorlát elérésekor egy riasztás azt jelzi, hogy az adatkorlát túllépte az adatkorlátot.

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan konfigurálhatja a javaslatok és riasztások folyamatos exportálását. Azt is megtanulta, hogyan töltheti le a riasztási adatokat CSV-fájlként.

Kapcsolódó tartalom megtekintése:

• További információ a munkafolyamat-automatizálási sablonokról.
• Tekintse meg az Azure Event Hubs dokumentációját.
• További információ a Microsoft Sentinelről.
• Tekintse át az Azure Monitor dokumentációját.
• Megtudhatja, hogyan exportálhat adattípus-sémákat.
• Tekintse meg a folyamatos exportálásra vonatkozó gyakori kérdéseket .