Непрерывный экспорт данных Microsoft Defender для облака

Microsoft Defender для облака создает подробные оповещения и рекомендации по безопасности. Чтобы проанализировать сведения в этих оповещениях и рекомендациях, их можно экспортировать в Azure Log Analytics, Центры событий или другое решение SIEM, SOAR или Управления ИТ-услугами. Можно выполнять потоковую передачу оповещений и рекомендаций по мере их создания или задавать расписание для регулярной отправки моментальных снимков всех новых данных.

С помощью непрерывного экспорта выполняется полная настройка экспортируемых объектов и целевое расположение их отправки. Например, его можно настроить таким образом, чтобы:

  • все оповещения с высоким уровнем серьезности отправлялись в Центр событий Azure;
  • все оповещения со средним или более высоким уровнем серьезности, полученные при сканировании оценки уязвимостей серверов SQL Server, отправлялись в определенную рабочую область Log Analytics;
  • конкретные рекомендации отправлялись в Центр событий или рабочую область Log Analytics каждый раз, когда они создаются;
  • оценка безопасности подписки отправлялась в рабочую область Log Analytics каждый раз, когда оценка элемента управления изменяется на 0,01 или более.

В этой статье описывается, как настроить непрерывный экспорт в рабочие области Log Analytics или Центры событий Azure.

Совет

Defender для облака также предлагает возможность однократного выполнения экспорта в CSV-файл в ручном режиме. Дополнительные сведения см. в разделе Однократный экспорт оповещений и рекомендаций в ручном режиме.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены Free
Требуемые роли и разрешения
  • Администратор системы безопасности или Владелец в группе ресурсов.
  • Разрешения на запись для целевого ресурса.
  • Если вы используете политики Azure DeployIfNotExist Политики Azure, описанные ниже, вам также понадобятся разрешения для назначения политик
  • Чтобы экспортировать данные в Центры событий, потребуется разрешение на запись в Политику Центров событий.
  • Для экспорта в рабочую область Log Analytics:
    • если у вас есть решение SecurityCenterFree, вам потребуется как минимум разрешение на чтение для решения рабочей области: Microsoft.OperationsManagement/solutions/read;
    • если у вас нет решения SecurityCenterFree, вам потребуются разрешения на запись для решения рабочей области: Microsoft.OperationsManagement/solutions/action.
    • Дополнительные сведения см. в статье Решения мониторинга в Azure Monitor
Облако. Коммерческие облака
Национальные облака (Azure для государственных организаций, Azure для Китая (21Vianet))

Какие типы данных можно экспортировать?

При каждом изменении непрерывный экспорт может экспортировать следующие типы данных:

Настройка непрерывного экспорта

Непрерывный экспорт можно настроить на страницах Microsoft Defender для облака на портале Azure, с помощью REST API или в большом масштабе, используя указанные шаблоны Политики Azure. Перейдите на соответствующую вкладку ниже, чтобы получить подробные сведения о каждом варианте.

Настройка непрерывного экспорта со страниц Defender для облака на портале Azure

Приведенные ниже действия необходимы, если вы настраиваете непрерывный экспорт в Log Analytics или Центры событий Azure.

  1. В меню Defender for Cloud выберите Параметры среды.

  2. Выберите конкретную подписку, для которой необходимо настроить экспорт данных.

  3. В боковом меню на странице параметров для этой подписки щелкните Непрерывный экспорт.

    Параметры экспорта в Microsoft Defender для облака.

    Здесь отображаются параметры экспорта. Для каждого доступного целевого объекта экспорта имеется вкладка — концентратор событий или рабочая область Log Analytics.

  4. Выберите тип данных, который необходимо экспортировать, и один из фильтров для каждого типа (например, для экспорта только предупреждений с высоким уровнем серьезности).

  5. Выберите частоту экспорта:

    • Потоковая передача. Результаты оценки будут отправляться при обновлении состояния работоспособности ресурса (при отсутствии обновлений данные не отправляются).
    • Моментальные снимки. Моментальный снимок текущего состояния для выбранных типов данных будет отправляться один раз в неделю на подписку. Чтобы определить данные моментального снимка, изучите поле IsSnapshot.

