Konfigurowanie eksportu ciągłego za pomocą usługi Azure Policy
Ciągły eksport alertów zabezpieczeń i zaleceń dotyczących Microsoft Defender dla Chmury może pomóc w analizowaniu danych w usłudze Log Analytics lub Azure Event Hubs. Eksport ciągły można skonfigurować w Defender dla Chmury na dużą skalę przy użyciu udostępnionych szablonów usługi Azure Policy.
Napiwek
Defender dla Chmury oferuje również opcję jednorazowego ręcznego eksportowania do pliku wartości rozdzielanych przecinkami (CSV). Dowiedz się, jak pobrać plik CSV.
Wymagania wstępne
Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.
Wymagane role i uprawnienia:
Zabezpieczenia Administracja lub właściciel grupy zasobów
Uprawnienia do zapisu dla zasobu docelowego.
Jeśli używasz zasad Azure Policy DeployIfNotExist, musisz mieć uprawnienia, które umożliwiają przypisywanie zasad.
Aby wyeksportować dane do usługi Event Hubs, musisz mieć uprawnienia do zapisu w zasadach usługi Event Hubs.
Aby wyeksportować do obszaru roboczego usługi Log Analytics:
- Jeśli ma ono rozwiązanie SecurityCenterFree, musisz mieć co najmniej uprawnienia do odczytu dla rozwiązania obszaru roboczego:
Microsoft.OperationsManagement/solutions/read. - Jeśli nie ma rozwiązania SecurityCenterFree, musisz mieć uprawnienia do zapisu dla rozwiązania obszaru roboczego:
Microsoft.OperationsManagement/solutions/action.
Dowiedz się więcej o rozwiązaniach obszarów roboczych usługi Azure Monitor i Log Analytics.
- Jeśli ma ono rozwiązanie SecurityCenterFree, musisz mieć co najmniej uprawnienia do odczytu dla rozwiązania obszaru roboczego:
Konfigurowanie eksportu ciągłego na dużą skalę za pomocą usługi Azure Policy
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może pomóc skrócić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Aby wdrożyć konfiguracje eksportu ciągłego w całej organizacji, użyj podanych zasad usługi Azure Policy DeployIfNotExist , aby utworzyć i skonfigurować procedury eksportu ciągłego.
Aby zaimplementować te zasady:
Wybierz zasady do zastosowania:
Goal Zasady Identyfikator zasad Eksport ciągły do usługi Event Hubs Wdrażanie eksportu do usługi Event Hubs w celu Microsoft Defender dla Chmury alertów i zaleceń cdfcce10-4578-4ecd-9703-530938e4abcb Eksport ciągły do obszaru roboczego usługi Log Analytics Wdrażanie eksportu w obszarze roboczym usługi Log Analytics na potrzeby alertów i zaleceń usługi Microsoft Defender for Cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Zaznacz Przypisz.
Wybierz każdą kartę i ustaw parametry, aby spełnić wymagania:
Na karcie Podstawy ustaw zakres zasad. Aby użyć scentralizowanego zarządzania, przypisz zasady do grupy zarządzania zawierającej subskrypcje korzystające z konfiguracji eksportu ciągłego.
Na karcie Parametry ustaw nazwę grupy zasobów, lokalizację i szczegóły centrum zdarzeń.
Opcjonalnie, aby zastosować to przypisanie do istniejących subskrypcji, wybierz kartę Korygowanie , a następnie wybierz opcję utworzenia zadania korygowania.
Przejrzyj stronę podsumowania, a następnie wybierz pozycję Utwórz.