Terus mengekspor data Microsoft Defender for Cloud

Microsoft Defender for Cloud menghasilkan pemberitahuan dan rekomendasi keamanan mendetail. Untuk menganalisis informasi dalam pemberitahuan dan rekomendasi ini, Anda dapat mengekspornya ke Analitik Log Azure, Event Hubs, atau ke solusi SIEM, SOAR, atau MANAJEMEN Layanan IT lainnya. Anda dapat mengalirkan pemberitahuan dan rekomendasi saat dibuat atau menentukan jadwal untuk mengirim rekam jepret berkala dari semua data yang baru.

Dengan ekspor berkelanjutan Anda menyesuaikan sepenuhnya apa yang akan diekspor dan ke mana arahnya. Misalnya, Anda dapat mengonfigurasikannya sehingga:

  • Semua pemberitahuan tingkat keparahan tinggi dikirim ke Azure Event Hub
  • Semua temuan tingkat keparahan menengah atau lebih tinggi dari pemindaian penilaian kerentanan server SQL Anda dikirim ke ruang kerja Log Analytics tertentu
  • Rekomendasi khusus dikirimkan ke ruang kerja event hub atau ruang kerja Analitik Log setiap kali dibuat
  • Skor aman untuk langganan dikirim ke ruang kerja Log Analytics setiap kali skor untuk kontrol berubah sebesar 0,01 atau lebih

Artikel ini menjelaskan cara mengonfigurasikan ekspor berkelanjutan ke ruang kerja Analitik Log atau Azure event hub.

Tip

Defender for Cloud juga menawarkan opsi untuk melakukan ekspor manual satu kali ke CSV. Pelajari selengkapnya di Manual ekspor satu kali pemberitahuan dan rekomendasi.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Gratis
Peran dan izin akses yang diperlukan:
  • Peran admin keamanan atau Pemilik pada grup sumber daya
  • Tulis izin untuk sumberdaya target.
  • Jika Anda menggunakan kebijakan 'DeployIfNotExist' Azure Policy yang dijelaskan di bawah ini, Anda juga akan memerlukan izin untuk menetapkan kebijakan
  • Untuk mengekspor data ke Azure Event Hubs, Anda akan memerlukan izin Tulis pada Event Hubs Azure Policy.
  • Untuk mengekspor ke ruang kerja Log Analytics:
    • jika memiliki solusi SecurityCenterFree, Anda akan memerlukan minimal izin baca untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/read
    • jika tidak memiliki solusi SecurityCenterFree, Anda akan memerlukan izin tulis untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/action
    • Pelajari selengkapnya tentang solusi ruang kerja Azure Monitor dan Log Analytics
Cloud: Cloud komersial
National (Azure Government, Azure Tiongkok)

Jenis data apa yang dapat diekspor?

Ekspor berkelanjutan dapat mengekspor jenis data berikut setiap kali berubah:

Menyiapkan ekspor berkelanjutan

Anda dapat mengonfigurasi ekspor berkelanjutan dari halaman Microsoft Defender for Cloud di portal Microsoft Azure, melalui REST API, atau dalam skala besar menggunakan templat Azure Policy yang disediakan. Pilih tab yang sesuai di bawah ini untuk detail masing-masing.

Konfigurasikan ekspor berkelanjutan dari halaman Defender for Cloud di portal Microsoft Azure

Langkah-langkah di bawah ini diperlukan baik saat Anda menyiapkan ekspor berkelanjutan ke ruang kerja Analitik Log atau Azure Event Hubs.

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih langganan tertentu yang ingin Anda konfigurasikan ekspor datanya.

  3. Dari bar samping halaman pengaturan untuk langganan tersebut, pilih Ekspor berkelanjutan.

    Opsi ekspor di Microsoft Defender for Cloud.

    Di sini Anda melihat opsi ekspor. Ada tab untuk setiap target ekspor yang tersedia, baik hub Peristiwa atau ruang kerja Analitik Log.

  4. Pilih jenis data yang ingin Anda ekspor dan pilih dari filter pada setiap jenis (misalnya, ekspor hanya pemberitahuan tingkat keparahan tinggi).

  5. Pilih frekuensi ekspor:

    • Streaming – penilaian akan dikirim ketika status kesehatan sumber daya diperbarui (jika tidak ada pembaruan, tidak ada data yang akan dikirim).
    • Salinan bayangan – salinan bayangan status terkini dari jenis data yang dipilih akan dikirim seminggu sekali per langganan. Untuk mengidentifikasi data rekam jepret, cari IsSnapshot bidang.

