Использование подключений к данным

В этой статье рассматривается функция подключения к данным в Управление направлением внешних атак Microsoft Defender (Defender EASM).

Обзор

EaSM Defender теперь предлагает подключения к данным, которые помогут вам легко интегрировать данные поверхности атаки в другие решения Майкрософт, чтобы дополнить существующие рабочие процессы новыми аналитическими сведениями. Данные из Defender EASM необходимо получить в другие средства безопасности, которые вы используете для исправления, чтобы обеспечить оптимальное использование данных поверхности атаки.

Соединитель данных отправляет данные ресурса EASM Defender на две разные платформы: Log Analytics и Azure Data Explorer. Необходимо экспортировать данные EASM Defender в любой инструмент. Подключения к данным применяются к модели ценообразования для каждой соответствующей платформы.

Log Analytics предоставляет возможности управления безопасностью и событий, а также оркестрации, автоматизации и реагирования. Сведения об активе или аналитических сведениях в Defender EASM можно использовать в Log Analytics для обогащения существующих рабочих процессов другими данными безопасности. Эта информация может дополнить сведения о брандмауэре и конфигурации, аналитике угроз и данных соответствия требованиям, чтобы обеспечить видимость внешней инфраструктуры в открытом Интернете.

Вы можете:

• Создание или обогащение инцидентов безопасности.
• Создание сборников схем исследования.
• Обучение алгоритмов машинного обучения.
• Активируйте действия по исправлению.

Azure Data Explorer — это платформа аналитики больших данных, которая помогает анализировать большие объемы данных из различных источников с гибкими возможностями настройки. Данные активов и аналитических сведений в Defender EASM можно интегрировать для использования визуализаций, запросов, приема и управления в пределах платформы.

Независимо от того, вы создаете пользовательские отчеты с помощью Power BI или ищете ресурсы, соответствующие точным запросам KQL, экспортируйте данные EASM Defender в Azure Data Explorer, что позволяет использовать данные поверхности атаки с бесконечным потенциалом настройки.

Параметры содержимого данных

Подключения к данным EASM Defender предлагают возможность интегрировать два различных типа данных поверхности атак в выбранное средство. Вы можете перенести данные ресурсов, аналитику поверхности атак или оба типа данных. Данные активов предоставляют детализированные сведения о всей инвентаризации. Аналитика поверхности атак обеспечивает немедленное применение аналитических сведений на основе панелей мониторинга EASM Defender.

Чтобы точно представить инфраструктуру, которая наиболее важна для вашей организации, оба варианта содержимого включают только ресурсы в состояние утвержденной инвентаризации.

Данные активов: параметр "Данные активов" отправляет данные обо всех ресурсах инвентаризации в выбранное средство. Этот вариант лучше всего подходит для вариантов использования, когда детализированные базовые метаданные являются ключом к интеграции EASM Defender. Примеры включают Microsoft Sentinel или настраиваемые отчеты в Azure Data Explorer. Вы можете экспортировать высокоуровневый контекст для каждого ресурса в инвентаризации и детализированных сведений, относящихся к конкретному типу ресурса.

Этот параметр не предоставляет предопределенную информацию о ресурсах. Вместо этого он предлагает широкий объем данных, чтобы вы могли найти настраиваемые аналитические сведения, которые вы заботитесь больше всего.

Аналитика поверхности атак. Аналитика поверхности атак предоставляет практический набор результатов на основе ключевых аналитических сведений, предоставляемых с помощью панелей мониторинга в Defender EASM. Этот параметр предоставляет менее детализированные метаданные для каждого ресурса. Он классифицирует ресурсы на основе соответствующих аналитических сведений и предоставляет высокоуровневый контекст, необходимый для дальнейшего изучения. Этот вариант идеально подходит, если вы хотите интегрировать эти предопределенные аналитические сведения в пользовательские рабочие процессы отчетности с данными из других средств.

Общие сведения о конфигурации

В этом разделе представлены общие сведения о конфигурации.

Доступ к подключениям к данным

На левой панели в области ресурсов EASM Defender в разделе "Управление" выберите "Подключения к данным". На этой странице отображаются соединители данных для Log Analytics и Azure Data Explorer. Он перечисляет все текущие подключения и предоставляет возможность добавлять, изменять или удалять подключения.

Предварительные требования для подключения

Чтобы успешно создать подключение к данным, необходимо сначала убедиться, что вы выполнили необходимые действия, чтобы предоставить защитнику EASM разрешение на выбор средства. Этот процесс позволяет приложению получать экспортированные данные. Он также предоставляет учетные данные проверки подлинности, необходимые для настройки подключения.

Примечание.

Подключения к данным EASM в Защитнике не поддерживают частные каналы или сети.

Настройка разрешений Log Analytics

1. Откройте рабочую область Log Analytics, которая примет данные EASM Defender или создайте новую рабочую область.

2. В левой области в разделе "Параметры" выберите "Агенты".

   

3. Разверните раздел инструкций агента Log Analytics, чтобы просмотреть идентификатор рабочей области и первичный ключ. Эти значения используются для настройки подключения к данным.

Использование этого подключения к данным зависит от структуры ценообразования Log Analytics. Дополнительные сведения см. на странице цен на Azure Monitor.

Настройка разрешений Azure Data Explorer

Убедитесь, что субъект-служба API EASM Defender имеет доступ к правильным ролям в базе данных, в которой требуется экспортировать данные поверхности атаки. Сначала убедитесь, что ресурс EASM Defender был создан в соответствующем клиенте, так как это действие подготавливает субъект API EASM.

1. Откройте кластер Azure Data Explorer, который будет прием данных EASM Defender или создание нового кластера.

2. В левой области в разделе "Данные" выберите "Базы данных".

3. Выберите "Добавить базу данных", чтобы создать базу данных для размещения данных EASM Defender.

   

4. Назовите базу данных, настройте периоды хранения и кэша и нажмите кнопку "Создать".

   

5. После создания базы данных EASM Defender выберите имя базы данных, чтобы открыть страницу сведений. В левой области в разделе "Обзор" выберите "Разрешения". Чтобы успешно экспортировать данные EASM Defender в Azure Data Explorer, необходимо создать два новых разрешения для API EASM: user и ingestor.

   

6. Выберите " Добавить и создать пользователя". Найдите API EASM, выберите значение и нажмите кнопку "Выбрать".

7. Нажмите кнопку "Добавить ", чтобы создать ingestor. Выполните те же действия, описанные ранее, чтобы добавить API EASM в качестве ingestor.

8. Теперь база данных готова подключиться к EASM Defender. При настройке подключения к данным вам потребуется имя кластера, имя базы данных и регион.

Добавление подключения к данным

Вы можете подключить данные EASM Defender к Log Analytics или Azure Data Explorer. Для этого выберите " Добавить подключение " для соответствующего средства на странице "Подключения к данным".

Откроется область конфигурации справа от страницы "Подключения к данным". Для каждого соответствующего средства требуются следующие поля.

Служба Log Analytics

• Имя: введите имя для этого подключения к данным.

• Идентификатор рабочей области. Введите идентификатор рабочей области для экземпляра Log Analytics, в котором требуется экспортировать данные EASM Defender.

• Ключ API. Введите ключ API для экземпляра Log Analytics.

• Содержимое. Выберите для интеграции данных активов, аналитики поверхности атак или обоих наборов данных.

• Частота. Выберите частоту, которую использует подключение EASM Defender для отправки обновленных данных в выбранное средство. Доступные варианты: ежедневные, еженедельные и ежемесячные.

  

Azure Data Explorer

• Имя: введите имя для этого подключения к данным.

• Имя кластера. Введите имя кластера Azure Data Explorer, в котором требуется экспортировать данные EASM Defender.

• Регион. Введите регион кластера Azure Data Explorer.

• Имя базы данных: введите имя требуемой базы данных.

• Содержимое. Выберите для интеграции данных активов, аналитики поверхности атак или обоих наборов данных.

• Частота. Выберите частоту, которую использует подключение EASM Defender для отправки обновленных данных в выбранное средство. Доступные варианты: ежедневные, еженедельные и ежемесячные.

  

  После настройки всех полей нажмите кнопку "Добавить ", чтобы создать подключение к данным. На этом этапе на странице "Подключения к данным" отображается баннер, указывающий, что ресурс был успешно создан. Через 30 минут данные начинают заполняться. После создания подключений они перечислены в соответствующем средстве на главной странице "Подключения к данным".

Изменение или удаление подключения к данным

Вы можете изменить или удалить подключение к данным. Например, можно заметить, что подключение отображается как отключенное. В этом случае необходимо повторно ввести сведения о конфигурации, чтобы устранить эту проблему.

Изменение или удаление подключения к данным:

1. Выберите соответствующее подключение из списка на главной странице "Подключения к данным".

   

2. Откроется страница с дополнительными данными о подключении. В нем отображаются конфигурации, выбранные при создании подключения, и все сообщения об ошибках. Вы также увидите следующие данные:

   • Повторяющийся: день недели или месяца, который EASM Defender отправляет обновленные данные в подключенном средстве.

   • Создано: дата и время создания подключения к данным.

   • Обновлено: дата и время последнего обновления подключения к данным.

     

3. На этой странице можно повторно подключить, изменить или удалить подключение к данным.

   • Повторное подключение. Пытается проверить подключение к данным без каких-либо изменений в конфигурации. Этот параметр лучше всего подходит, если вы проверили учетные данные проверки подлинности, используемые для подключения к данным.
   • Изменение. Позволяет изменить конфигурацию подключения к данным.
   • Удаление: удаляет подключение к данным.