Exibir dados exportados no Azure Monitor
Depois de configurar a exportação contínua de alertas e recomendações de segurança do Microsoft Defender for Cloud, você pode exibir os dados no Azure Monitor. Este artigo descreve como exibir os dados no Log Analytics ou nos Hubs de Eventos do Azure.
Pré-requisitos
- Configure a exportação contínua no portal do Azure ou configure a exportação contínua com a Política do Azure ou configure a exportação contínua com a API REST.
Exibir alertas e recomendações exportados no Azure Monitor
O Azure Monitor fornece uma experiência de alerta unificada para vários alertas do Azure, incluindo um log de diagnóstico, alertas de métricas e alertas personalizados baseados em consultas de espaço de trabalho do Log Analytics.
Para exibir alertas e recomendações do Defender for Cloud no Azure Monitor, configure uma regra de alerta baseada em consultas do Log Analytics (uma regra de alerta de log).
Para configurar uma regra de alerta:
Inicie sessão no portal do Azure.
Procure e selecione Monitor.
Selecione Alertas.
Selecione Nova regra de alerta.
Configure sua nova regra da mesma forma que configuraria uma regra de alerta de log no Azure Monitor:
Em Recurso, selecione o espaço de trabalho do Log Analytics para o qual você exportou alertas e recomendações de segurança.
Em Condição, selecione Pesquisa de log personalizada. Na página exibida, configure a consulta, o período de retrospetiva e o período de frequência. Na consulta de pesquisa, pode introduzir SecurityAlert ou SecurityRecommendation para consultar os tipos de dados para os quais o Defender for Cloud exporta continuamente à medida que ativa a exportação contínua para a funcionalidade Log Analytics.
Opcionalmente, crie um grupo de ações para disparar. Os grupos de ação podem automatizar o envio de um e-mail, a criação de um tíquete ITSM, a execução de um webhook e muito mais, com base em um evento em seu ambiente.
Os alertas ou recomendações do Defender for Cloud aparecem (dependendo das regras de exportação contínua configuradas e da condição definida na regra de alerta do Azure Monitor) nos alertas do Azure Monitor, com acionamento automático de um grupo de ações (se fornecido).