Usar conexões de dados

Este artigo discute o recurso de conexões de dados no Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (Defender EASM).

Visão geral

O Defender EASM agora oferece conexões de dados para ajudá-lo a integrar perfeitamente seus dados da superfície de ataque a outras soluções da Microsoft para complementar os fluxos de trabalho existentes com novos insights. Você deve obter dados do Defender EASM nas outras ferramentas de segurança usadas para fins de correção para fazer o melhor uso dos dados da superfície de ataque.

O conector de dados envia dados de ativos do Defender EASM para duas plataformas diferentes: Log Analytics e Azure Data Explorer. Você precisa exportar dados do Defender EASM para qualquer ferramenta. As conexões de dados estão sujeitas ao modelo de preços para cada plataforma respectiva.

O Log Analytics fornece informações de segurança e gerenciamento de eventos e recursos de orquestração, automação e resposta de segurança. Informações de ativos ou insights do Defender EASM podem ser usadas no Log Analytics para enriquecer fluxos de trabalho existentes com outros dados de segurança. Essas informações podem complementar informações de firewall e configuração, inteligência contra ameaças e dados de conformidade para fornecer visibilidade sobre sua infraestrutura voltada para o externo na Internet aberta.

Você pode:

• Criar ou enriquecer incidentes de segurança.
• Criar guias estratégicos de investigação.
• Treinar algoritmos de machine learning.
• Disparar ações de correção.

O Azure Data Explorer é uma plataforma de análise de Big Data que ajuda a analisar grandes volumes de dados de várias fontes com recursos flexíveis de personalização. Os dados de ativos e insights do Defender EASM podem ser integrados para usar recursos de visualização, consulta, ingestão e gerenciamento dentro da plataforma.

Se você estiver criando relatórios personalizados com o Power BI ou buscando ativos que correspondam a consultas KQL precisas, exportar dados do Defender EASM para o Azure Data Explorer permite que você use seus dados de superfície de ataque com um potencial de personalização sem fim.

Opções de conteúdo de dados

As conexões de dados do Defender EASM oferecem a capacidade de integrar dois tipos diferentes de dados de superfície de ataque à ferramenta de sua escolha. Você pode optar por migrar dados de ativos, insights de superfície de ataque ou ambos os tipos de dados. Os dados do ativo fornecem detalhes granulares sobre todo o inventário. Os insights da superfície de ataque fornecem insights imediatamente acionáveis com base nos painéis do Defender EASM.

Para apresentar com precisão a infraestrutura mais importante para sua organização, ambas as opções de conteúdo incluem apenas ativos no estado inventário aprovado .

Dados do ativo: a opção Dados do Ativo envia dados sobre todos os ativos de inventário para a ferramenta de sua escolha. Essa opção é melhor para casos de uso em que os metadados subjacentes granulares são fundamentais para a integração do Defender EASM. Exemplos incluem o Microsoft Sentinel ou relatórios personalizados no Azure Data Explorer. Você pode exportar contexto de alto nível em cada ativo no inventário e detalhes granulares específicos para o tipo de ativo específico.

Essa opção não fornece insights predeterminados sobre os ativos. Em vez disso, ele oferece uma quantidade expansiva de dados para que você possa encontrar os insights personalizados com os quais mais se importa.

Insights da superfície de ataque: os insights da superfície de ataque fornecem um conjunto acionável de resultados com base nos principais insights fornecidos por meio de painéis no Defender EASM. Essa opção fornece metadados menos granulares em cada ativo. Ele categoriza ativos com base nos insights correspondentes e fornece o contexto de alto nível necessário para investigar mais. Essa opção é ideal se você quiser integrar esses insights predeterminados a fluxos de trabalho de relatórios personalizados com dados de outras ferramentas.

Visões gerais de configuração

Esta seção apresenta informações gerais sobre a configuração.

Acessar conexões de dados

No painel mais à esquerda no painel de recursos do Defender EASM, em Gerenciar, selecione Conexões de Dados. Esta página exibe os conectores de dados do Log Analytics e do Azure Data Explorer. Ele lista todas as conexões atuais e fornece a opção de adicionar, editar ou remover conexões.

Pré-requisitos de conexão

Para criar uma conexão de dados com êxito, primeiro você deve garantir que concluiu as etapas necessárias para conceder permissão do Defender EASM à ferramenta de sua escolha. Esse processo permite que o aplicativo ingera seus dados exportados. Ele também fornece as credenciais de autenticação necessárias para configurar a conexão.

Configurar permissões do Log Analytics

1. Abra o workspace do Log Analytics que ingerirá seus dados do Defender EASM ou criará um novo workspace.

2. No painel mais à esquerda, em Configurações, selecione Agentes.

   

3. Expanda a seção Instruções do agente do Log Analytics para exibir a ID do workspace e a chave primária. Esses valores são usados para configurar sua conexão de dados.

