Como exportar alertas e recomendações com exportação contínua
O Microsoft Defender para Nuvem fornece exportação contínua de dados de segurança. Esse recurso permite transmitir dados de segurança para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para outro SIEM (gerenciamento de eventos e informações de segurança), SOAR (resposta automatizada de orquestração de segurança) ou solução de modelo de implantação clássica de TI. Você pode analisar e visualizar os dados usando os logs do Azure Monitor e outros recursos do Azure Monitor.
Ao configurar a exportação contínua, é possível personalizar totalmente quais informações exportar e para onde as informações vão. Por exemplo, você pode configurá-la para que:
- Todos os alertas de alta severidade são enviados para um hub de eventos do Azure.
- Todas as descobertas de média ou alta severidade das verificações de avaliação de vulnerabilidade dos seus computadores que executam o SQL Server são enviadas para um workspace específico do Log Analytics.
- As recomendações específicas são entregues a um hub de eventos ou workspace do Log Analytics sempre que são geradas.
- A pontuação segura de uma assinatura é enviada para um workspace do Log Analytics sempre que a pontuação de um controle é alterada para 0,01 ou mais.
Quais tipos de dados podem ser exportados?
Use a exportação contínua para exportar os seguintes tipos de dados sempre que eles forem alterados:
- Recomendações de segurança.
- Severidade da recomendação.
- Resultados de segurança.
- Classificação de segurança.
- Controles.
- Alertas de segurança.
- Conformidade regulatória.
- Caminhos de ataque
Gravidade da recomendação, descobertas de segurança e controles são subcategorias que pertencem a uma categoria de pai. Por exemplo:
- Cada uma das recomendações As atualizações do sistema devem ser instaladas em seus computadores (da plataforma do Centro de Atualizações) e As atualizações do sistema devem ser instaladas em seus computadores, tem uma recomendação "secundária" por atualização do sistema pendente.
- A recomendação As vulnerabilidades encontradas em seus computadores devem ser corrigidas, tem uma recomendação "secundária" para cada vulnerabilidade que o verificador de vulnerabilidades identifica.
Observação
Caso esteja configurando a exportação contínua usando a API REST, inclua sempre o pai com as descobertas.
Exportar dados para um hub de eventos ou um workspace do Log Analytics em outro locatário
Você não poderá configurar dados a serem exportados para um workspace do Log Analytics em outro locatário caso use o Azure Policy para atribuir a configuração. Esse processo só funciona ao usar a API REST para atribuir a configuração e a configuração não tem suporte no portal do Azure (porque requer um contexto multilocatário). O Azure Lighthouse não resolve esse problema com o Azure Policy, embora você possa usá-lo como o método de autenticação.
Ao coletar dados em um locatário, você poderá analisar os dados de um local central.
Para exportar dados para um hub de eventos ou um workspace do Log Analytics em um locatário diferente:
No locatário que tem o hub de eventos ou o workspace do Log Analytics, convide um usuário do locatário que hospeda a configuração de exportação contínua ou você pode configurar o Azure Lighthouse para o locatário de origem e destino.
Caso use o acesso de usuário convidado B2B (entre empresas) no Microsoft Entra ID, verifique se o usuário aceita o convite para acessar o locatário como convidado.
Caso use um workspace do Log Analytics, atribua ao usuário no locatário do workspace uma destas funções: Proprietário, Colaborador, Colaborador do Log Analytics, Colaborador do Sentinel ou Colaborador de Monitoramento.
Crie e envie a solicitação para a API REST do Azure para configurar os recursos necessários. Você deverá gerenciar os tokens de portador no contexto do locatário local (workspace) e do locatário remoto (exportação contínua).
Exportar para um workspace do Log Analytics
Se você quiser analisar os dados do Microsoft Defender para Nuvem dentro de um workspace do Log Analytics ou usar os alertas do Azure junto com os alertas do Defender para Nuvem, configure a exportação contínua do seu workspace do Log Analytics.
Tabelas e esquemas do Log Analytics
As recomendações e alertas de segurança são armazenados nas tabelas SecurityRecommendation e SecurityAlert, respectivamente.
O nome da solução do Log Analytics que contém essas tabelas depende se você habilitou os recursos de segurança aprimorada: segurança (a solução Segurança e Auditoria) ou SecurityCenterFree.
Dica
Para visualizar os dados no workspace de destino, habilite uma dessas soluções: Segurança e Auditoria ou SecurityCenterFree.
Para ver os esquemas de eventos dos tipos de dados exportados, consulte os Esquemas da tabela do Log Analytics.