Gegevensverbindingen gebruiken

In dit artikel wordt de functie gegevensverbindingen in Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen (Defender EBKA) besproken.

Overzicht

Defender EBKA biedt nu gegevensverbindingen waarmee u uw kwetsbaarheidsgegevens voor aanvallen naadloos kunt integreren in andere Microsoft-oplossingen om bestaande werkstromen aan te vullen met nieuwe inzichten. U moet gegevens van Defender EBKA ophalen in de andere beveiligingshulpprogramma's die u gebruikt voor hersteldoeleinden om optimaal gebruik te maken van uw kwetsbaarheidsgegevens voor aanvallen.

De gegevensconnector verzendt Defender EBKA assetgegevens naar twee verschillende platforms: Log Analytics en Azure Data Explorer. U moet Defender EBKA gegevens exporteren naar een van beide hulpprogramma's. Gegevensverbindingen zijn onderhevig aan het prijsmodel voor elk respectieve platform.

Log Analytics biedt beveiligingsinformatie en gebeurtenisbeheer en beveiligingsindeling, automatisering en reactiemogelijkheden. Defender EBKA asset- of inzichtengegevens kunnen worden gebruikt in Log Analytics om bestaande werkstromen te verrijken met andere beveiligingsgegevens. Deze informatie kan een aanvulling vormen op firewall- en configuratiegegevens, bedreigingsinformatie en nalevingsgegevens om inzicht te bieden in uw extern gerichte infrastructuur op het open internet.

U kunt:

  • Beveiligingsincidenten maken of verrijken.
  • Playbooks voor onderzoek bouwen.
  • Machine learning-algoritmen trainen.
  • Herstelacties activeren.

Azure Data Explorer is een platform voor analyse van big data waarmee u grote hoeveelheden gegevens uit verschillende bronnen kunt analyseren met flexibele aanpassingsmogelijkheden. Defender EBKA asset- en inzichtengegevens kunnen worden geïntegreerd voor het gebruik van visualisatie-, query-, opname- en beheermogelijkheden binnen het platform.

Of u nu aangepaste rapporten maakt met Power BI of zoekt naar assets die overeenkomen met nauwkeurige KQL-query's, het exporteren van Defender EBKA-gegevens naar Azure Data Explorer stelt u in staat om uw aanvalsoppervlakgegevens te gebruiken met eindeloze aanpassingsmogelijkheden.

Opties voor gegevensinhoud

Defender EBKA-gegevensverbindingen bieden u de mogelijkheid om twee verschillende soorten kwetsbaarheidsgegevens voor aanvallen te integreren in het hulpprogramma van uw keuze. U kunt ervoor kiezen om assetgegevens, inzichten in aanvalsoppervlakken of beide gegevenstypen te migreren. Assetgegevens bieden gedetailleerde details over uw volledige inventaris. Inzichten in aanvalsoppervlak bieden direct bruikbare inzichten op basis van Defender EBKA dashboards.

Om de infrastructuur die het belangrijkst is voor uw organisatie nauwkeurig weer te geven, bevatten beide inhoudsopties alleen assets met de status Goedgekeurde inventaris.

Assetgegevens: met de optie Assetgegevens worden gegevens over al uw inventarisassets verzonden naar het hulpprogramma van uw keuze. Deze optie is het beste voor gebruiksvoorbeelden waarbij de gedetailleerde onderliggende metagegevens essentieel zijn voor uw Defender EBKA-integratie. Voorbeelden hiervan zijn Microsoft Sentinel of aangepaste rapportage in Azure Data Explorer. U kunt context op hoog niveau exporteren voor elk asset in de inventaris en gedetailleerde details die specifiek zijn voor het specifieke assettype.

Deze optie biedt geen vooraf bepaalde inzichten over de assets. In plaats daarvan biedt het een uitgebreide hoeveelheid gegevens, zodat u de aangepaste inzichten kunt vinden die u het belangrijkst vindt.

Inzichten in kwetsbaarheid voor aanvallen: Inzichten over kwetsbaarheid voor aanvallen bieden een reeks resultaten die kunnen worden uitgevoerd op basis van de belangrijkste inzichten die worden geleverd via dashboards in Defender EBKA. Deze optie biedt minder gedetailleerde metagegevens voor elke asset. Het categoriseert assets op basis van de bijbehorende inzichten en biedt de context op hoog niveau die nodig is om verder te onderzoeken. Deze optie is ideaal als u deze vooraf bepaalde inzichten wilt integreren in aangepaste rapportagewerkstromen met gegevens uit andere hulpprogramma's.

Configuratieoverzichten

In deze sectie vindt u algemene informatie over de configuratie.