O uso dessa conexão de dados está sujeito à estrutura de preços do Log Analytics. Para saber mais, confira Preço do Azure Monitor.

Configurar permissões de Data Explorer do Azure

Verifique se a entidade de serviço de API do Defender EASM tem acesso às funções corretas no banco de dados em que você deseja exportar os dados da superfície de ataque. Primeiro, verifique se o recurso do Defender EASM foi criado no locatário apropriado porque essa ação provisiona a entidade de segurança da API do EASM.

1. Abra o cluster Data Explorer do Azure que ingerirá seus dados do Defender EASM ou criará um novo cluster.

2. No painel mais à esquerda, em Dados, selecione Bancos de dados.

3. Selecione Adicionar Banco de Dados para criar um banco de dados para abrigar seus dados do Defender EASM.

   

4. Nomeie seu banco de dados, configure períodos de retenção e cache e selecione Criar.

   

5. Depois que o banco de dados do Defender EASM for criado, selecione o nome do banco de dados para abrir a página de detalhes. No painel mais à esquerda, em Visão geral, selecione Permissões. Para exportar com êxito os dados do Defender EASM para o Azure Data Explorer, você deve criar duas novas permissões para a API do EASM: usuário e ingestor.

   

6. Selecione Adicionar e crie um usuário. Pesquise a API do EASM, selecione o valor e escolha Selecionar.

7. Selecione Adicionar para criar um ingestor. Siga as mesmas etapas descritas anteriormente para adicionar a API do EASM como um ingestor.

8. Seu banco de dados agora está pronto para se conectar ao Defender EASM. Você precisa do nome do cluster, do nome do banco de dados e da região ao configurar a conexão de dados.

Adicionar uma conexão de dados

Você pode conectar seus dados do Defender EASM ao Log Analytics ou ao Azure Data Explorer. Para fazer isso, selecione Adicionar conexão para a ferramenta apropriada na página Conexões de Dados .

Um painel de configuração é aberto no lado direito da página Conexões de Dados . Os campos a seguir são necessários para cada ferramenta respectiva.

Log Analytics

• Nome: insira um nome para essa conexão de dados.

• ID do workspace: insira a ID do workspace para a instância do Log Analytics em que você deseja exportar dados do Defender EASM.

• Chave de API: insira a chave de API para a instância do Log Analytics.

• Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou ambos os conjuntos de dados.

• Frequência: selecione a frequência que a conexão do Defender EASM usa para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diárias, semanais e mensais.

  

Azure Data Explorer

• Nome: insira um nome para essa conexão de dados.

• Nome do cluster: insira o nome do cluster Data Explorer do Azure no qual você deseja exportar dados do Defender EASM.

• Região: insira a região do cluster Data Explorer do Azure.

• Nome do banco de dados: insira o nome do banco de dados desejado.

• Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou ambos os conjuntos de dados.

• Frequência: selecione a frequência que a conexão do Defender EASM usa para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diárias, semanais e mensais.

  

  Depois que todos os campos forem configurados, selecione Adicionar para criar a conexão de dados. Neste ponto, a página Conexões de Dados exibe uma faixa que indica que o recurso foi criado com êxito. Em 30 minutos, os dados começam a ser preenchidos. Depois que as conexões são criadas, elas são listadas na ferramenta aplicável na página conexões de dados main.

Editar ou excluir uma conexão de dados

Você pode editar ou excluir uma conexão de dados. Por exemplo, você pode observar que uma conexão está listada como Desconectada. Nesse caso, você precisa recuar novamente os detalhes de configuração para corrigir o problema.

Para editar ou excluir uma conexão de dados:

1. Selecione a conexão apropriada na lista na página main Conexões de Dados.

   

2. Uma página é aberta que fornece mais dados sobre a conexão. Ele exibe as configurações escolhidas quando você criou a conexão e as mensagens de erro. Você também verá os seguintes dados:

   • Recorrente em: o dia da semana ou mês em que o Defender EASM envia dados atualizados para a ferramenta conectada.

   • Criado: a data e a hora em que a conexão de dados foi criada.

   • Atualizado: a data e a hora em que a conexão de dados foi atualizada pela última vez.

     

3. Nesta página, você pode reconectar, editar ou excluir sua conexão de dados.

   • Reconectar: tenta validar a conexão de dados sem nenhuma alteração na configuração. Essa opção será melhor se você validar as credenciais de autenticação usadas para a conexão de dados.
   • Editar: permite alterar a configuração da conexão de dados.
   • Excluir: exclui a conexão de dados.