Настройка непрерывного экспорта в портал Azure

Microsoft Defender для облака создает подробные оповещения и рекомендации по безопасности. Чтобы проанализировать сведения, которые содержатся в этих оповещениях и рекомендациях, можно экспортировать их в Log Analytics в Azure Monitor, в Центры событий Azure или в другое решение для управления сведениями и событиями безопасности (SIEM), автоматизированное реагирование оркестрации безопасности (SOAR) или решение модели классического развертывания ИТ. Вы можете выполнять потоковую передачу оповещений и рекомендаций по мере их создания или определения расписания для отправки периодических моментальных снимков всех новых данных.

В этой статье описывается, как настроить непрерывный экспорт в рабочую область Log Analytics или в концентратор событий в Azure.

Совет

Defender для облака также предлагает возможность однократного экспорта вручную в CSV-файл. Узнайте, как скачать CSV-файл.

Необходимые компоненты

• Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.

• Необходимо включить Microsoft Defender для облака в подписке Azure.

Требуемые роли и разрешения

• Безопасность Администратор или владельца группы ресурсов
• Разрешения на запись для целевого ресурса.
• Если вы используете политики Политика Azure DeployIfNotExist, у вас должны быть разрешения, позволяющие назначать политики.
• Чтобы экспортировать данные в Центры событий, необходимо иметь разрешения на запись в политике Центров событий.
• Экспорт в рабочую область Log Analytics:

  • Если у него есть решение SecurityCenterFree, для решения рабочей области необходимо иметь минимальные разрешения на чтение: Microsoft.OperationsManagement/solutions/read

  • Если у него нет решения SecurityCenterFree, необходимо иметь разрешения на запись для решения рабочей области: Microsoft.OperationsManagement/solutions/action

    Дополнительные сведения о решениях рабочей области Azure Monitor и Log Analytics.

Настройка непрерывного экспорта в портал Azure

Вы можете настроить непрерывный экспорт на страницах Microsoft Defender для облака в портал Azure с помощью REST API или с помощью предоставленных Политика Azure шаблонов.

Чтобы настроить непрерывный экспорт в Log Analytics или Центры событий Azure с помощью портал Azure:

1. В меню ресурсов Defender для облака выберите параметры среды.

2. Выберите подписку, для которой требуется настроить экспорт данных.

3. В меню ресурсов в Параметры выберите "Непрерывный экспорт".

   

   Отображаются параметры экспорта. Существует вкладка для каждого доступного целевого объекта экспорта, концентратора событий или рабочей области Log Analytics.

4. Выберите тип данных, который вы хотите экспортировать, и выберите из фильтров каждого типа (например, экспортируйте только оповещения с высоким уровнем серьезности).

5. Выберите частоту экспорта:

   • Потоковая передача. Оценки отправляются при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не отправляются).
   • Моментальные снимки. Моментальный снимок текущего состояния выбранных типов данных, которые отправляются один раз в неделю на подписку. Чтобы определить данные моментального снимка, найдите поле IsSnapshot.

   Если ваш выбор включает одну из этих рекомендаций, вы можете включить результаты оценки уязвимостей с ними:

   • Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
   • Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены
   • Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys)
   • Уязвимости, обнаруженные на компьютерах, должны быть устранены
   • На компьютерах должны быть установлены обновления системы

   Чтобы включить результаты с этими рекомендациями, задайте значение "Включить результаты безопасности " значение "Да".

   

6. В разделе "Экспорт" выберите расположение сохраненных данных. Данные можно сохранить в целевом объекте другой подписки (например, в центральном экземпляре Центров событий или в центральной рабочей области Log Analytics).

   Вы также можете отправлять данные в концентратор событий или рабочую область Log Analytics в другом клиенте.

7. Выберите Сохранить.

Примечание.

Log Analytics поддерживает только записи размером до 32 КБ. По достижении ограничения данных оповещение отображает превышено ограничение данных сообщения.

Связанный контент

Из этой статьи вы узнали, как настроить непрерывный экспорт рекомендаций и оповещений. Вы также узнали, как скачивать данные оповещений в виде CSV-файла.

Чтобы просмотреть связанное содержимое:

• Дополнительные сведения о шаблонах автоматизации рабочих процессов.
• См. документацию по Центры событий Azure.
• Узнайте больше сведения о Microsoft Sentinel.
• Ознакомьтесь с документацией по Azure Monitor.
• Узнайте, как экспортировать схемы типов данных.
• Ознакомьтесь с общими вопросами о непрерывном экспорте.