Configurare l'esportazione continua nel portale di Azure

Microsoft Defender per il cloud genera avvisi di sicurezza dettagliati e raccomandazioni. Per analizzare le informazioni contenute in questi avvisi e raccomandazioni, è possibile esportarle in Log Analytics in Monitoraggio di Azure, in Hub eventi di Azure o in un'altra soluzione SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) o modello di distribuzione CLASSICA IT. È possibile trasmettere gli avvisi e le raccomandazioni durante la generazione o definire una pianificazione per inviare snapshot periodici di tutti i nuovi dati.

Questo articolo descrive come configurare l'esportazione continua in un'area di lavoro Log Analytics o in un hub eventi in Azure.

Suggerimento

Defender per il cloud offre anche la possibilità di eseguire un'esportazione manuale una volta in un file con valori delimitati da virgole (CSV). Informazioni su come scaricare un file CSV.

Prerequisiti

• È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.

• È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.

Autorizzazioni e ruoli obbligatori:

• Amministrazione di sicurezza o proprietario per il gruppo di risorse
• Autorizzazioni di scrittura per la risorsa di destinazione.
• Se si usano i criteri di Criteri di Azure DeployIfNotExist, è necessario disporre delle autorizzazioni che consentono di assegnare i criteri.
• Per esportare i dati in Hub eventi, è necessario disporre delle autorizzazioni di scrittura per i criteri di Hub eventi.
• Per esportare in un'area di lavoro Log Analytics:

  • Se ha la soluzione SecurityCenterFree, è necessario avere almeno le autorizzazioni di lettura per la soluzione dell'area di lavoro: Microsoft.OperationsManagement/solutions/read.

  • Se non ha la soluzione SecurityCenterFree, è necessario disporre delle autorizzazioni di scrittura per la soluzione dell'area di lavoro: Microsoft.OperationsManagement/solutions/action.

    Altre informazioni sulle soluzioni di Monitoraggio di Azure e dell'area di lavoro Log Analytics.

Configurare l'esportazione continua nel portale di Azure

È possibile configurare l'esportazione continua nelle pagine di Microsoft Defender per il cloud nella portale di Azure, usando l'API REST o su larga scala usando i modelli di Criteri di Azure forniti.

Per configurare un'esportazione continua in Log Analytics o Hub eventi di Azure usando il portale di Azure:

1. Nel menu Defender per il cloud risorsa selezionare Impostazioni ambiente.

2. Selezionare la sottoscrizione per cui si vuole configurare l'esportazione dei dati.

3. Nel menu delle risorse in Impostazioni selezionare Esportazione continua.

   

   Vengono visualizzate le opzioni di esportazione. È disponibile una scheda per ogni destinazione di esportazione disponibile, hub eventi o area di lavoro Log Analytics.

4. Selezionare il tipo di dati da esportare e scegliere tra i filtri per ogni tipo( ad esempio, esportare solo avvisi con gravità elevata).

5. Selezionare la frequenza di esportazione:

   • Streaming. Le valutazioni vengono inviate quando lo stato di integrità di una risorsa viene aggiornato (se non si verificano aggiornamenti, non vengono inviati dati).
   • Snapshot. Snapshot dello stato corrente dei tipi di dati selezionati inviati una volta alla settimana per sottoscrizione. Per identificare i dati dello snapshot, cercare il campo IsSnapshot.

   Se la selezione include una di queste raccomandazioni, è possibile includere i risultati della valutazione della vulnerabilità con questi elementi:

   • I risultati delle vulnerabilità devono essere risolti nei database SQL
   • I risultati della vulnerabilità nei server SQL nei computer devono essere risolti
   • Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Qualys)
   • I computer devono avere i risultati della vulnerabilità risolti
   • Gli aggiornamenti di sistema devono essere installati nelle macchine

   Per includere i risultati con queste raccomandazioni, impostare Includi risultati di sicurezza su Sì.

   

6. In Destinazione di esportazione scegliere dove salvare i dati. I dati possono essere salvati in una destinazione di una sottoscrizione diversa, ad esempio in un'istanza centrale di Hub eventi o in un'area di lavoro Log Analytics centrale.

   È anche possibile inviare i dati a un hub eventi o a un'area di lavoro Log Analytics in un tenant diverso

7. Seleziona Salva.

Nota

Log Analytics supporta solo record di dimensioni fino a 32 KB. Quando viene raggiunto il limite di dati, viene visualizzato un avviso che visualizza il messaggio Limite dati superato.

Contenuto correlato

In questo articolo si è appreso come configurare le esportazioni continue dei consigli e degli avvisi. Si è anche appreso come scaricare i dati degli avvisi come file CSV.

Per visualizzare il contenuto correlato:

• Altre informazioni sui modelli di automazione del flusso di lavoro.
• Vedere la documentazione Hub eventi di Azure.
• Altre informazioni su Microsoft Sentinel.
• Esaminare la documentazione di Monitoraggio di Azure.
• Informazioni su come esportare gli schemi dei tipi di dati.
• Vedere domande comuni sull'esportazione continua.