    Jika pilihan Anda menyertakan salah satu rekomendasi ini, Anda dapat menyertakan temuan penilaian kerentanan bersama-sama dengan mereka:

    Untuk menyertakan temuan dengan rekomendasi ini, aktifkan opsi sertakan temuan keamanan.

    Menyertakan temuan keamanan yang beralih dalam konfigurasi ekspor berkelanjutan.

  6. Dari area "Ekspor target", pilih tempat yang Anda inginkan untuk menyimpan data. Data dapat disimpan dalam target pada langganan yang berbeda (misalnya pada instans Central Event Hub atau ruang kerja Log Analytics pusat).

    Anda juga dapat mengirim data ke Event hub atau ruang kerja Analitik Log di penyewa yang berbeda.

  7. Pilih Simpan.

Catatan

Analitik log mendukung rekaman berukuran hingga 32KB. Saat batas data tercapai, Anda akan melihat peringatan yang memberitahukan bahwa Data limit has been exceeded.

Mengekspor ke ruang kerja Analitik Log

Jika Anda ingin menganalisis data Microsoft Defender for Cloud di dalam ruang kerja Log Analytics atau menggunakan pemberitahuan Azure bersama dengan pemberitahuan Defender for Cloud, siapkan ekspor berkelanjutan ke ruang kerja Log Analytics Anda.

Tabel dan skema Log Analytics

Pemberitahuan dan rekomendasi keamanan disimpan dalam tabel SecurityAlert dan SecurityRecommendation masing-masing.

Nama solusi Analitik Log yang berisi tabel ini bergantung pada apakah Anda telah mengaktifkan fitur keamanan yang ditingkatkan: Keamanan ('Keamanan dan Audit') atau SecurityCenterFree atau belum.

Tip

Untuk melihat data di ruang kerja tujuan, Anda harus mengaktifkan salah satu solusi ini Keamanan dan Audit atau SecurityCenterFree.

Tabel SecurityAlert di Analitik Log.

Untuk melihat skema kejadian dari jenis data yang diekspor, kunjungi skema tabel Log Analytics.

Ekspor data ke Azure Event Hub atau ruang kerja Analitik Log di penyewa lain

Anda dapat mengekspor data ke Azure Event Hub atau ruang kerja Analitik Log di penyewa yang berbeda, yang dapat membantu Anda mengumpulkan data untuk analisis pusat.

Mengekspor data ke Azure Event Hub atau ruang kerja Analitik Log di penyewa lain:

  1. Di penyewa yang memiliki Azure Event hub atau ruang kerja Analitik Log, undang pengguna dari penyewa yang menghosting konfigurasi ekspor berkelanjutan.
  2. Untuk ruang kerja Analitik Log: Setelah pengguna menerima undangan untuk bergabung dengan penyewa, tetapkan pengguna di penyewa ruang kerja salah satu peran berikut: Pemilik, Kontributor, Kontributor Analitik Log, Kontributor Sentinel, Kontributor Pemantauan
  3. Konfigurasikan konfigurasi ekspor berkelanjutan dan pilih Event hub atau ruang kerja Analitik untuk mengirim data.

Menampilkan pemberitahuan dan rekomendasi yang diekspor di Azure Monitor

Anda mungkin juga memilih untuk melihat Pemberitahuan Keamanan dan/atau rekomendasi yang diekspor di Azure Monitor.

Azure Monitor menyediakan pengalaman pemberitahuan terpadu untuk berbagai pemberitahuan Azure termasuk Log Diagnostik, Pemberitahuan metrik, serta pemberitahuan kustom berdasarkan kueri ruang kerja Analitik Log.

Untuk melihat pemberitahuan dan rekomendasi dari Defender for Cloud di Azure Monitor, konfigurasikan aturan Pemberitahuan berdasarkan kueri Log Analytics (Pemberitahuan Log):

  1. Dari halaman Azure Monitor Pemberitahuan, pilih Aturan pemberitahuan baru.

    Halaman pemberitahuan Azure Monitor.

  2. Di halaman buat aturan, konfigurasikan aturan baru Anda (dengan cara yang sama Anda mengonfigurasikan aturan pemberitahuan log di Azure Monitor):

    • Untuk Sumber Daya, pilih ruang kerja Log Analytics tempat Anda mengekspor pemberitahuan dan rekomendasi keamanan.

