Konfigurowanie eksportu ciągłego w witrynie Azure Portal

Microsoft Defender dla Chmury generuje szczegółowe alerty zabezpieczeń i zalecenia. Aby przeanalizować informacje w tych alertach i zaleceniach, możesz je wyeksportować do usługi Log Analytics w usłudze Azure Monitor, do usługi Azure Event Hubs lub do innego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) lub klasycznego rozwiązania modelu wdrażania IT. Alerty i zalecenia można przesyłać strumieniowo podczas ich generowania lub definiować harmonogram wysyłania okresowych migawek wszystkich nowych danych.

W tym artykule opisano sposób konfigurowania eksportu ciągłego do obszaru roboczego usługi Log Analytics lub centrum zdarzeń na platformie Azure.

Napiwek

Defender dla Chmury oferuje również opcję jednorazowego ręcznego eksportowania do pliku wartości rozdzielanych przecinkami (CSV). Dowiedz się, jak pobrać plik CSV.

Wymagania wstępne

• Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

• Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.

Wymagane role i uprawnienia:

• Administrator zabezpieczeń lub właściciel grupy zasobów
• Uprawnienia do zapisu dla zasobu docelowego.
• Jeśli używasz zasad Azure Policy DeployIfNotExist, musisz mieć uprawnienia, które umożliwiają przypisywanie zasad.
• Aby wyeksportować dane do usługi Event Hubs, musisz mieć uprawnienia do zapisu w zasadach usługi Event Hubs.
• Aby wyeksportować do obszaru roboczego usługi Log Analytics:

  • Jeśli ma ono rozwiązanie SecurityCenterFree, musisz mieć co najmniej uprawnienia do odczytu dla rozwiązania obszaru roboczego: Microsoft.OperationsManagement/solutions/read.

  • Jeśli nie ma rozwiązania SecurityCenterFree, musisz mieć uprawnienia do zapisu dla rozwiązania obszaru roboczego: Microsoft.OperationsManagement/solutions/action.

    Dowiedz się więcej o rozwiązaniach obszarów roboczych usługi Azure Monitor i Log Analytics.

Konfigurowanie eksportu ciągłego w witrynie Azure Portal

Eksport ciągły można skonfigurować na stronach Microsoft Defender dla Chmury w witrynie Azure Portal przy użyciu interfejsu API REST lub na dużą skalę przy użyciu udostępnionych szablonów usługi Azure Policy.

Aby skonfigurować eksport ciągły do usługi Log Analytics lub Azure Event Hubs przy użyciu witryny Azure Portal:

1. W menu zasobów Defender dla Chmury wybierz pozycję Ustawienia środowiska.

2. Wybierz subskrypcję, dla której chcesz skonfigurować eksport danych.

3. W menu zasobów w obszarze Ustawienia wybierz pozycję Eksport ciągły.

   

   Pojawią się opcje eksportu. Istnieje karta dla każdego dostępnego miejsca docelowego eksportu— centrum zdarzeń lub obszaru roboczego usługi Log Analytics.

4. Wybierz typ danych, który chcesz wyeksportować, i wybierz spośród filtrów dla każdego typu (na przykład wyeksportuj tylko alerty o wysokiej ważności).

5. Wybierz częstotliwość eksportowania:

   • Przesyłanie strumieniowe. Oceny są wysyłane po zaktualizowaniu stanu kondycji zasobu (jeśli nie wystąpią żadne aktualizacje, żadne dane nie są wysyłane).
   • Migawki. Migawka bieżącego stanu wybranych typów danych, które są wysyłane raz w tygodniu na subskrypcję. Aby zidentyfikować dane migawki, poszukaj pola IsSnapshot.

   Jeśli wybór zawiera jedną z tych rekomendacji, możesz uwzględnić wyniki oceny luk w zabezpieczeniach z nimi:

   • Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
   • Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
   • Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys)
   • Maszyny powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
   • Aktualizacje systemu powinny być instalowane na maszynach

   Aby uwzględnić wyniki z tymi zaleceniami, ustaw opcję Uwzględnij wyniki zabezpieczeń na Wartość Tak.

   

6. W obszarze Eksportuj element docelowy wybierz miejsce, w którym chcesz zapisać dane. Dane można zapisywać w lokalizacji docelowej innej subskrypcji (na przykład w centralnym wystąpieniu usługi Event Hubs lub w centralnym obszarze roboczym usługi Log Analytics).

   Możesz również wysłać dane do centrum zdarzeń lub obszaru roboczego usługi Log Analytics w innej dzierżawie

7. Wybierz pozycję Zapisz.

Uwaga

Usługa Log Analytics obsługuje tylko rekordy o rozmiarze do 32 KB. Po osiągnięciu limitu danych alert wyświetla komunikat Limit danych został przekroczony.

Powiązana zawartość

W tym artykule przedstawiono sposób konfigurowania ciągłych eksportów rekomendacji i alertów. Przedstawiono również sposób pobierania danych alertów jako pliku CSV.

Aby wyświetlić powiązaną zawartość:

• Dowiedz się więcej o szablonach automatyzacji przepływu pracy.
• Zapoznaj się z dokumentacją usługi Azure Event Hubs.
• Dowiedz się więcej o usłudze Microsoft Sentinel.
• Zapoznaj się z dokumentacją usługi Azure Monitor.
• Dowiedz się, jak eksportować schematy typów danych.
• Zapoznaj się z typowymi pytaniami dotyczącymi eksportu ciągłego.