Toegang tot gegevensverbindingen

Selecteer in het linkerdeelvenster van het Defender EBKA resourcevenster onder Beherende optie Gegevensverbindingen. Op deze pagina worden de gegevensconnectors voor log analytics en Azure Data Explorer weergegeven. De lijst bevat alle huidige verbindingen en biedt de optie om verbindingen toe te voegen, te bewerken of te verwijderen.

Schermopname van de pagina Gegevensverbindingen.

Verbindingsvereisten

Als u een gegevensverbinding wilt maken, moet u er eerst voor zorgen dat u de vereiste stappen hebt voltooid om Defender EBKA machtiging te verlenen aan het hulpprogramma van uw keuze. Met dit proces kan de toepassing uw geëxporteerde gegevens opnemen. Het biedt ook de verificatiereferenties die nodig zijn om de verbinding te configureren.

Opmerking

Defender EBKA-gegevensverbindingen bieden geen ondersteuning voor privékoppelingen of netwerken.

Log Analytics-machtigingen configureren

  1. Open de Log Analytics-werkruimte die uw Defender EBKA gegevens opneemt of maak een nieuwe werkruimte.

  2. Selecteer in het linkerdeelvenster onder Instellingen de optie Agents.

    Schermopname van Log Analytics-agents.

  3. Vouw de sectie Instructies voor log analytics-agent uit om uw werkruimte-id en primaire sleutel weer te geven. Deze waarden worden gebruikt om uw gegevensverbinding in te stellen.

Opmerking

De HTTP Data Collector-API, die momenteel wordt gebruikt door de Defender EBKA Log Analytics-gegevensconnector, wordt op 14 september 2026 afgeschaft.

Alle nieuwe Log Analytics-gegevensconnectors gebruiken de Logboekopname-API. Hiervoor zijn aanvullende machtigingsconfiguraties vereist, zoals hieronder wordt beschreven.

Roltoewijzingen van resourcegroepen configureren

  1. Selecteer in het meest linkse deelvenster Overzicht en navigeer naar de resourcegroep onder Essentials in het hoofdvenster.
  2. Open de resourcegroep die de Log Analytics-werkruimte bevat.
  3. Selecteer toegangsbeheer (IAM) in het meest linkse deelvenster.
  4. Zoek en selecteer de rol Lezer .
  5. Zoek en selecteer de EBKA-API als lid voor de roltoewijzing. Schermopname van Leden voor roltoewijzingen, met name de EBKA API-app.
  6. Zorg ervoor dat het toewijzingstype Permanent is en klik vervolgens op Controleren en toewijzen.
  7. Herhaal dit en voeg de rollen Bewakingsbijdrager, Log Analytics-inzender en de uitgever van bewakingsgegevens toe voor de EBKA API-app.

Opmerking

Het kan enkele minuten duren voordat de roltoewijzingen voor de EBKA-API zijn toegewezen. Nadat u de toewijzingen hebt geconfigureerd, wacht u enkele minuten om een nieuwe gegevensverbinding te maken.

Abonnementsresourceproviders configureren

  1. Open het abonnement dat de resourcegroep en Log Analytics-werkruimte bevat.
  2. Selecteer in het linkerdeelvenster onder Instellingende optie Resourceproviders.
  3. Zoek naar microsoft.insights en registreer de provider. Schermopname van resourceproviders, met name microsoft.insights.

Opmerking

Met behulp van de nieuwe Log Analytics-API moeten de Defender EBKA resource en Log Analytics-werkruimte die uw Defender EBKA gegevens opnemen zich in dezelfde tenant bevinden.

Het gebruik van deze gegevensverbinding is onderhevig aan de prijsstructuur van Log Analytics. Zie Azure Prijzen controleren voor meer informatie.

Machtigingen voor Azure Data Explorer configureren

Zorg ervoor dat de Defender EBKA API-service-principal toegang heeft tot de juiste rollen in de database waar u uw aanvalsoppervlakgegevens wilt exporteren. Zorg er eerst voor dat uw Defender EBKA-resource is gemaakt in de juiste tenant, omdat deze actie de EBKA API-principal inricht.

  1. Open het Azure Data Explorer cluster dat uw Defender EBKA gegevens opneemt of maak een nieuw cluster.

  2. Selecteer in het linkerdeelvenster onder Gegevens de optie Databases.

  3. Selecteer Database toevoegen om een database te maken voor het opslaan van uw Defender EBKA gegevens.

    Schermopname van Azure Data Explorer Database toevoegen.

  4. Geef uw database een naam, configureer retentie- en cacheperioden en selecteer Maken.

    Schermopname van het maken van een nieuwe database.

  5. Nadat de Defender EBKA-database is gemaakt, selecteert u de naam van de database om de detailpagina te openen. Selecteer in het linkerdeelvenster onder Overzicht de optie Machtigingen. Als u Defender EBKA gegevens naar Azure Data Explorer wilt exporteren, moet u twee nieuwe machtigingen maken voor de EBKA-API: gebruiker en ingestor.

