Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come visualizzare Microsoft Defender per il cloud dati esportati in Monitoraggio di Azure. Illustra Log Analytics e Hub eventi di Azure e spiega come creare regole di avviso Monitoraggio di Azure in base ai dati esportati.
Prerequisiti
Prima di iniziare, configurare l'esportazione continua con uno di questi metodi:
- Impostare l'esportazione continua nel portale di Azure
- Configurare l'esportazione continua con Criteri di Azure
- Configurare l'esportazione continua con l'API REST (Representational State Transfer).
Visualizzare i dati esportati in Log Analytics
Quando si esportano i dati di Defender per il cloud in un'area di lavoro Log Analytics, vengono create automaticamente due tabelle principali:
SecurityAlertSecurityRecommendation
È possibile eseguire query su queste tabelle in Log Analytics per verificare che l'esportazione continua funzioni.
Accedere al portale di Azure all'indirizzo portal.azure. com.
Cercare e selezionare Aree di lavoro Log Analytics.
Selezionare l'area di lavoro configurata come destinazione di esportazione continua.
Nel menu dell'area di lavoro, in Generale, selezionare Log.
Nella finestra della query immettere una delle query seguenti e selezionare Esegui:
SecurityAlerto
SecurityRecommendation
Visualizzare i dati esportati in Hub eventi di Azure
Quando si esportano dati in Hub eventi di Azure, Defender per il cloud trasmette continuamente avvisi e raccomandazioni come messaggi di evento. È possibile visualizzare questi eventi esportati nel portale di Azure e analizzarli ulteriormente connettendo un servizio downstream.
Accedere al portale di Azure all'indirizzo portal.azure. com.
Cerca e seleziona nomi di spazi degli Hub eventi.
Selezionare lo spazio dei nomi e l'hub eventi configurati per l'esportazione continua.
Nel menu dell'hub eventi, selezionare Metriche per visualizzare l'attività dei messaggi, oppure Processa i dati di> per esaminare il contenuto degli eventi archiviato nella destinazione di acquisizione.
Facoltativamente, usare uno strumento connesso, ad esempio Microsoft Sentinel, una soluzione SIEM (Security Information and Event Management) o un'app consumer personalizzata per leggere ed elaborare gli eventi esportati.
Annotazioni
Defender per il cloud invia dati in formato JSON (JavaScript Object Notation). È possibile usare Acquisizione di Hub eventi o gruppi utente per archiviare e analizzare gli eventi esportati.
Creare regole di avviso in Monitoraggio di Azure (facoltativo)
È possibile creare avvisi di Monitoraggio di Azure in base ai dati di Defender per il cloud esportati. Questi avvisi consentono di attivare automaticamente azioni, ad esempio l'invio di notifiche tramite posta elettronica o la creazione di ticket di gestione dei servizi IT (Information Technology Service Management), quando si verificano eventi di sicurezza specifici.
Accedere al portale di Azure all'indirizzo portal.azure. com.
Cerca e seleziona Monitor.
Selezionare Avvisi.
Selezionare + Crea>Regola di avviso.
Configurare la nuova regola allo stesso modo in cui si configurano le regole di avviso del log in Monitoraggio di Azure. Per informazioni dettagliate, vedere Configurare le regole di avviso del log:
- Per Tipi di risorse selezionare l'area di lavoro Log Analytics in cui sono stati esportati avvisi di sicurezza e gli elementi consigliati.
- Per Condizione selezionare Ricerca log personalizzata. Nella pagina visualizzata configurare la query, il periodo di ricerca e il periodo di frequenza. Nella query immettere SecurityAlert o SecurityRecommendation.
- Facoltativamente, creare gruppi di azioni per attivare risposte automatiche. Per indicazioni sulla configurazione, vedere Monitoraggio di Azure gruppi di azioni. I gruppi di azioni possono inviare messaggi di posta elettronica, creare ticket di Gestione dei servizi IT, eseguire webhook e altro ancora.
Dopo aver salvato la regola, gli avvisi o le raccomandazioni di Defender per il cloud vengono visualizzati in Monitoraggio di Azure in base alle condizioni della configurazione di esportazione continua e delle regole di avviso. Se è stato collegato un gruppo di azioni, viene attivato automaticamente quando vengono soddisfatti i criteri della regola.