Eksportowanie alertów i zaleceń przy użyciu eksportu ciągłego
Microsoft Defender dla Chmury zapewnia ciągły eksport danych zabezpieczeń. Ta funkcja umożliwia przesyłanie strumieniowe danych zabezpieczeń do usługi Log Analytics w usłudze Azure Monitor, do usługi Azure Event Hubs lub do innego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) lub klasycznego rozwiązania modelu wdrażania IT. Dane można analizować i wizualizować przy użyciu dzienników usługi Azure Monitor i innych funkcji usługi Azure Monitor.
Podczas konfigurowania eksportu ciągłego można w pełni dostosować informacje, które mają być eksportowane i gdzie są dostępne informacje. Można na przykład skonfigurować go tak, aby:
- Wszystkie alerty o wysokiej ważności są wysyłane do centrum zdarzeń platformy Azure.
- Wszystkie średnie lub wyższe ustalenia dotyczące oceny luk w zabezpieczeniach komputerów z uruchomionym programem SQL Server są wysyłane do określonego obszaru roboczego usługi Log Analytics.
- Konkretne zalecenia są dostarczane do centrum zdarzeń lub obszaru roboczego usługi Log Analytics za każdym razem, gdy są generowane.
- Wskaźnik bezpieczeństwa subskrypcji jest wysyłany do obszaru roboczego usługi Log Analytics za każdym razem, gdy wynik dla kontrolki zmieni się o 0,01 lub więcej.
Jakie typy danych można wyeksportować?
Eksport ciągły umożliwia eksportowanie następujących typów danych za każdym razem, gdy zmieniają się:
- Zalecenia dotyczące zabezpieczeń.
- Ważność zalecenia.
- Wyniki zabezpieczeń.
- Wskaźnik bezpieczeństwa.
- Formantów.
- Alerty zabezpieczeń.
- Zgodność.
- Ścieżki ataków
Ważność rekomendacji, wyniki zabezpieczeń i mechanizmy kontroli to podkategorie należące do kategorii nadrzędnej. Na przykład:
- Zalecenia Aktualizacje systemu powinny być instalowane na maszynach (obsługiwanych przez program Update Center), a aktualizacje systemu powinny być instalowane na maszynach , z których każda ma jedną rekomendację podrzędną na zaległą aktualizację systemu.
- Rekomendacja Maszyny powinna zawierać rozwiązane wyniki luk w zabezpieczeniach zawiera zalecenie podrzędne dotyczące każdej luki w zabezpieczeniach, którą identyfikuje skaner luk w zabezpieczeniach.
Uwaga
Jeśli konfigurujesz eksport ciągły przy użyciu interfejsu API REST, zawsze uwzględnij element nadrzędny z wynikami.
Eksportowanie danych do centrum zdarzeń lub obszaru roboczego usługi Log Analytics w innej dzierżawie
Nie można skonfigurować danych do wyeksportowania do obszaru roboczego usługi Log Analytics w innej dzierżawie, jeśli do przypisania konfiguracji używasz usługi Azure Policy. Ten proces działa tylko wtedy, gdy używasz interfejsu API REST do przypisywania konfiguracji, a konfiguracja nie jest obsługiwana w witrynie Azure Portal (ponieważ wymaga kontekstu wielodostępnego). Usługa Azure Lighthouse nie rozwiązuje tego problemu z usługą Azure Policy, chociaż można użyć usługi Azure Lighthouse jako metody uwierzytelniania.
Podczas zbierania danych w dzierżawie można analizować dane z jednej centralnej lokalizacji.
Aby wyeksportować dane do centrum zdarzeń lub obszaru roboczego usługi Log Analytics w innej dzierżawie:
W dzierżawie, która ma centrum zdarzeń lub obszar roboczy usługi Log Analytics, zaproś użytkownika z dzierżawy, który hostuje konfigurację eksportu ciągłego, lub możesz skonfigurować usługę Azure Lighthouse dla dzierżawy źródłowej i docelowej.
Jeśli używasz dostępu gościa typu business-to-business (B2B) w usłudze Microsoft Entra ID, upewnij się, że użytkownik akceptuje zaproszenie, aby uzyskać dostęp do dzierżawy jako gość.
Jeśli używasz obszaru roboczego usługi Log Analytics, przypisz użytkownika w dzierżawie obszaru roboczego jedną z następujących ról: Właściciel, Współautor, Współautor usługi Log Analytics, Współautor usługi Sentinel lub Współautor monitorowania.
Utwórz i prześlij żądanie do interfejsu API REST platformy Azure, aby skonfigurować wymagane zasoby. Należy zarządzać tokenami elementu nośnego zarówno w kontekście dzierżawy lokalnej (obszaru roboczego), jak i dzierżawy zdalnego (eksportu ciągłego).
Eksportowanie do obszaru roboczego usługi Log Analytics
Jeśli chcesz analizować dane Microsoft Defender dla Chmury wewnątrz obszaru roboczego usługi Log Analytics lub używać alertów platformy Azure wraz z alertami Defender dla Chmury, skonfiguruj eksport ciągły do obszaru roboczego usługi Log Analytics.
Tabele i schematy usługi Log Analytics
Alerty zabezpieczeń i zalecenia są przechowywane odpowiednio w tabelach SecurityAlert i SecurityRecommendation .
Nazwa rozwiązania usługi Log Analytics, które zawiera te tabele, zależy od tego, czy włączono ulepszone funkcje zabezpieczeń: Zabezpieczenia (rozwiązanie Zabezpieczenia i inspekcja) czy SecurityCenterFree.
Napiwek
Aby wyświetlić dane w docelowym obszarze roboczym, należy włączyć jedno z następujących rozwiązań: Zabezpieczenia i inspekcja lub SecurityCenterFree.
Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, zobacz Schematy tabel usługi Log Analytics.