    • Untuk Kondisi, pilih Pencarian log kustom. Di halaman yang muncul, konfigurasikan kueri, periode pencarian, dan periode frekuensi. Dalam kueri pencarian, Anda dapat mengetik SecurityAlert atau SecurityRecommendation untuk meminta jenis data yang terus-menerus diekspor Defender for Cloud saat Anda mengaktifkan fitur Ekspor berkelanjutan ke Log Analytics.

    • Secara opsional, konfigurasikan Grup Tindakan yang ingin Anda picu. Grup tindakan dapat memicu pengiriman email, tiket ITSM, WebHooks, dan banyak lagi. Aturan pemberitahuan Azure Monitor.

Sekarang Anda akan melihat pemberitahuan atau rekomendasi Microsoft Defender for Cloud baru (bergantung pada aturan ekspor berkelanjutan yang dikonfigurasi dan kondisi yang Anda tetapkan di aturan pemberitahuan Azure Monitor) di pemberitahuan Azure Monitor, dengan pemicu otomatis grup tindakan (jika disediakan).

Pelajari selengkapnya di pemberitahuan dan rekomendasi

Untuk mengunduh laporan CSV untuk pemberitahuan atau rekomendasi, buka halaman Pemberitahuan keamanan atau Rekomendasi dan pilih tombol Unduh laporan CSV.

Tip

Karena keterbatasan Azure Resource Graph, laporan terbatas pada ukuran file 13 ribu baris. Jika Anda melihat kesalahan yang terkait dengan terlalu banyak data yang diekspor, coba batasi output dengan memilih serangkaian langganan yang lebih kecil untuk diekspor.

Mengunduh data pemberitahuan sebagai file CSV.

Catatan

Laporan ini berisi pemberitahuan dan rekomendasi untuk sumber daya dari langganan yang saat ini dipilih.

Tanya Jawab Umum - Ekspor berkelanjutan

Berapa biaya yang terlibat dalam mengekspor data?

Tidak ada biaya untuk mengaktifkan ekspor berkelanjutan. Biaya mungkin timbul dari penyerapan dan retensi data di ruang kerja Log Analytics, bergantung pada konfigurasi Anda di sana.

Banyak pemberitahuan hanya disediakan saat Anda sudah mengaktifkan paket Defender untuk sumber daya Anda. Cara yang baik untuk melihat pratinjau pemberitahuan yang akan Anda dapatkan dalam data yang diekspor adalah dengan melihat pemberitahuan yang ditampilkan di halaman Defender for Cloud di portal Microsoft Azure.

Pelajari selengkapnya tentang harga ruang kerja Log Analytics.

Pelajari selengkapnya mengenai harga Azure Event Hubs.

Apakah ekspor menyertakan data tentang status semua sumber daya saat ini?

Nomor. Ekspor berkelanjutan dibangun untuk streaming peristiwa:

  • Pemberitahuan yang diterima sebelum Anda mengaktifkan ekspor tidak akan diekspor.
  • Rekomendasi dikirim setiap kali status kepatuhan sumber daya berubah. Misalnya, ketika sumber daya berubah dari sehat menjadi tidak sehat. Oleh karena itu, seperti halnya peringatan, rekomendasi untuk sumber daya yang belum berubah status sejak Anda mengaktifkan ekspor tidak akan diekspor.
  • Skor aman per kontrol keamanan atau langganan dikirim saat skor kontrol keamanan berubah sebesar 0,01 atau lebih.
  • Status kepatuhan terhadap peraturan dikirim ketika status kepatuhan sumber daya berubah.

Mengapa rekomendasi dikirim pada interval yang berbeda?

Rekomendasi yang berbeda memiliki interval evaluasi kepatuhan yang berbeda, yang dapat bervariasi dari setiap beberapa menit hingga setiap beberapa hari. Jadi, jumlah waktu yang diperlukan agar rekomendasi muncul dalam ekspor Anda bervariasi.

Apakah automasi alur kerja mendukung skenario kelangsungan bisnis atau pemulihan bencana (BCDR)?

Ekspor berkelanjutan dapat membantu dalam mempersiapkan skenario BCDR di mana sumber daya target mengalami pemadaman atau bencana lainnya. Namun, organisasi bertanggung jawab untuk mencegah kehilangan data dengan membuat cadangan sesuai dengan panduan dari Azure Event Hubs, ruang kerja Analitik Log, serta Aplikasi Logika.

Pelajari lebih lanjut di Azure Event Hubs - Pemulihan geo-bencana.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara mengonfigurasikan ekspor berkelanjutan dari rekomendasi dan peringatan Anda. Anda juga mempelajari cara mengunduh data pemberitahuan sebagai file CSV.

Untuk materi terkait, lihat dokumentasi berikut ini: