Continue export instellen in Azure Portal

Microsoft Defender voor Cloud gedetailleerde beveiligingswaarschuwingen en aanbevelingen genereert. Als u de informatie in deze waarschuwingen en aanbevelingen wilt analyseren, kunt u deze exporteren naar Log Analytics in Azure Monitor, naar Azure Event Hubs of naar een andere SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) of een klassieke IT-implementatiemodeloplossing. U kunt de waarschuwingen en aanbevelingen streamen wanneer ze worden gegenereerd of een schema definiëren voor het verzenden van periodieke momentopnamen van alle nieuwe gegevens.

In dit artikel wordt beschreven hoe u continue export instelt naar een Log Analytics-werkruimte of naar een Event Hub in Azure.

Tip

Defender voor Cloud biedt ook de mogelijkheid om eenmalig een handmatige export uit te voeren naar een CSV-bestand (door komma's gescheiden waarden). Meer informatie over het downloaden van een CSV-bestand.

Vereisten

• U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.

• U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.

Vereiste rollen en machtigingen:

• Beveiligings-Beheer of eigenaar voor de resourcegroep
• Schrijfmachtigingen voor de doelresource.
• Als u het Azure Policy DeployIfNotExist-beleid gebruikt, moet u machtigingen hebben waarmee u beleidsregels kunt toewijzen.
• Als u gegevens wilt exporteren naar Event Hubs, moet u schrijfmachtigingen hebben voor het Event Hubs-beleid.
• Exporteren naar een Log Analytics-werkruimte:

  • Als deze de SecurityCenterFree-oplossing heeft, moet u minimaal leesmachtigingen hebben voor de werkruimteoplossing: Microsoft.OperationsManagement/solutions/read

  • Als deze niet over de SecurityCenterFree-oplossing beschikt, moet u schrijfmachtigingen hebben voor de werkruimteoplossing: Microsoft.OperationsManagement/solutions/action

    Meer informatie over Azure Monitor- en Log Analytics-werkruimteoplossingen.

Continue export instellen in Azure Portal

U kunt continue export instellen op de Microsoft Defender voor Cloud pagina's in Azure Portal, met behulp van de REST API of op schaal met behulp van opgegeven Azure Policy-sjablonen.

Een continue export naar Log Analytics of Azure Event Hubs instellen met behulp van Azure Portal:

1. Selecteer omgevingsinstellingen in het menu Defender voor Cloud resource.

2. Selecteer het abonnement waarvoor u gegevensexport wilt configureren.

3. Selecteer Continue export in het resourcemenu onder Instellingen.

   

   De exportopties worden weergegeven. Er is een tabblad voor elk beschikbaar exportdoel, event hub of Log Analytics-werkruimte.

4. Selecteer het gegevenstype dat u wilt exporteren en kies uit de filters voor elk type (bijvoorbeeld alleen waarschuwingen met hoge ernst exporteren).

5. Selecteer de exportfrequentie:

   • Streamen. Evaluaties worden verzonden wanneer de status van een resource wordt bijgewerkt (als er geen updates plaatsvinden, worden er geen gegevens verzonden).
   • Momentopnamen. Een momentopname van de huidige status van de geselecteerde gegevenstypen die eenmaal per week per abonnement worden verzonden. Als u momentopnamegegevens wilt identificeren, zoekt u naar het veld IsSnapshot.

   Als uw selectie een van deze aanbevelingen bevat, kunt u de bevindingen van de evaluatie van beveiligingsproblemen met deze aanbevelingen opnemen:

   • SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost
   • SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost
   • Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys)
   • Op computers moeten de resultaten van beveiligingsproblemen zijn opgelost
   • Systeemupdates moeten op uw computers worden geïnstalleerd

   Als u de bevindingen met deze aanbevelingen wilt opnemen, stelt u Beveiligingsresultatenopnemen in op Ja.

   

6. Kies onder Doel exporteren waar u de gegevens wilt opslaan. Gegevens kunnen worden opgeslagen in een ander abonnement (bijvoorbeeld in een centrale Event Hubs-instantie of in een centrale Log Analytics-werkruimte).

   U kunt de gegevens ook verzenden naar een Event Hub of Log Analytics-werkruimte in een andere tenant

7. Selecteer Opslaan.

Notitie

Log Analytics ondersteunt alleen records die maximaal 32 kB groot zijn. Wanneer de gegevenslimiet is bereikt, wordt de berichtlimiet voor gegevens overschreden.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u continue exports van uw aanbevelingen en waarschuwingen configureert. U hebt ook geleerd hoe u uw waarschuwingsgegevens kunt downloaden als een CSV-bestand.

Gerelateerde inhoud weergeven:

• Meer informatie over werkstroomautomatiseringssjablonen.
• Raadpleeg de Documentatie voor Azure Event Hubs.
• Meer informatie over Microsoft Sentinel.
• Raadpleeg de Documentatie van Azure Monitor.
• Meer informatie over het exporteren van schema's voor gegevenstypen.
• Bekijk veelgestelde vragen over continue export.