Continue export instellen met Azure Policy
Continue export van Microsoft Defender voor Cloud beveiligingswaarschuwingen en aanbevelingen kan u helpen bij het analyseren van de gegevens in Log Analytics of Azure Event Hubs. U kunt continue export op schaal instellen in Defender voor Cloud met behulp van opgegeven Azure Policy-sjablonen.
Tip
Defender voor Cloud biedt ook de mogelijkheid om eenmalig een handmatige export uit te voeren naar een CSV-bestand (door komma's gescheiden waarden). Meer informatie over het downloaden van een CSV-bestand.
Vereisten
U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
Vereiste rollen en machtigingen:
Beveiligings-Beheer of eigenaar voor de resourcegroep
Schrijfmachtigingen voor de doelresource.
Als u het Azure Policy DeployIfNotExist-beleid gebruikt, moet u machtigingen hebben waarmee u beleidsregels kunt toewijzen.
Als u gegevens wilt exporteren naar Event Hubs, moet u schrijfmachtigingen hebben voor het Event Hubs-beleid.
Exporteren naar een Log Analytics-werkruimte:
- Als deze de SecurityCenterFree-oplossing heeft, moet u minimaal leesmachtigingen hebben voor de werkruimteoplossing:
Microsoft.OperationsManagement/solutions/read - Als deze niet over de SecurityCenterFree-oplossing beschikt, moet u schrijfmachtigingen hebben voor de werkruimteoplossing:
Microsoft.OperationsManagement/solutions/action
Meer informatie over Azure Monitor- en Log Analytics-werkruimteoplossingen.
- Als deze de SecurityCenterFree-oplossing heeft, moet u minimaal leesmachtigingen hebben voor de werkruimteoplossing:
Continue export op schaal instellen met Azure Policy
Door de processen voor bewaking en reactie op incidenten van uw organisatie te automatiseren, kunt u de tijd beperken die nodig is om beveiligingsincidenten te onderzoeken en te beperken.
Als u uw continue exportconfiguraties in uw organisatie wilt implementeren, gebruikt u het opgegeven Azure Policy-beleid DeployIfNotExist om continue exportprocedures te maken en te configureren.
Ga als volgt te werk om dit beleid te implementeren:
Selecteer een beleid dat u wilt toepassen:
Goal Beleid Beleids-id Continue export naar Event Hubs Export implementeren naar Event Hubs voor Microsoft Defender voor Cloud waarschuwingen en aanbevelingen cdfcce10-4578-4ecd-9703-530938e4abcb Continue export naar Log Analytics-werkruimte Export implementeren in een Log Analytics-werkruimte voor Microsoft Defender for Cloud-waarschuwingen en -aanbevelingen ffb6f416-7bd2-4488-8828-56585fef2be9 Selecteer Toewijzen.
Selecteer elk tabblad en stel de parameters in om aan uw vereisten te voldoen:
Stel op het tabblad Basisbeginselen het bereik voor het beleid in. Als u gecentraliseerd beheer wilt gebruiken, wijst u het beleid toe aan de beheergroep die de abonnementen bevat die gebruikmaken van de configuratie voor continue export.
Stel op het tabblad Parameters de naam, locatie en Event Hub van de resourcegroep in.
Als u deze toewijzing wilt toepassen op bestaande abonnementen, selecteert u het tabblad Herstel en selecteert u vervolgens de optie om een hersteltaak te maken.
Controleer de overzichtspagina en selecteer Vervolgens Maken.