Bagikan melalui

Menggunakan koneksi data

Artikel ini membahas fitur koneksi data di Manajemen Permukaan Serangan Eksternal Microsoft Defender (Defender EASM).

Gambaran Umum

Defender EASM sekarang menawarkan koneksi data untuk membantu Anda mengintegrasikan data permukaan serangan Anda dengan lancar ke solusi Microsoft lainnya untuk melengkapi alur kerja yang ada dengan wawasan baru. Anda harus mendapatkan data dari Defender EASM ke alat keamanan lain yang Anda gunakan untuk tujuan remediasi untuk memanfaatkan data permukaan serangan Anda dengan sebaik-baiknya.

Konektor data mengirim data aset Defender EASM ke dua platform berbeda: Analitik Log dan Azure Data Explorer. Anda perlu mengekspor data Defender EASM ke salah satu alat. Koneksi data tunduk pada model harga untuk setiap platform masing-masing.

Log Analytics menyediakan informasi keamanan dan manajemen peristiwa dan kemampuan orkestrasi keamanan, otomatisasi, dan respons. Informasi aset atau wawasan Defender EASM dapat digunakan di Analitik Log untuk memperkaya alur kerja yang ada dengan data keamanan lainnya. Informasi ini dapat melengkapi firewall dan informasi konfigurasi, inteligensi ancaman, dan data kepatuhan untuk memberikan visibilitas ke infrastruktur eksternal Anda di internet terbuka.

Anda dapat:

  • Membuat atau memperkaya insiden keamanan.
  • Membangun playbook investigasi.
  • Melatih algoritma pembelajaran mesin.
  • Memicu tindakan remediasi.

Azure Data Explorer adalah platform analitik big data yang membantu Anda menganalisis data dalam volume tinggi dari berbagai sumber dengan kemampuan penyesuaian yang fleksibel. Data aset dan wawasan Defender EASM dapat diintegrasikan untuk menggunakan kemampuan visualisasi, kueri, penyerapan, dan manajemen dalam platform.

Baik Anda membuat laporan kustom dengan Power BI atau berburu aset yang cocok dengan kueri KQL yang tepat, mengekspor data Defender EASM ke Azure Data Explorer memungkinkan Anda menggunakan data permukaan serangan Anda dengan potensi penyesuaian tanpa akhir.

Opsi konten data

Koneksi data Defender EASM menawarkan Anda kemampuan untuk mengintegrasikan dua jenis data permukaan serangan yang berbeda ke dalam alat pilihan Anda. Anda dapat memilih untuk memigrasikan data aset, wawasan permukaan serangan, atau kedua jenis data. Data aset menyediakan detail terperinci tentang seluruh inventori Anda. Wawasan permukaan serangan memberikan wawasan yang segera dapat ditindakkan berdasarkan dasbor Defender EASM.

Untuk menyajikan infrastruktur yang paling penting bagi organisasi Anda secara akurat, kedua opsi konten hanya menyertakan aset dalam status inventarisasi yang disetujui .

Data aset: Opsi Data Aset mengirimkan data tentang semua aset inventori Anda ke alat pilihan Anda. Opsi ini paling baik untuk kasus penggunaan di mana metadata terperinci yang mendasar adalah kunci integrasi Defender EASM Anda. Contohnya termasuk Microsoft Azure Sentinel atau pelaporan yang dikustomisasi di Azure Data Explorer. Anda dapat mengekspor konteks tingkat tinggi pada setiap aset dalam inventarisasi dan detail terperinci khusus untuk jenis aset tertentu.

Opsi ini tidak memberikan wawasan yang telah ditentukan tentang aset. Sebaliknya, ia menawarkan sejumlah besar data sehingga Anda dapat menemukan wawasan yang disesuaikan yang paling Anda pedulikan.

Wawasan permukaan serangan: Wawasan permukaan serangan memberikan serangkaian hasil yang dapat ditindaklanjuti berdasarkan wawasan utama yang dikirimkan melalui dasbor di Defender EASM. Opsi ini menyediakan metadata yang kurang terperinci pada setiap aset. Ini mengategorikan aset berdasarkan wawasan yang sesuai dan memberikan konteks tingkat tinggi yang diperlukan untuk menyelidiki lebih lanjut. Opsi ini sangat ideal jika Anda ingin mengintegrasikan wawasan yang telah ditentukan ke dalam alur kerja pelaporan kustom dengan data dari alat lain.

Gambaran umum konfigurasi

Bagian ini menyajikan informasi umum tentang konfigurasi.

Mengakses koneksi data

Di panel paling kiri di panel sumber daya Defender EASM Anda, di bawah Kelola, pilih Koneksi Data. Halaman ini menampilkan konektor data untuk Log Analytics dan Azure Data Explorer. Ini mencantumkan koneksi saat ini dan menyediakan opsi untuk menambahkan, mengedit, atau menghapus koneksi.

