Esportazione di avvisi e raccomandazioni con esportazione continua

Microsoft Defender per il cloud fornisce l'esportazione continua dei dati di sicurezza. Questa funzionalità consente di trasmettere i dati di sicurezza a Log Analytics in Monitoraggio di Azure, a Hub eventi di Azure o a un'altra soluzione siem (Security Information and Event Management), Security Orchestration Automated Response (SOAR) o modello di distribuzione classica IT. È possibile analizzare e visualizzare i dati usando i log di Monitoraggio di Azure e altre funzionalità di Monitoraggio di Azure.

Quando si configura l'esportazione continua, è possibile personalizzare completamente le informazioni da esportare e dove vanno le informazioni. Ad esempio, è possibile configurarlo in modo che:

• Tutti gli avvisi con gravità elevata vengono inviati a un hub eventi di Azure.
• Tutti i risultati di gravità media o superiore delle analisi di valutazione delle vulnerabilità dei computer che eseguono SQL Server vengono inviati a un'area di lavoro Log Analytics specifica.
• Le raccomandazioni specifiche vengono recapitate a un hub eventi o a un'area di lavoro Log Analytics ogni volta che vengono generati.
• Il punteggio di sicurezza per una sottoscrizione viene inviato a un'area di lavoro Log Analytics ogni volta che il punteggio di un controllo cambia di 0,01 o più.

Quali tipi di dati possono essere esportati?

È possibile usare l'esportazione continua per esportare i tipi di dati seguenti ogni volta che cambiano:

• Raccomandazioni di sicurezza.
  • Gravità della raccomandazione.
  • Risultati della sicurezza.
• Punteggio di sicurezza.
  • Controlli.
• Avvisi di sicurezza.
• Conformità alle normative.
• Percorsi di attacco

La gravità della raccomandazione, i risultati e i controlli di sicurezza sono sottocategorie che appartengono a una categoria padre . Ad esempio:

• Gli aggiornamenti di sistema consigliati devono essere installati nei computer (con tecnologia Update Center) e gli aggiornamenti di sistema devono essere installati nei computer in uso, ognuno ha una raccomandazione secondaria per ogni aggiornamento di sistema in sospeso.
• I computer di raccomandazione devono avere i risultati della vulnerabilità risolti hanno una raccomandazione secondaria per ogni vulnerabilità identificata dallo scanner di vulnerabilità.

Nota

Se si configura l'esportazione continua usando l'API REST, includere sempre l'elemento padre con i risultati.

Esportare i dati in un hub eventi o in un'area di lavoro Log Analytics in un altro tenant

Non è possibile configurare i dati da esportare in un'area di lavoro Log Analytics in un altro tenant se si usa Criteri di Azure per assegnare la configurazione. Questo processo funziona solo quando si usa l'API REST per assegnare la configurazione e la configurazione non è supportata nella portale di Azure (perché richiede un contesto multi-tenant). Azure Lighthouse non risolve questo problema con Criteri di Azure, anche se è possibile usare Azure Lighthouse come metodo di autenticazione.

Quando si raccolgono dati in un tenant, è possibile analizzare i dati da una posizione centrale.

Per esportare i dati in un hub eventi o in un'area di lavoro Log Analytics in un tenant diverso:

• Nel tenant con l'hub eventi o l'area di lavoro Log Analytics invitare un utente dal tenant che ospita la configurazione di esportazione continua oppure è possibile configurare Azure Lighthouse per il tenant di origine e di destinazione.

• Se si usa l'accesso utente guest business-to-business (B2B) in Microsoft Entra ID, assicurarsi che l'utente accetti l'invito ad accedere al tenant come guest.

• Se si usa un'area di lavoro Log Analytics, assegnare all'utente nel tenant dell'area di lavoro uno dei ruoli seguenti: Proprietario, Collaboratore, Collaboratore Log Analytics, Collaboratore Sentinel o Collaboratore monitoraggio.

• Creare e inviare la richiesta all'API REST di Azure per configurare le risorse necessarie. È necessario gestire i token di connessione sia nel contesto del tenant locale (area di lavoro) che nel tenant remoto (esportazione continua).

Esportare in un'area di lavoro Log Analytics

Per analizzare Microsoft Defender per il cloud dati all'interno di un'area di lavoro Log Analytics o usare gli avvisi di Azure insieme agli avvisi Defender per il cloud, configurare l'esportazione continua nell'area di lavoro Log Analytics.

Tabelle e schemi di Log Analytics

Gli avvisi di sicurezza e le raccomandazioni vengono archiviati rispettivamente nelle tabelle SecurityAlert e SecurityRecommendation .

Il nome della soluzione Log Analytics che contiene queste tabelle dipende dal fatto che siano state abilitate le funzionalità di sicurezza avanzate: Sicurezza (soluzione Sicurezza e controllo) o SecurityCenterFree.

Suggerimento

Per visualizzare i dati nell'area di lavoro di destinazione, è necessario abilitare una di queste soluzioni: Sicurezza e controllo o SecurityCenterFree.

Per visualizzare gli schemi di eventi dei tipi di dati esportati, vedere Schemi di tabella di Log Analytics.

Contenuto correlato

• Configurare l'esportazione continua nel portale di Azure
• Configurare l'esportazione continua con l'API REST
• Configurare l'esportazione continua con Criteri di Azure