    Если выбор включает одну из этих рекомендаций, можно включить результаты оценки уязвимостей вместе с ними:

    Чтобы включить результаты с этими рекомендациями, включите параметр Include security findings (Включить результаты проверки безопасности).

    Параметр

  6. В области "Экспортировать целевой объект" выберите расположение для сохранения данных. Данные можно сохранить в целевом объекте другой подписки (например, в экземпляре центрального концентратора событий или в центральной рабочей области Log Analytics).

    Также можно отправлять данные в концентратор событий или рабочую область Log Analytics в другом клиенте.

  7. Щелкните Сохранить.

Примечание

Log Analytics поддерживает записи размером не более 32 КБ. При достижении предела данных вы увидите оповещение Data limit has been exceeded.

Экспорт в рабочую область Log Analytics

Если вы хотите анализировать данные Microsoft Defender для облака в рабочей области Log Analytics или использовать оповещения Azure вместе с оповещениями Defender для облака, настройте непрерывный экспорт в рабочую область Log Analytics.

Таблицы и схемы Log Analytics

Оповещения и рекомендации по безопасности хранятся в таблицах SecurityAlert и SecurityRecommendation соответственно.

Имя решения Log Analytics, содержащего эти таблицы, зависит от того, включены ли расширенные функции безопасности: решение "Безопасность и аудит" или SecurityCenterFree.

Совет

Чтобы просмотреть данные в целевой рабочей области, необходимо включить одно из этих решений Безопасность и аудит или SecurityCenterFree.

Таблица SecurityAlert службы Log Analytics.

Схемы событий экспортируемых типов данных см. на странице схем таблиц Центров событий.

Экспорт данных в концентратор событий Azure или рабочую область Log Analytics в другом клиенте

Вы можете экспортировать данные в концентратор событий Azure или рабочую область Log Analytics в другом клиенте без использования Azure Lighthouse. При сборе данных в клиенте их можно анализировать из одного центрального расположения.

Чтобы экспортировать данные в концентратор событий Azure или рабочую область Log Analytics в другом клиенте, выполните следующие действия:

  1. В клиенте с концентратором событий Azure или рабочей областью Log Analytics пригласите пользователя из клиента, в котором размещается конфигурация непрерывного экспорта.
  2. Для рабочей области Log Analytics: после того как пользователь примет приглашение присоединиться к клиенту, назначьте пользователю в клиенте рабочей области одну из следующих ролей: владелец, участник, участник Log Analytics, участник Sentinel, участник мониторинга
  3. Настройте конфигурацию непрерывного экспорта и выберите концентратор событий или рабочую область Analytics для отправки данных.

Вы также можете настроить экспорт в другой клиент с помощью REST API. Дополнительные сведения см. в разделе REST API автоматизации.

Просмотр экспортированных оповещений и рекомендаций в Azure Monitor

Вы также можете просмотреть экспортированные оповещения системы безопасности и рекомендации в Azure Monitor.

Azure Monitor предоставляет унифицированный интерфейс оповещений для различных оповещений Azure, включая журнал диагностики, оповещения метрик и пользовательские оповещения на основе запросов к рабочим областям Log Analytics.

Чтобы просмотреть оповещения и рекомендации в Defender для облака в Azure Monitor, настройте правило создания оповещений на основе запросов Log Analytics (оповещение журнала):

  1. На странице Оповещения в Azure Monitor выберите Новое правило генерации оповещений.

    Страница оповещений Azure Monitor.

  2. На странице создания правила настройте новое правило (так же, как правило генерации оповещений журнала в Azure Monitor):

    • В поле Ресурс выберите рабочую область Log Analytics, в которую были экспортированы оповещения и рекомендации по безопасности.