Cuplikan layar yang memperlihatkan halaman Koneksi data.

Prasyarat koneksi

Agar berhasil membuat koneksi data, Anda harus terlebih dahulu memastikan bahwa Anda telah menyelesaikan langkah-langkah yang diperlukan untuk memberikan izin Defender EASM ke alat pilihan Anda. Proses ini memungkinkan aplikasi untuk menyerap data yang Anda ekspor. Ini juga menyediakan kredensial autentikasi yang diperlukan untuk mengonfigurasi koneksi.

Catatan

Koneksi data Defender EASM tidak mendukung tautan atau jaringan privat.

Mengonfigurasi izin Analitik Log

  1. Buka ruang kerja Analitik Log yang akan menyerap data Defender EASM Anda atau buat ruang kerja baru.

  2. Di panel paling kiri, di bawah Pengaturan, pilih Agen.

    Cuplikan layar yang memperlihatkan agen Analitik Log.

  3. Perluas bagian instruksi agen Analitik Log untuk melihat ID ruang kerja dan kunci utama Anda. Nilai-nilai ini digunakan untuk menyiapkan koneksi data Anda.

Catatan

HTTP Data Collector API, yang saat ini digunakan oleh Konektor Data Log Analytics Defender EASM, akan dihentikan pada 14 September 2026.

Semua Konektor Data Analitik Log baru akan menggunakan API Penyerapan Log, yang memerlukan konfigurasi izin tambahan seperti yang diuraikan di bawah ini.

Mengonfigurasi Penetapan Peran Grup Sumber Daya

  1. Di panel paling kiri, pilih Gambaran Umum dan navigasikan ke grup Sumber Daya di bawah Esensial di panel utama.
  2. Buka grup Sumber Daya yang berisi ruang kerja Analitik Log.
  3. Di panel paling kiri, pilih Kontrol akses (IAM).
  4. Cari dan pilih peran Pembaca .
  5. Cari dan pilih API EASM sebagai anggota untuk penetapan peran. Cuplikan layar yang menunjukkan Anggota yang ditugaskan peran, khususnya aplikasi API EASM.
  6. Pastikan jenis Penugasan Bersifat Permanen lalu klik Tinjau + tetapkan.
  7. Ulangi ini dan tambahkan Kontributor Pemantauan, Kontributor Analitik Log, dan peran Penerbit Metrik Pemantauan untuk aplikasi API EASM .

Catatan

Penetapan peran untuk API EASM mungkin memerlukan waktu beberapa menit untuk ditetapkan setelahnya. Setelah mengonfigurasi tugas, tunggu beberapa menit untuk membuat koneksi data baru.

Mengonfigurasi Penyedia Sumber Daya Langganan

  1. Buka Langganan yang berisi Grup Sumber Daya dan ruang kerja Analitik Log.
  2. Di panel paling kiri, di bawah Pengaturan pilih Penyedia Sumber Daya.
  3. Cari microsoft.insights dan daftarkan penyedia. Cuplikan layar yang memperlihatkan Penyedia sumber daya, khususnya microsoft.insights.

Catatan

Menggunakan API Analitik Log baru, sumber daya Defender EASM dan ruang kerja Analitik Log yang akan menyerap data Defender EASM Anda harus berada di penyewa yang sama.

Penggunaan koneksi data ini tunduk pada struktur harga Analitik Log. Untuk informasi selengkapnya, lihat Harga Azure Monitor.

Mengonfigurasi izin Azure Data Explorer

Pastikan bahwa perwakilan layanan Defender EASM API memiliki akses ke peran yang benar dalam database tempat Anda ingin mengekspor data permukaan serangan Anda. Pertama, pastikan bahwa sumber daya Defender EASM Anda dibuat di penyewa yang sesuai karena tindakan ini menyediakan prinsipal API EASM.

  1. Buka kluster Azure Data Explorer yang akan menyerap data Defender EASM Anda atau buat kluster baru.

  2. Di panel paling kiri, di bawah Data, pilih Database.

  3. Pilih Tambahkan Database untuk membuat database untuk menampung data Defender EASM Anda.

    Cuplikan layar yang memperlihatkan Tambahkan database Azure Data Explorer.

  4. Beri nama database Anda, konfigurasikan periode retensi dan cache, dan pilih Buat.

    Cuplikan layar yang memperlihatkan pembuatan database baru.

  5. Setelah database Defender EASM Anda dibuat, pilih nama database untuk membuka halaman detail. Di panel paling kiri, di bawah Gambaran Umum, pilih Izin. Agar berhasil mengekspor data Defender EASM ke Azure Data Explorer, Anda harus membuat dua izin baru untuk API EASM: pengguna dan ingestor.