    Schermopname van Azure Data Explorer machtigingen.

  6. Selecteer Toevoegen en maak een gebruiker. Zoek naar EBKA API, selecteer de waarde en kies Selecteren.

  7. Selecteer Toevoegen om een ingestor te maken. Volg dezelfde stappen die eerder zijn beschreven om de EBKA-API toe te voegen als ingestor.

  8. Uw database is nu gereed om verbinding te maken met Defender EBKA. U hebt de clusternaam, databasenaam en regio nodig wanneer u uw gegevensverbinding configureert.

Een gegevensverbinding toevoegen

U kunt uw Defender EBKA-gegevens verbinden met Log Analytics of Azure Data Explorer. Hiervoor selecteert u Verbinding toevoegen voor het juiste hulpprogramma op de pagina Gegevensverbindingen .

Er wordt een configuratievenster geopend aan de rechterkant van de pagina Gegevensverbindingen . De volgende velden zijn vereist voor elk respectieve hulpprogramma.

Log Analytics

  • Naam: voer een naam in voor deze gegevensverbinding.

  • Werkruimte-id: voer de werkruimte-id in voor het Log Analytics-exemplaar waar u Defender EBKA gegevens wilt exporteren.

  • Inhoud: selecteer om assetgegevens, inzichten in aanvalsoppervlakken of beide gegevenssets te integreren.

  • Frequentie: selecteer de frequentie die de Defender EBKA-verbinding gebruikt om bijgewerkte gegevens te verzenden naar het hulpprogramma van uw keuze. Beschikbare opties zijn dagelijks, wekelijks en maandelijks.

    Schermopname van het scherm Gegevensverbinding toevoegen voor Log Analytics.

Opmerking

Alle nieuwe gegevensverbindingen maken gebruik van de Log Analytics-API en gebruiken geen API-sleutel.

Azure Data Explorer

  • Naam: voer een naam in voor deze gegevensverbinding.

  • Clusternaam: voer de naam in van het Azure Data Explorer cluster waar u Defender EBKA gegevens wilt exporteren.

  • Regio: voer de regio van het Azure Data Explorer cluster in.

  • Databasenaam: voer de naam van de gewenste database in.

  • Inhoud: selecteer om assetgegevens, inzichten in aanvalsoppervlakken of beide gegevenssets te integreren.

  • Frequentie: selecteer de frequentie die de Defender EBKA-verbinding gebruikt om bijgewerkte gegevens te verzenden naar het hulpprogramma van uw keuze. Beschikbare opties zijn dagelijks, wekelijks en maandelijks.

    Schermopname van het scherm Gegevensverbinding toevoegen voor Azure Data Explorer.

    Nadat alle velden zijn geconfigureerd, selecteert u Toevoegen om de gegevensverbinding te maken. Op dit moment wordt op de pagina Gegevensverbindingen een banner weergegeven die aangeeft dat de resource is gemaakt. Na 30 minuten beginnen de gegevens te worden ingevuld. Nadat verbindingen zijn gemaakt, worden ze weergegeven onder het toepasselijke hulpprogramma op de hoofdpagina Gegevensverbindingen .

Een gegevensverbinding bewerken of verwijderen

U kunt een gegevensverbinding bewerken of verwijderen. U ziet bijvoorbeeld dat een verbinding wordt weergegeven als Verbroken. In dit geval moet u de configuratiedetails opnieuw opgegeven om het probleem op te lossen.

Een gegevensverbinding bewerken of verwijderen:

  1. Selecteer de juiste verbinding in de lijst op de hoofdpagina Gegevensverbindingen .

    Schermopname van verbroken gegevensverbindingen.

  2. Er wordt een pagina geopend met meer gegevens over de verbinding. De configuraties die u hebt gekozen bij het maken van de verbinding en eventuele foutberichten worden weergegeven. U ziet ook de volgende gegevens:

    • Terugkerend op: de dag van de week of maand waarop Defender EBKA bijgewerkte gegevens naar het verbonden hulpprogramma verzendt.

    • Gemaakt: de datum en tijd waarop de gegevensverbinding is gemaakt.

    • Bijgewerkt: de datum en tijd waarop de gegevensverbinding voor het laatst is bijgewerkt.

      Schermopname van testverbindingen.

  3. Vanaf deze pagina kunt u uw gegevensverbinding opnieuw verbinden, bewerken of verwijderen.

    • Opnieuw verbinding maken: probeert de gegevensverbinding te valideren zonder wijzigingen in de configuratie. Deze optie is het beste als u de verificatiereferenties hebt gevalideerd die worden gebruikt voor de gegevensverbinding.
    • Bewerken: hiermee kunt u de configuratie voor de gegevensverbinding wijzigen.
    • Verwijderen: hiermee verwijdert u de gegevensverbinding.
  • Last updated on