Mengekspor pemberitahuan dan rekomendasi dengan ekspor berkelanjutan
Microsoft Defender untuk Cloud menyediakan ekspor data keamanan berkelanjutan. Fitur ini memungkinkan Anda mengalirkan data keamanan ke Analitik Log di Azure Monitor, ke Azure Event Hubs, atau ke Solusi Model Penyebaran Keamanan dan Manajemen Peristiwa (SIEM) lainnya, Respons Otomatis Orkestrasi Keamanan (SOAR), atau solusi model penyebaran klasik IT. Anda dapat menganalisis dan memvisualisasikan data menggunakan log Azure Monitor dan fitur Azure Monitor lainnya.
Saat menyiapkan ekspor berkelanjutan, Anda dapat sepenuhnya menyesuaikan informasi apa yang akan diekspor dan ke mana informasi tersebut pergi. Misalnya, Anda dapat mengonfigurasikannya sehingga:
- Semua pemberitahuan tingkat keparahan tinggi dikirim ke hub peristiwa Azure.
- Semua temuan tingkat keparahan sedang atau lebih tinggi dari pemindaian penilaian kerentanan komputer Anda yang menjalankan SQL Server dikirim ke ruang kerja Analitik Log tertentu.
- Rekomendasi khusus dikirimkan ke pusat aktivitas atau ruang kerja Analitik Log setiap kali dibuat.
- Skor aman untuk langganan dikirim ke ruang kerja Analitik Log setiap kali skor untuk kontrol berubah sebesar 0,01 atau lebih.
Jenis data apa yang dapat diekspor?
Anda dapat menggunakan ekspor berkelanjutan untuk mengekspor jenis data berikut setiap kali berubah:
- Rekomendasi keamanan.
- Tingkat keparahan rekomendasi.
- Temuan keamanan.
- Skor aman.
- Kontrol.
- Pemberitahuan keamanan.
- Kepatuhan terhadap peraturan.
- Jalur serangan
Tingkat keparahan rekomendasi, temuan dan kontrol keamanan adalah sub kategori yang termasuk dalam kategori induk. Contohnya:
- Rekomendasi Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan) dan Pembaruan sistem harus diinstal pada komputer Anda masing-masing memiliki satu sub rekomendasi per pembaruan sistem yang luar biasa.
- Mesin rekomendasi harus memiliki temuan kerentanan yang diselesaikan memiliki sub rekomendasi untuk setiap kerentanan yang diidentifikasi pemindai kerentanan.
Catatan
Jika Anda mengonfigurasi ekspor berkelanjutan dengan menggunakan REST API, selalu sertakan induk dengan temuan.
Mengekspor data ke pusat aktivitas atau ruang kerja Analitik Log di penyewa lain
Anda tidak dapat mengonfigurasi data untuk diekspor ke ruang kerja Analitik Log di penyewa lain jika Anda menggunakan Azure Policy untuk menetapkan konfigurasi. Proses ini hanya berfungsi ketika Anda menggunakan REST API untuk menetapkan konfigurasi, dan konfigurasi tidak didukung dalam portal Azure (karena memerlukan konteks multipenyewa). Azure Lighthouse tidak mengatasi masalah ini dengan Azure Policy, meskipun Anda dapat menggunakan Azure Lighthouse sebagai metode autentikasi.
Saat mengumpulkan data dalam penyewa, Anda dapat menganalisis data dari satu lokasi pusat.
Untuk mengekspor data ke pusat aktivitas atau ruang kerja Analitik Log di penyewa yang berbeda:
Di penyewa yang memiliki hub peristiwa atau ruang kerja Analitik Log, undang pengguna dari penyewa yang menghosting konfigurasi ekspor berkelanjutan, atau Anda dapat mengonfigurasi Azure Lighthouse untuk penyewa sumber dan tujuan.
Jika Anda menggunakan akses pengguna tamu business-to-business (B2B) di ID Microsoft Entra, pastikan bahwa pengguna menerima undangan untuk mengakses penyewa sebagai tamu.
Jika Anda menggunakan ruang kerja Analitik Log, tetapkan pengguna di penyewa ruang kerja salah satu peran ini: Pemilik, Kontributor, Kontributor Analitik Log, Kontributor Sentinel, atau Kontributor Pemantauan.
Buat dan kirimkan permintaan ke Azure REST API untuk mengonfigurasi sumber daya yang diperlukan. Anda harus mengelola token pembawa dalam konteks penyewa lokal (ruang kerja) dan penyewa jarak jauh (ekspor berkelanjutan).
Mengekspor ke ruang kerja Analitik Log
Jika Anda ingin menganalisis data Microsoft Defender for Cloud di dalam ruang kerja Log Analytics atau menggunakan pemberitahuan Azure bersama dengan pemberitahuan Defender for Cloud, siapkan ekspor berkelanjutan ke ruang kerja Log Analytics Anda.
Tabel dan skema Log Analytics
Pemberitahuan dan rekomendasi keamanan disimpan dalam tabel SecurityAlert dan SecurityRecommendation masing-masing.
Nama solusi Analitik Log yang berisi tabel ini bergantung pada apakah Anda mengaktifkan fitur keamanan yang ditingkatkan: Keamanan (solusi Keamanan dan Audit) atau SecurityCenterFree.
Tip
Untuk melihat data di ruang kerja tujuan, Anda harus mengaktifkan salah satu solusi ini: Keamanan dan Audit atau SecurityCenterFree.
Untuk melihat skema peristiwa jenis data yang diekspor, lihat skema tabel Analitik Log.