Share via

Utilizar ligações de dados

  • Artigo

Este artigo aborda a funcionalidade de ligações de dados no Gestão da superfície de ataques externos do Microsoft Defender (Defender EASM).

Descrição Geral

O Defender EASM oferece agora ligações de dados para o ajudar a integrar totalmente os dados da superfície de ataque noutras soluções da Microsoft para complementar os fluxos de trabalho existentes com novas informações. Tem de obter dados do Defender EASM para as outras ferramentas de segurança que utiliza para fins de remediação para tirar o melhor partido dos dados da superfície de ataque.

O conector de dados envia dados de recursos do Defender EASM para duas plataformas diferentes: o Log Analytics e o Azure Data Explorer. Tem de exportar dados do Defender EASM para qualquer uma das ferramentas. As ligações de dados estão sujeitas ao modelo de preços de cada plataforma.

O Log Analytics fornece informações de segurança e gestão de eventos e capacidades de orquestração, automatização e resposta de segurança. As informações de informações ou recursos do Defender EASM podem ser utilizadas no Log Analytics para melhorar os fluxos de trabalho existentes com outros dados de segurança. Estas informações podem complementar as informações de firewall e configuração, informações sobre ameaças e dados de conformidade para fornecer visibilidade sobre a sua infraestrutura externa na Internet aberta.

Pode:

  • Criar ou enriquecer incidentes de segurança.
  • Crie manuais de procedimentos de investigação.
  • Preparar algoritmos de machine learning.
  • Acionar ações de remediação.

O Azure Data Explorer é uma plataforma de análise de macrodados que o ajuda a analisar grandes volumes de dados de várias origens com capacidades de personalização flexíveis. Os dados de informações e recursos do Defender EASM podem ser integrados para utilizar capacidades de visualização, consulta, ingestão e gestão na plataforma.

Quer esteja a criar relatórios personalizados com o Power BI ou a procurar recursos que correspondam a consultas KQL precisas, a exportação de dados do Defender EASM para o Azure Data Explorer permite-lhe utilizar os dados da superfície de ataque com um potencial de personalização interminável.

Opções de conteúdo de dados

As ligações de dados do Defender EASM oferecem-lhe a capacidade de integrar dois tipos diferentes de dados de superfície de ataque na ferramenta à sua escolha. Pode optar por migrar dados de ativos, informações do surface de ataque ou ambos os tipos de dados. Os dados do recurso fornecem detalhes granulares sobre todo o inventário. As informações do surface de ataque fornecem informações acionáveis imediatamente com base nos dashboards do Defender EASM.

Para apresentar com precisão a infraestrutura mais importante para a sua organização, ambas as opções de conteúdo incluem apenas recursos no estado inventário Aprovado .

Dados do recurso: a opção Dados do Recurso envia dados sobre todos os seus recursos de inventário para a ferramenta à sua escolha. Esta opção é a melhor para casos de utilização em que os metadados subjacentes granulares são fundamentais para a integração do Defender EASM. Os exemplos incluem o Microsoft Sentinel ou relatórios personalizados no Azure Data Explorer. Pode exportar contexto de alto nível em todos os recursos no inventário e detalhes granulares específicos do tipo de recurso específico.

Esta opção não fornece informações predeterminadas sobre os recursos. Em vez disso, oferece uma quantidade expansiva de dados para que possa encontrar as informações personalizadas que mais lhe interessam.

Informações da superfície de ataque: as informações da superfície de ataque fornecem um conjunto acionável de resultados com base nas principais informações fornecidas através de dashboards no Defender EASM. Esta opção fornece metadados menos granulares em cada recurso. Categoriza os recursos com base nas informações correspondentes e fornece o contexto de alto nível necessário para investigar mais aprofundadamente. Esta opção é ideal se quiser integrar estas informações predeterminadas em fluxos de trabalho de relatórios personalizados com dados de outras ferramentas.

Descrições geral da configuração

Esta secção apresenta informações gerais sobre a configuração.

Aceder a ligações de dados

No painel mais à esquerda do painel de recursos do Defender EASM, em Gerir, selecione Ligações de Dados. Esta página apresenta os conectores de dados do Log Analytics e do Azure Data Explorer. Lista quaisquer ligações atuais e fornece a opção para adicionar, editar ou remover ligações.

Captura de ecrã que mostra a página Ligações de dados.

Pré-requisitos de ligação

Para criar uma ligação de dados com êxito, primeiro tem de garantir que concluiu os passos necessários para conceder permissão ao Defender EASM à ferramenta à sua escolha. Este processo permite à aplicação ingerir os dados exportados. Também fornece as credenciais de autenticação necessárias para configurar a ligação.

Configurar permissões do Log Analytics

  1. Abra a área de trabalho do Log Analytics que irá ingerir os dados do Defender EASM ou criar uma nova área de trabalho.

  2. No painel mais à esquerda, em Definições, selecione Agentes.

    Captura de ecrã que mostra os agentes do Log Analytics.

  3. Expanda a secção instruções do agente do Log Analytics para ver o ID da área de trabalho e a chave primária. Estes valores são utilizados para configurar a sua ligação de dados.

A utilização desta ligação de dados está sujeita à estrutura de preços do Log Analytics. Para obter mais informações, veja Preços do Azure Monitor.

