Konfigurera kontinuerlig export med Azure Policy
Kontinuerlig export av säkerhetsaviseringar och rekommendationer för Microsoft Defender för molnet kan hjälpa dig att analysera data i Log Analytics eller Azure Event Hubs. Du kan konfigurera kontinuerlig export i Defender för molnet i stor skala med hjälp av tillhandahållna Azure Policy-mallar.
Dricks
Defender for Cloud erbjuder också alternativet att göra en manuell export till en CSV-fil (onetime, manual export to a comma-separated values). Lär dig hur du laddar ned en CSV-fil.
Förutsättningar
Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.
Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.
Nödvändiga roller och behörigheter:
Säkerhetsadministratör eller ägare för resursgruppen
Skrivbehörigheter för målresursen.
Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
Så här exporterar du till en Log Analytics-arbetsyta:
- Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/read. - Om den inte har Lösningen SecurityCenterFree måste du ha skrivbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/action.
Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.
- Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Konfigurera kontinuerlig export i stor skala med Azure Policy
Genom att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan du minska den tid det tar att undersöka och minimera säkerhetsincidenter.
Om du vill distribuera dina konfigurationer för kontinuerlig export i organisationen använder du de angivna Azure Policy-principerna DeployIfNotExist för att skapa och konfigurera kontinuerliga exportprocedurer.
Så här implementerar du följande principer:
Välj en princip som ska tillämpas:
Goal Policy Policy-ID Kontinuerlig export till Event Hubs Distribuera export till Event Hubs för Aviseringar och rekommendationer för Microsoft Defender för molnet cdfcce10-4578-4ecd-9703-530938e4abcb Kontinuerlig export till Log Analytics-arbetsyta Distribuera export till Log Analytics-arbetsytan för aviseringar och rekommendationer i Microsoft Defender för molnet ffb6f416-7bd2-4488-8828-56585fef2be9 Välj Tilldela.
Välj varje flik och ange parametrarna så att de uppfyller dina krav:
På fliken Grundläggande anger du omfånget för principen. Om du vill använda centraliserad hantering tilldelar du principen till den hanteringsgrupp som innehåller de prenumerationer som använder konfigurationen för kontinuerlig export.
På fliken Parametrar anger du resursgruppens namn, plats och händelsehubbinformation.
Om du vill tillämpa den här tilldelningen på befintliga prenumerationer väljer du fliken Reparation och väljer sedan alternativet för att skapa en reparationsaktivitet.
Granska sammanfattningssidan och välj sedan Skapa.