Delen via


Waarschuwingen en aanbevelingen exporteren met continue export

Microsoft Defender voor Cloud biedt continue export van beveiligingsgegevens. Met deze functie kunt u beveiligingsgegevens streamen naar Log Analytics in Azure Monitor, naar Azure Event Hubs of naar een andere SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) of een klassieke IT-implementatiemodeloplossing. U kunt de gegevens analyseren en visualiseren met behulp van Azure Monitor-logboeken en andere Azure Monitor-functies.

Wanneer u continue export instelt, kunt u volledig aanpassen welke informatie u wilt exporteren en waar de informatie naartoe gaat. U kunt deze bijvoorbeeld zo configureren dat:

  • Alle waarschuwingen met hoge urgentie worden verzonden naar een Azure Event Hub.
  • Alle bevindingen met een gemiddelde of hogere ernst van de evaluatie van beveiligingsproblemen van uw computers waarop SQL Server wordt uitgevoerd, worden verzonden naar een specifieke Log Analytics-werkruimte.
  • Specifieke aanbevelingen worden geleverd aan een Event Hub of Log Analytics-werkruimte wanneer ze worden gegenereerd.
  • De beveiligingsscore voor een abonnement wordt naar een Log Analytics-werkruimte verzonden wanneer de score voor een besturingselement wordt gewijzigd met 0,01 of meer.

Welke gegevenstypen kunnen worden geëxporteerd?

U kunt continue export gebruiken om de volgende gegevenstypen te exporteren wanneer ze veranderen:

  • Aanbevelingen voor beveiliging.
    • Ernst van aanbeveling.
    • Beveiligingsresultaten.
  • Beveiligingsscore.
    • Besturingselementen.
  • Beveiligingswaarschuwingen.
  • Naleving van regelgeving.
  • Aanvalspaden

Ernst van aanbeveling, beveiligingsresultaten en besturingselementen zijn subcategorieën die deel uitmaken van een bovenliggende categorie. Voorbeeld:

Notitie

Als u continue export configureert met behulp van de REST API, neemt u altijd het bovenliggende item op met de bevindingen.

Gegevens exporteren naar een Event Hub of Log Analytics-werkruimte in een andere tenant

U kunt geen gegevens configureren die moeten worden geëxporteerd naar een Log Analytics-werkruimte in een andere tenant als u Azure Policy gebruikt om de configuratie toe te wijzen. Dit proces werkt alleen wanneer u de REST API gebruikt om de configuratie toe te wijzen en de configuratie niet wordt ondersteund in Azure Portal (omdat hiervoor een context met meerdere tenants is vereist). Azure Lighthouse lost dit probleem met Azure Policy niet op, hoewel u Azure Lighthouse kunt gebruiken als verificatiemethode.

Wanneer u gegevens in een tenant verzamelt, kunt u de gegevens analyseren vanaf één centrale locatie.

Gegevens exporteren naar een Event Hub of Log Analytics-werkruimte in een andere tenant:

  • In de tenant met de Event Hub- of Log Analytics-werkruimte nodigt u een gebruiker uit vanuit de tenant die als host fungeert voor de continue exportconfiguratie of kunt u Azure Lighthouse configureren voor de bron- en doeltenant.

  • Als u B2B-gastgebruikerstoegang (Business-to-Business) in Microsoft Entra ID gebruikt, moet u ervoor zorgen dat de gebruiker de uitnodiging voor toegang tot de tenant als gast accepteert.

  • Als u een Log Analytics-werkruimte gebruikt, wijst u de gebruiker in de werkruimtetenant een van de volgende rollen toe: Eigenaar, Inzender, Log Analytics-inzender, Sentinel-inzender of Controlebijdrager.

  • Maak en verzend de aanvraag naar de Azure REST API om de vereiste resources te configureren. U moet de bearer-tokens beheren in zowel de context van de lokale (werkruimte)-tenant als de externe (continue export)-tenant.

Exporteren naar een Log Analytics-werkruimte

Als u Microsoft Defender voor Cloud gegevens in een Log Analytics-werkruimte wilt analyseren of Azure-waarschuwingen wilt gebruiken in combinatie met Defender voor Cloud waarschuwingen, stelt u continue export in naar uw Log Analytics-werkruimte.

Log Analytics-tabellen en -schema's

Beveiligingswaarschuwingen en aanbevelingen worden respectievelijk opgeslagen in de tabellen SecurityAlert en SecurityRecommendation .

De naam van de Log Analytics-oplossing die deze tabellen bevat, is afhankelijk van of u de verbeterde beveiligingsfuncties hebt ingeschakeld: Beveiliging (de oplossing Beveiliging en controle) of SecurityCenterFree.

Tip

Als u de gegevens in de doelwerkruimte wilt zien, moet u een van deze oplossingen inschakelen: Beveiliging en controle of SecurityCenterFree.

Schermopname van de tabel SecurityAlert in Log Analytics.

Zie Log Analytics-tabelschema's om de gebeurtenisschema's van de geëxporteerde gegevenstypen weer te geven.