Configurar permissões de Data Explorer do Azure

Certifique-se de que o principal de serviço da API do Defender EASM tem acesso às funções corretas na base de dados onde pretende exportar os dados da superfície de ataque. Primeiro, certifique-se de que o recurso EASM do Defender foi criado no inquilino adequado porque esta ação aprovisiona o principal da API EASM.

  1. Abra o cluster do Azure Data Explorer que irá ingerir os dados do Defender EASM ou criar um novo cluster.

  2. No painel mais à esquerda, em Dados, selecione Bases de Dados.

  3. Selecione Adicionar Base de Dados para criar uma base de dados para alojar os dados do Defender EASM.

    Captura de ecrã a mostrar o Azure Data Explorer Adicionar base de dados.

  4. Dê um nome à base de dados, configure períodos de retenção e cache e selecione Criar.

    Captura de ecrã que mostra a criação de uma nova base de dados.

  5. Depois de criar a base de dados do Defender EASM, selecione o nome da base de dados para abrir a página de detalhes. No painel mais à esquerda, em Descrição geral, selecione Permissões. Para exportar com êxito dados do Defender EASM para o Azure Data Explorer, tem de criar duas novas permissões para a API EASM: utilizador e ingestor.

    Captura de ecrã que mostra as permissões de Data Explorer do Azure.

  6. Selecione Adicionar e crie um utilizador. Procure API EASM, selecione o valor e selecione Selecionar.

  7. Selecione Adicionar para criar um ingestor. Siga os mesmos passos descritos anteriormente para adicionar a API EASM como um ingestor.

  8. A base de dados está agora pronta para ligar ao Defender EASM. Precisa do nome do cluster, do nome da base de dados e da região quando configurar a ligação de dados.

Adicionar uma ligação de dados

Pode ligar os dados do Defender EASM ao Log Analytics ou ao Azure Data Explorer. Para tal, selecione Adicionar ligação para a ferramenta adequada na página Ligações de Dados .

É aberto um painel de configuração no lado direito da página Ligações de Dados . São necessários os seguintes campos para cada ferramenta.

Log Analytics

  • Nome: introduza um nome para esta ligação de dados.

  • ID da área de trabalho: introduza o ID da área de trabalho da instância do Log Analytics onde pretende exportar dados do Defender EASM.

  • Chave de API: introduza a chave de API da instância do Log Analytics.

  • Conteúdo: selecione para integrar dados de ativos, informações do surface de ataque ou ambos os conjuntos de dados.

  • Frequência: selecione a frequência que a ligação do Defender EASM utiliza para enviar dados atualizados para a ferramenta à sua escolha. As opções disponíveis são diárias, semanais e mensais.

    Captura de ecrã que mostra o ecrã Adicionar ligação de dados para o Log Analytics.

Azure Data Explorer

  • Nome: introduza um nome para esta ligação de dados.

  • Nome do cluster: introduza o nome do cluster do Azure Data Explorer onde pretende exportar dados do Defender EASM.

  • Região: introduza a região do cluster do Azure Data Explorer.

  • Nome da base de dados: introduza o nome da base de dados pretendida.

  • Conteúdo: selecione para integrar dados de ativos, informações do surface de ataque ou ambos os conjuntos de dados.

  • Frequência: selecione a frequência que a ligação do Defender EASM utiliza para enviar dados atualizados para a ferramenta à sua escolha. As opções disponíveis são diárias, semanais e mensais.

    Captura de ecrã que mostra o ecrã Adicionar ligação de dados para o Azure Data Explorer.

    Depois de configurar todos os campos, selecione Adicionar para criar a ligação de dados. Neste momento, a página Ligações de Dados apresenta uma faixa que indica que o recurso foi criado com êxito. Em 30 minutos, os dados começam a ser preenchidos. Após a criação das ligações, são listadas na ferramenta aplicável na página principal Ligações de Dados .

Editar ou eliminar uma ligação de dados

Pode editar ou eliminar uma ligação de dados. Por exemplo, poderá reparar que uma ligação está listada como Desligada. Neste caso, tem de reintroduzir os detalhes de configuração para corrigir o problema.

Para editar ou eliminar uma ligação de dados:

  1. Selecione a ligação adequada na lista na página principal Ligações de Dados .

    Captura de ecrã a mostrar ligações de dados desligadas.

  2. É aberta uma página que fornece mais dados sobre a ligação. Apresenta as configurações que escolheu quando criou a ligação e quaisquer mensagens de erro. Também verá os seguintes dados:

    • Recorrente em: o dia da semana ou do mês em que o Defender EASM envia dados atualizados para a ferramenta ligada.

    • Criado: a data e hora em que a ligação de dados foi criada.

    • Atualizado: a data e hora em que a ligação de dados foi atualizada pela última vez.

      Captura de ecrã que mostra as ligações de teste.

  3. A partir desta página, pode voltar a ligar, editar ou eliminar a ligação de dados.

    • Restabelecer ligação: tenta validar a ligação de dados sem quaisquer alterações à configuração. Esta opção é melhor se validar as credenciais de autenticação utilizadas para a ligação de dados.
    • Editar: permite-lhe alterar a configuração da ligação de dados.
    • Eliminar: elimina a ligação de dados.