Exportação contínua de dados do Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem gera alertas e recomendações de segurança detalhados. Para analisar as informações nesses alertas e recomendações, você pode exportá-los para o Azure Log Analytics, para os Hubs de Eventos ou para outra solução de Gerenciamento de Serviços de TI, SOAR ou SIEM. Você pode transmitir os alertas e recomendações conforme são gerados ou definir um agendamento para enviar instantâneos periódicos de todos os novos dados.

Usando a exportação contínua, você personaliza totalmente o que será exportado e aonde irá. Por exemplo, você pode configurá-la para que:

  • Todos os alertas de alta severidade são enviados para um hub de eventos do Azure
  • Todas as conclusões de média ou alta severidade das verificações de avaliação de vulnerabilidade de seus SQL Servers são enviadas para um workspace do Log Analytics
  • As recomendações específicas são entregues a um hub de eventos ou workspace do Log Analytics sempre que são geradas
  • A pontuação segura de uma assinatura é enviada para um workspace do Log Analytics sempre que a pontuação de um controle é alterada por 0,01 ou mais

Este artigo descreve como configurar a exportação contínua para os workspaces do Log Analytics ou os hubs de eventos do Azure.

Dica

O Microsoft Defender para Nuvem também oferece a opção de executar uma única exportação manual para CSV. Saiba mais em Exportação única manual de alertas e recomendações.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Gratuita
Funções e permissões necessárias:
  • Administrador de segurança ou Proprietário no grupo de recursos
  • Permissões de gravação para o recurso de destino.
  • Se você estiver usando as políticas "DeployIfNotExist" do Azure Policy descritas abaixo, também precisará de permissões para atribuir políticas
  • Para exportar dados para os Hubs de Eventos, você precisará de permissão de gravação na política dos Hubs de Eventos.
  • Para exportar para um workspace do Log Analytics:
    • Se tiver a solução SecurityCenterFree, você precisará de um mínimo de permissões de leitura para a solução de workspace: Microsoft.OperationsManagement/solutions/read
    • Se não tiver a solução SecurityCenterFree, você precisará de permissões de leitura para a solução de workspace: Microsoft.OperationsManagement/solutions/action
    • Saiba mais sobre as Soluções de workspace do Log Analytics e do Azure Monitor
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)

Quais tipos de dados podem ser exportados?

A exportação contínua pode exportar os seguintes tipos de dados sempre que eles forem alterados:

Configurar uma exportação contínua

Você pode configurar a exportação contínua nas páginas do Microsoft Defender para Nuvem no portal do Azure, por meio da API REST ou em escala usando os modelos fornecidos do Azure Policy. Selecione a guia apropriada abaixo para obter detalhes de cada um.

Configurar a exportação contínua de páginas do Defender para Nuvem no portal do Azure

As etapas a seguir serão necessárias se você estiver configurando uma exportação contínua para o Log Analytics ou os Hubs de Eventos do Azure.

  1. No menu do Defender para Nuvem, abra Configurações de ambiente.

  2. Selecione a assinatura específica para a qual você deseja configurar a exportação de dados.

  3. Na barra lateral da página de configurações dessa assinatura, selecione Exportação contínua.

    Opções de exportação no Microsoft Defender para Nuvem.

    Aqui você vê as opções de exportação. Há uma guia para cada destino de exportação disponível, seja o hub de eventos ou o workspace do Log Analytics.

  4. Selecione o tipo de dados que você deseja exportar e escolha um dos filtros em cada tipo (por exemplo, exportar somente alertas de alta severidade).

  5. Selecione a frequência de exportação:

    • Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
    • Instantâneos – um instantâneo do estado atual dos tipos de dados selecionados será enviado uma vez por semana por assinatura. Para identificar os dados do instantâneo, procure o campo IsSnapshot.

    Se a seleção incluir uma dessas recomendações, você poderá agregar as conclusões da avaliação de vulnerabilidade:

    Para incluir as descobertas com essas recomendações, habilite a opção incluir conclusões de segurança.

    Incluir a alternância de descobertas de segurança na configuração de exportação contínua.

  6. Na área "Destino de exportação", escolha onde você deseja que os dados sejam salvos. Os dados podem ser salvos em um destino em uma assinatura diferente (por exemplo, em uma instância do Hub de Eventos ou em um workspace do Log Analytics Central).

    Você também pode enviar os dados para um hub de eventos ou workspace do Log Analytics em um locatário diferente.

  7. Selecione Salvar.

Observação

A análise de logs dá suporte a registros que têm apenas até 32 KB de tamanho. Quando o limite de dados for atingido, você verá um alerta informando que o Data limit has been exceeded.

Exportação para um workspace do Log Analytics

Se você quiser analisar os dados do Microsoft Defender para Nuvem dentro de um workspace do Log Analytics ou usar os alertas do Azure junto com os alertas do Defender para Nuvem, configure a exportação contínua do seu workspace do Log Analytics.

Tabelas e esquemas do Log Analytics

As recomendações e alertas de segurança são armazenados nas tabelas SecurityRecommendation e SecurityAlert, respectivamente.

O nome da solução do Log Analytics que contém essas tabelas depende se você habilitou os recursos de segurança aprimorada: Security ("Segurança e Auditoria") ou SecurityCenterFree.

Dica

Para ver os dados no workspace de destino, você deve habilitar uma dessas soluções Segurança e Auditoria ou SecurityCenterFree.

A tabela SecurityAlert no Log Analytics.

Para ver os esquemas de eventos dos tipos de dados exportados, visite os Esquemas da tabela do Log Analytics.

