Configurare l'esportazione continua con Criteri di Azure
L'esportazione continua di Microsoft Defender per il cloud avvisi di sicurezza e raccomandazioni consente di analizzare i dati in Log Analytics o Hub eventi di Azure. È possibile configurare l'esportazione continua in Defender per il cloud su larga scala usando i modelli di Criteri di Azure forniti.
Suggerimento
Defender per il cloud offre anche la possibilità di eseguire un'esportazione manuale una volta in un file con valori delimitati da virgole (CSV). Informazioni su come scaricare un file CSV.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Autorizzazioni e ruoli obbligatori:
Amministrazione di sicurezza o proprietario per il gruppo di risorse
Autorizzazioni di scrittura per la risorsa di destinazione.
Se si usano i criteri di Criteri di Azure DeployIfNotExist, è necessario disporre delle autorizzazioni che consentono di assegnare i criteri.
Per esportare i dati in Hub eventi, è necessario disporre delle autorizzazioni di scrittura per i criteri di Hub eventi.
Per esportare in un'area di lavoro Log Analytics:
- Se ha la soluzione SecurityCenterFree, è necessario avere almeno le autorizzazioni di lettura per la soluzione dell'area di lavoro:
Microsoft.OperationsManagement/solutions/read. - Se non ha la soluzione SecurityCenterFree, è necessario disporre delle autorizzazioni di scrittura per la soluzione dell'area di lavoro:
Microsoft.OperationsManagement/solutions/action.
Altre informazioni sulle soluzioni di Monitoraggio di Azure e dell'area di lavoro Log Analytics.
- Se ha la soluzione SecurityCenterFree, è necessario avere almeno le autorizzazioni di lettura per la soluzione dell'area di lavoro:
Configurare l'esportazione continua su larga scala con Criteri di Azure
L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione consente di ridurre il tempo necessario per analizzare e attenuare gli eventi imprevisti di sicurezza.
Per distribuire le configurazioni di esportazione continua nell'organizzazione, usare i criteri di Criteri di Azure DeployIfNotExist forniti per creare e configurare procedure di esportazione continua.
Per implementare questi criteri:
Selezionare un criterio da applicare:
Obiettivo Criteri ID criterio Esportazione continua in Hub eventi Distribuire l'esportazione in Hub eventi per Microsoft Defender per il cloud avvisi e raccomandazioni cdfcce10-4578-4ecd-9703-530938e4abcb Esportazione continua nell'area di lavoro Log Analytics Distribuisci esportazione nell'area di lavoro Log Analytics per gli avvisi e le raccomandazioni di Microsoft Defender for Cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Selezionare Assegna.
Selezionare ogni scheda e impostare i parametri per soddisfare i requisiti:
Nella scheda Informazioni di base impostare l'ambito per il criterio. Per usare la gestione centralizzata, assegnare i criteri al gruppo di gestione che contiene le sottoscrizioni che usano la configurazione di esportazione continua.
Nella scheda Parametri impostare il nome del gruppo di risorse, il percorso e i dettagli dell'hub eventi.
Facoltativamente, per applicare questa assegnazione alle sottoscrizioni esistenti, selezionare la scheda Correzione e quindi selezionare l'opzione per creare un'attività di correzione.
Esaminare la pagina di riepilogo e quindi selezionare Crea.