Konfigurera kontinuerlig export i Azure-portalen

Microsoft Defender för molnet genererar detaljerade säkerhetsaviseringar och rekommendationer. Om du vill analysera informationen i dessa aviseringar och rekommendationer kan du exportera dem till Log Analytics i Azure Monitor, till Azure Event Hubs eller till en annan lösning för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response) eller den klassiska IT-distributionsmodellen. Du kan strömma aviseringar och rekommendationer när de genereras eller definiera ett schema för att skicka periodiska ögonblicksbilder av alla nya data.

Den här artikeln beskriver hur du konfigurerar kontinuerlig export till en Log Analytics-arbetsyta eller till en händelsehubb i Azure.

Dricks

Defender för molnet erbjuder också alternativet att göra en manuell export till en CSV-fil (onetime, manual export to a comma-separated values). Lär dig hur du laddar ned en CSV-fil.

Förutsättningar

• Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.

• Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.

Nödvändiga roller och behörigheter:

• Säkerhetsadministratör eller ägare för resursgruppen
• Skrivbehörigheter för målresursen.
• Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
• Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
• Så här exporterar du till en Log Analytics-arbetsyta:

  • Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen: Microsoft.OperationsManagement/solutions/read.

  • Om den inte har Lösningen SecurityCenterFree måste du ha skrivbehörighet för arbetsytelösningen: Microsoft.OperationsManagement/solutions/action.

    Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.

Konfigurera kontinuerlig export i Azure-portalen

Du kan konfigurera kontinuerlig export på de Microsoft Defender för molnet sidorna i Azure-portalen, med hjälp av REST-API:et eller i stor skala med hjälp av tillhandahållna Azure Policy-mallar.

Så här konfigurerar du en kontinuerlig export till Log Analytics eller Azure Event Hubs med hjälp av Azure-portalen:

1. På menyn Defender för molnet resurs väljer du Miljöinställningar.

2. Välj den prenumeration som du vill konfigurera dataexport för.

3. På resursmenyn under Inställningar väljer du Kontinuerlig export.

   

   Exportalternativen visas. Det finns en flik för varje tillgängligt exportmål, antingen händelsehubb eller Log Analytics-arbetsyta.

4. Välj den datatyp som du vill exportera och välj bland filtren för varje typ (till exempel exportera endast aviseringar med hög allvarlighetsgrad).

5. Välj exportfrekvens:

   • Direktuppspelning. Utvärderingar skickas när en resurss hälsotillstånd uppdateras (om inga uppdateringar sker skickas inga data).
   • Ögonblicksbilder. En ögonblicksbild av det aktuella tillståndet för de valda datatyperna som skickas en gång i veckan per prenumeration. Om du vill identifiera ögonblicksbilddata letar du efter fältet IsSnapshot.

   Om ditt val innehåller någon av dessa rekommendationer kan du inkludera resultaten av sårbarhetsbedömningen med dem:

   • SQL-databaser bör lösa sårbarhetsresultat
   • SQL-servrar på datorer bör ha sårbarhetsresultat lösta
   • Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys)
   • Datorer bör lösa sårbarhetsresultat
   • Systemuppdateringar bör installeras på dina datorer

   Om du vill inkludera resultaten med dessa rekommendationer anger du Inkludera säkerhetsresultat till Ja.

   

6. Under Exportera mål väljer du var du vill att data ska sparas. Data kan sparas i ett mål för en annan prenumeration (till exempel i en central Event Hubs-instans eller på en central Log Analytics-arbetsyta).

   Du kan också skicka data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation

7. Välj Spara.

Kommentar

Log Analytics stöder endast poster som är upp till 32 KB stora. När datagränsen har nåtts visar en avisering meddelandet Datagränsen har överskridits.

Relaterat innehåll

I den här artikeln har du lärt dig hur du konfigurerar kontinuerlig export av dina rekommendationer och aviseringar. Du har också lärt dig hur du laddar ned dina aviseringsdata som en CSV-fil.

Så här ser du relaterat innehåll:

• Läs mer om mallar för arbetsflödesautomatisering.
• Se dokumentationen om Azure Event Hubs.
• Läs mer om Microsoft Sentinel.
• Läs dokumentationen för Azure Monitor.
• Lär dig hur du exporterar scheman för datatyper.
• Kolla in vanliga frågor om kontinuerlig export.