Menyiapkan ekspor berkelanjutan di portal Azure

Microsoft Defender for Cloud menghasilkan pemberitahuan dan rekomendasi keamanan mendetail. Untuk menganalisis informasi yang ada dalam pemberitahuan dan rekomendasi ini, Anda dapat mengekspornya ke Analitik Log di Azure Monitor, ke Azure Event Hubs, atau ke Solusi Model Penyebaran Otomatis Security Information and Event Management (SIEM), Security Orchestration Automated Response (SOAR), atau IT classic. Anda dapat melakukan streaming pemberitahuan dan rekomendasi saat dibuat atau menentukan jadwal untuk mengirim rekam jepret berkala dari semua data baru.

Artikel ini menjelaskan cara menyiapkan ekspor berkelanjutan ke ruang kerja Log Analytics atau ke pusat aktivitas di Azure.

Tip

Defender untuk Cloud juga menawarkan opsi untuk melakukan ekspor manual satu kali ke file nilai yang dipisahkan koma (CSV). Pelajari cara mengunduh file CSV.

Prasyarat

• Anda memerlukan langganan Microsoft Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat mendaftar untuk langganan gratis.

• Anda harus mengaktifkan Microsoft Defender untuk Cloud pada langganan Azure Anda.

Peran dan izin akses yang diperlukan:

• Admin keamanan atau Pemilik untuk grup sumber daya
• Tulis izin untuk sumberdaya target.
• Jika Anda menggunakan kebijakan DeployIfNotExist Azure Policy, Anda harus memiliki izin yang memungkinkan Anda menetapkan kebijakan.
• Untuk mengekspor data ke Azure Event Hubs, Anda harus memiliki izin Tulis pada kebijakan Azure Event Hubs.
• Untuk mengekspor ke ruang kerja Analitik Log:

  • Jika memiliki solusi SecurityCenterFree, Anda harus memiliki minimal izin Baca untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/read.

  • Jika tidak memiliki solusi SecurityCenterFree, Anda harus memiliki izin tulis untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/action.

    Pelajari selengkapnya tentang solusi ruang kerja Azure Monitor dan Analitik Log.

Menyiapkan ekspor berkelanjutan di portal Azure

Anda dapat menyiapkan ekspor berkelanjutan pada halaman Microsoft Defender untuk Cloud di portal Azure, dengan menggunakan REST API, atau dalam skala besar dengan menggunakan templat Azure Policy yang disediakan.

Untuk menyiapkan ekspor berkelanjutan ke Analitik Log atau Azure Event Hubs dengan menggunakan portal Azure:

1. Pada menu sumber daya Defender untuk Cloud, pilih Pengaturan lingkungan.

2. Pilih langganan yang ingin Anda konfigurasi ekspor datanya.

3. Di menu sumber daya di bawah Pengaturan, pilih Ekspor berkelanjutan.

   

   Opsi ekspor muncul. Ada tab untuk setiap target ekspor yang tersedia, baik hub peristiwa atau ruang kerja Analitik Log.

4. Pilih jenis data yang ingin Anda ekspor, dan pilih dari filter pada setiap jenis (misalnya, hanya mengekspor pemberitahuan tingkat keparahan tinggi).

5. Pilih frekuensi ekspor:

   • Streaming. Penilaian dikirim ketika status kesehatan sumber daya diperbarui (jika tidak ada pembaruan yang terjadi, tidak ada data yang dikirim).
   • Rekam jepret. Rekam jepret dari status jenis data yang dipilih saat ini yang dikirim seminggu sekali per langganan. Untuk mengidentifikasi data rekam jepret, cari bidang IsSnapshot.

   Jika pilihan Anda menyertakan salah satu rekomendasi ini, Anda dapat menyertakan temuan penilaian kerentanan dengan mereka:

   • Database SQL harus memiliki temuan kerentanan yang diselesaikan
   • SQL Server pada komputer harus mengatasi temuan kerentanan
   • Gambar registri kontainer harus menyelesaikan temuan kerentanan (didukung oleh Qualys)
   • Mesin harus menyelesaikan temuan kerentanan
   • Pembaruan sistem harus dipasang di komputer Anda

   Untuk menyertakan temuan dengan rekomendasi ini, atur Sertakan temuan keamanan ke Ya.

   

6. Di bawah Ekspor target, pilih di mana Anda ingin menyimpan data. Data dapat disimpan dalam target langganan yang berbeda (misalnya, di instans Azure Event Hubs pusat atau di ruang kerja Analitik Log pusat).

   Anda juga dapat mengirim data ke pusat aktivitas atau ruang kerja Analitik Log di penyewa yang berbeda

7. Pilih Simpan.

Catatan

Log Analytics hanya mendukung rekaman yang berukuran hingga 32 KB. Ketika batas data tercapai, pemberitahuan menampilkan pesan Batas data telah terlampaui.

Konten terkait

Dalam artikel ini, Anda mempelajari cara mengonfigurasikan ekspor berkelanjutan dari rekomendasi dan peringatan Anda. Anda juga mempelajari cara mengunduh data pemberitahuan sebagai file CSV.

Untuk melihat konten terkait:

• Pelajari selengkapnya tentang templat otomatisasi alur kerja.
• Lihat dokumentasi Azure Event Hubs.
• Pelajari selengkapnya tentang Microsoft Sentinel.
• Tinjau dokumentasi Azure Monitor.
• Pelajari cara mengekspor skema jenis data.
• Lihat pertanyaan umum tentang ekspor berkelanjutan.