    Cuplikan layar yang memperlihatkan izin Azure Data Explorer.

  6. Pilih Tambahkan dan buat pengguna. Cari EASM API, pilih nilai, dan pilih Pilih.

  7. Pilih Tambahkan untuk membuat ingestor. Ikuti langkah yang sama yang sebelumnya diuraikan untuk menambahkan API EASM sebagai ingestor.

  8. Database Anda sekarang siap untuk menyambungkan ke Defender EASM. Anda memerlukan nama kluster, nama database, dan wilayah saat mengonfigurasi koneksi data Anda.

Menambahkan koneksi data

Anda dapat menyambungkan data Defender EASM Anda ke Analitik Log atau Azure Data Explorer. Untuk melakukannya, pilih Tambahkan koneksi untuk alat yang sesuai dari halaman Koneksi Data.

Panel konfigurasi terbuka di sisi kanan halaman Koneksi Data. Bidang berikut diperlukan untuk setiap alat masing-masing.

Analitik Log

  • Nama: Masukkan nama untuk koneksi data ini.

  • ID Ruang Kerja: Masukkan ID ruang kerja untuk instans Log Analytics tempat Anda ingin mengekspor data Defender EASM.

  • Konten: Pilih untuk mengintegrasikan data aset, wawasan permukaan serangan, atau kedua himpunan data.

  • Frekuensi: Pilih frekuensi yang digunakan koneksi Defender EASM untuk mengirim data yang diperbarui ke alat pilihan Anda. Opsi yang tersedia adalah harian, mingguan, dan bulanan.

    Cuplikan layar yang memperlihatkan layar Tambahkan koneksi data untuk Analitik Log.

Catatan

Semua koneksi data baru akan menggunakan LOG Analytics API dan tidak akan menggunakan kunci API.

Azure Data Explorer

  • Nama: Masukkan nama untuk koneksi data ini.

  • Nama kluster: Masukkan nama kluster Azure Data Explorer tempat Anda ingin mengekspor data Defender EASM.

  • Wilayah: Masukkan wilayah kluster Azure Data Explorer.

  • Nama database: Masukkan nama database yang diinginkan.

  • Konten: Pilih untuk mengintegrasikan data aset, wawasan permukaan serangan, atau kedua himpunan data.

  • Frekuensi: Pilih frekuensi yang digunakan koneksi Defender EASM untuk mengirim data yang diperbarui ke alat pilihan Anda. Opsi yang tersedia adalah harian, mingguan, dan bulanan.

    Cuplikan layar yang memperlihatkan layar Tambahkan koneksi data untuk Azure Data Explorer.

    Setelah semua bidang dikonfigurasi, pilih Tambahkan untuk membuat koneksi data. Pada titik ini, halaman Koneksi Data menampilkan banner yang menunjukkan sumber daya berhasil dibuat. Dalam 30 menit, data mulai terisi. Setelah koneksi dibuat, koneksi tersebut tercantum di bawah alat yang berlaku di halaman Koneksi Data utama.

Mengedit atau menghapus koneksi data

Anda dapat mengedit atau menghapus koneksi data. Misalnya, Anda mungkin melihat bahwa koneksi tercantum sebagai Terputus. Dalam hal ini, Anda perlu memasukkan kembali detail konfigurasi untuk memperbaiki masalah.

Untuk mengedit atau menghapus koneksi data:

  1. Pilih koneksi yang sesuai dari daftar di halaman Koneksi Data utama.

    Cuplikan layar yang memperlihatkan koneksi data yang terputus.

  2. Halaman terbuka yang menyediakan lebih banyak data tentang koneksi. Ini menampilkan konfigurasi yang Anda pilih saat membuat koneksi dan pesan kesalahan apa pun. Anda juga melihat data berikut:

    • Berulang pada: Hari dalam seminggu atau bulan saat Defender EASM mengirim data yang diperbarui ke alat yang terhubung.

    • Dibuat: Tanggal dan waktu koneksi data dibuat.

    • Diperbarui: Tanggal dan waktu koneksi data terakhir diperbarui.

      Cuplikan layar yang memperlihatkan koneksi pengujian.

  3. Dari halaman ini, Anda dapat menyambungkan kembali, mengedit, atau menghapus koneksi data Anda.

    • Sambungkan kembali: Mencoba memvalidasi koneksi data tanpa perubahan apa pun pada konfigurasi. Opsi ini paling baik jika Anda memvalidasi kredensial autentikasi yang digunakan untuk koneksi data.
    • Edit: Memungkinkan Anda mengubah konfigurasi untuk koneksi data.
    • Hapus: Menghapus koneksi data.
  • Last updated on