    • В качестве условиявыберите Custom log search (Поиск по пользовательским журналам). На появившейся странице настройте запрос, период ретроспективного обзора и периодичность. В поисковом запросе можно ввести SecurityAlert или SecurityRecommendation, чтобы запрашивать типы данных, которые постоянно экспортируются Defender для облака при включении функции непрерывного экспорта в Log Analytics.

    • При необходимости настройте группу действий, которую требуется активировать. Группы действий могут активировать отправку электронной почты, запросы ITSM, веб-перехватчики и многое другое. Правило генерации оповещений Azure Monitor.

Теперь вы увидите новые оповещения или рекомендации Microsoft Defender для облака (в зависимости от настроенных правил для непрерывного экспорта и условия, определенных в правиле оповещения Azure Monitor) в оповещениях Azure Monitor с автоматическим запуском группы действий (если она указана).

Однократный экспорт оповещений и рекомендаций в ручном режиме

Чтобы скачать отчет в формате CSV для оповещений или рекомендаций, откройте страницу Оповещения системы безопасности или Рекомендации и нажмите кнопку Download CSV report (Скачать отчет в формате CSV).

Совет

Из-за ограничений Azure Resource Graph файл отчета может содержать не более 13 тысяч строк. Если вы видите ошибки, связанные со слишком большим объемом экспортируемых данных, попробуйте ограничить объем выходных данных, выбрав меньше подписок для экспорта.

Скачивание данных оповещений в виде CSV-файла.

Примечание

Эти отчеты содержат оповещения и рекомендации для ресурсов из выбранных на данный момент подписок.

Вопросы и ответы — непрерывный экспорт

Каковы затраты, связанные с экспортом данных?

Включение непрерывного экспорта не приводит к каким-либо затратам. Затраты могут возникнуть при приеме и хранении данных в рабочей области Log Analytics в зависимости от конфигурации.

Многие оповещения предоставляются только в том случае, если вы включили планы Defender для ресурсов. Хороший способ просмотра оповещений, которые вы получите в экспортированных данных, — это просмотреть оповещения, отображаемые на страницах Defender для облака, на портале Azure.

Ознакомьтесь с дополнительными сведениями о ценах на рабочую область Log Analytics

Ознакомьтесь с дополнительными сведениями о ценах на Центры событий Azure.

Включает ли экспорт данные о текущем состоянии всех ресурсов?

Нет. Непрерывный экспорт создан для потоковой передачи событий.

  • Оповещения, полученные до включения экспорта, экспортироваться не будут.
  • Рекомендации отправляются при каждом изменении состояния соответствия требованиям ресурса. Например, при переходе ресурса из работоспособного в неработоспособное состояние. Поэтому, как и в случае с оповещениями, рекомендации для ресурсов, состояние которых не изменялось после включения экспорта, не будут экспортированы.
  • Оценка безопасности для элемента управления безопасностью или подписки отправляется, когда оценка элемента изменяется на 0,01 или более.
  • Состояние соответствия нормативным требованиям отправляется, когда изменяется состояние соответствия ресурсов.

Почему рекомендации отправляются с разными интервалами?

Разные рекомендации имеют разные интервалы оценки соответствия, которые варьируются от нескольких минут до нескольких дней. Таким образом, время, необходимое для отображения рекомендаций в экспорте, варьируется.

Поддерживает ли непрерывный экспорт какие-либо сценарии непрерывности бизнес-процессов и аварийного восстановления (BCDR)?

Непрерывный экспорт может быть полезен для подготовки к сценариям BCDR, в которых на целевом ресурсе происходит сбой или другая авария. Однако именно организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями концентраторов событий Azure, рабочей области Log Analytics и Logic App.

Дополнительные сведения см. в статье Геоизбыточное аварийное восстановление в службе "Центры событий Azure".

Дальнейшие действия

Из этой статьи вы узнали, как настроить непрерывный экспорт рекомендаций и оповещений. Вы также узнали, как скачивать данные оповещений в виде CSV-файла.

Материалы, относящиеся к теме, см. в следующих статьях.