Exportar dados para um hub de eventos do Azure ou um workspace do Log Analytics em outro locatário

Você pode exportar dados para um hub de eventos do Azure ou um workspace do Log Analytics em um locatário diferente, o que pode ajudar a coletar os dados para análise central.

Para exportar dados para um hub de eventos do Azure ou um workspace do Log Analytics em um locatário diferente:

  1. No locatário que tem o hub de eventos do Azure ou o workspace do Log Analytics, convide um usuário do locatário que hospeda a configuração de exportação contínua.
  2. Para um workspace do Log Analytics: depois que o usuário aceitar o convite para ingressar no locatário, atribua uma destas funções ao usuário no locatário do workspace: Proprietário, Colaborador, Colaborador do Log Analytics, Colaborador do Sentinel, Colaborador de Monitoramento
  3. Defina a configuração de exportação contínua e selecione o hub de eventos ou o workspace de Análise para o qual os dados serão enviados.

Exibir as recomendações e os alertas exportados no Azure Monitor

Você também pode optar por exibir as recomendações e/ou os Alertas de Segurança exportados no Azure Monitor.

O Azure Monitor fornece uma experiência de alerta unificada para vários alertas do Azure, incluindo Log de Diagnóstico, Alertas de métrica e alertas personalizados com base nas consultas de workspace do Log Analytics.

Para exibir recomendações e alertas do Defender para Nuvem no Azure Monitor, configure uma regra de alerta com base nas consultas do Log Analytics (Alerta de Log):

  1. Na página Alertas do Azure monitor, selecione Nova regra de alerta.

    Página de alertas do Azure Monitor.

  2. Na página Criar regra, configure a nova regra (da mesma maneira que você configurou uma Regra de alerta de log no Azure Monitor):

    • Em Recurso, selecione o workspace do Log Analytics para o qual você exportou as recomendações e alertas de segurança.

    • Em Condição, selecione Pesquisa de logs personalizada. Na página que aparece, configure a consulta, o período retroativo e o período de frequência. Na consulta de pesquisa, digite SecurityAlert ou SecurityRecommendation para consultar os tipos de dados que o Defender para Nuvem exporta continuamente quando você habilita o recurso Exportação contínua para o Log Analytics.

    • Opcionalmente, configure o Grupo de Ações que você gostaria de disparar. Os grupos de ações podem disparar envio de email, tíquetes de ITSM, WebHooks e muito mais. Regra de alerta do Azure Monitor.

Agora, você verá novas recomendações ou alertas do Microsoft Defender para Nuvem, dependendo de suas regras de exportação contínua configuradas e da condição que você definiu na regra de alerta do Azure Monitor, nos alertas do Azure Monitor, com o disparo automático de um grupo de ações (se fornecido).

Exportação única manual de recomendações e alertas

Para baixar um relatório CSV com recomendações ou alertas, abra a página Alertas de segurança ou Recomendações e selecione o botão Baixar relatório CSV.

Dica

Devido às limitações do Azure Resource Graph, os relatórios são limitados a um tamanho de arquivo de 13 mil linhas. Se você estiver vendo erros relacionados a muitos dados sendo exportados, tente limitar a saída selecionando um conjunto menor de assinaturas a serem exportadas.

Baixar dados de alertas como um arquivo CSV.

Observação

Esses relatórios contêm recomendações e alertas para recursos das assinaturas atualmente selecionadas.

Perguntas frequentes – exportação contínua

Quais são os custos envolvidos na exportação de dados?

Não há custos para habilitar uma exportação contínua. Os custos podem ser incorridos para ingestão e retenção de dados no workspace do Log Analytics, dependendo da configuração.

Muitos alertas são fornecidos somente quando você habilita os planos do Defender para os recursos. Uma boa maneira de visualizar os alertas que você obterá em seus dados exportados é ver os alertas mostrados nas páginas do Defender para Nuvem no portal do Azure.

Saiba mais sobre o preço do workspace do Log Analytics.

Saiba mais sobre o preço dos Hubs de Eventos do Azure.

A exportação inclui dados sobre o estado atual de todos os recursos?

Não. A exportação contínua é criada para fazer streaming de eventos:

  • Os alertas recebidos antes de habilitar a exportação não serão exportados.
  • As recomendações são enviadas sempre que o estado de conformidade de um recurso é alterado. Por exemplo, quando um recurso muda de íntegro para não íntegro. Portanto, assim como os alertas, as recomendações para recursos que não mudaram de estado desde que você habilitou a exportação não serão exportadas.
  • A Pontuação segura por controle de segurança ou assinatura é enviada quando a pontuação de um controle de segurança for alterada em 0,01 ou mais.
  • O Status de conformidade regulatória é enviado quando o status de conformidade do recurso é alterado.

Por que as recomendações são enviadas em intervalos diferentes?

Diferentes recomendações têm diferentes intervalos de avaliação de conformidade, que podem variar de alguns minutos a alguns dias. Portanto, o tempo necessário para que as recomendações sejam exibidas nas exportações varia.

A exportação contínua é compatível com qualquer cenário de BCDR (continuidade dos negócios e recuperação de desastres)?

A exportação contínua pode ser útil para se preparar para cenários de BCDR, em que o recurso de destino está enfrentando uma interrupção ou outro desastre. No entanto, a organização é responsável por evitar a perda de dados, estabelecendo backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e do Aplicativo Lógico.

Saiba mais em Hubs de Eventos do Azure – recuperação de desastre geográfico.

Próximas etapas

Neste artigo, você aprendeu a configurar as exportações contínuas das suas recomendações e alertas. Você também aprendeu a fazer download dos dados de alertas como um arquivo CSV.

Para ver os materiais relacionados, confira a seguinte documentação: