Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для облака создает оповещения безопасности и рекомендации. Эти данные можно экспортировать в Log Analytics в Azure Monitor, в Центры событий Azure или в другое решение класса SIEM (управление информацией и событиями безопасности), SOAR (оркестрация безопасности и автоматизированное реагирование) либо классическое ИТ-решение по модели развертывания. Вы можете передавать данные в потоковом режиме по мере их создания или отправлять запланированные снимки новых данных.
В этой статье объясняется, как настроить непрерывный экспорт в рабочую область Log Analytics или концентратор событий в Azure.
Подсказка
Defender для облака также позволяет вручную выполнить разовый экспорт в файл значений, разделённых запятыми (CSV). Узнайте, как скачать CSV-файл.
Предпосылки
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Требуемые роли и разрешения
- Администратор безопасности или владелец группы ресурсов
- Разрешения на запись целевого ресурса.
- Если вы используете политики Политика Azure DeployIfNotExist, у вас должны быть разрешения, позволяющие назначать политики.
- Чтобы экспортировать данные в Центры событий, необходимо иметь разрешения на запись в политике Центров событий.
- Чтобы экспортировать в рабочую область Log Analytics, выполните следующие действия:
Если у него есть решение SecurityCenterFree, необходимо иметь как минимум разрешения на чтение для решения для рабочей области:
Microsoft.OperationsManagement/solutions/read.Если у него нет решения SecurityCenterFree, вы должны иметь права на запись для решения в рабочей области:
Microsoft.OperationsManagement/solutions/action.Дополнительные сведения о решениях рабочей области Azure Monitor и Log Analytics.
Настройка непрерывного экспорта на портале Azure
Вы можете настроить непрерывный экспорт на страницах Microsoft Defender для облака на портале Azure с помощью REST API или в масштабе с помощью шаблонов Политика Azure.
Чтобы настроить непрерывный экспорт в Log Analytics или Центры событий Azure с помощью портала Azure:
В меню ресурсов Defender для облака выберите параметры среды.
Выберите подписку, для которой требуется настроить экспорт данных.
В меню ресурсов в разделе "Параметры" выберите "Непрерывный экспорт".
Отображаются параметры экспорта. Для каждого целевого объекта есть вкладка: Центры событий или рабочая область Log Analytics.
Выберите тип данных, который требуется экспортировать, и выберите фильтры для этого типа. Например, можно экспортировать только оповещения с высоким уровнем серьезности.
Выберите частоту экспорта:
- Потоковая передача. Оценки отправляются при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не отправляются).
- Моментальные снимки. Моментальный снимок текущего состояния выбранных типов данных, которые отправляются по подписке раз в неделю. Чтобы определить данные моментального снимка, найдите поле IsSnapshot.
Если ваш выбор включает одну из этих рекомендаций, вы можете включить результаты оценки уязвимостей с ними:
- В базах данных SQL должны быть устранены обнаруженные уязвимости
- SQL-серверы на машинах должны иметь устранённые уязвимости
- Образы реестра контейнеров должны иметь устраненные уязвимости с использованием Qualys
- Уязвимости на машинах должны быть устранены
- На компьютерах должны быть установлены обновления системы.
Чтобы включить результаты с этими рекомендациями, установите параметр «Включить результаты безопасности» в «Да».
В разделе "Экспорт" выберите расположение сохраненных данных. Данные можно сохранить в целевом объекте другой подписки (например, в центральном экземпляре Центров событий или в центральной рабочей области Log Analytics).
Вы также можете отправлять данные в концентратор событий или рабочую область Log Analytics в другом клиенте.
Нажмите кнопку "Сохранить".
Замечание
Log Analytics поддерживает только записи размером до 32 КБ. При достижении лимита данных оповещение отображает сообщение превышено ограничение данных.
Связанный контент
В этой статье вы узнали, как настроить непрерывный экспорт рекомендаций и оповещений. Вы также узнали, как скачать данные оповещений в виде CSV-файла.
Чтобы просмотреть связанное содержимое:
- Узнайте, как просматривать экспортированные данные в Azure Monitor.
- Дополнительные сведения о шаблонах автоматизации рабочих процессов.
- См. документацию по Центрам событий Azure.
- Дополнительные сведения о Microsoft Sentinel.
- Ознакомьтесь с документацией по Azure Monitor.
- Узнайте, как экспортировать схемы типов данных.
- Ознакомьтесь с общими вопросами о непрерывном экспорте.