Aracılığıyla paylaş


Uyarıları ve önerileri sürekli dışarı aktarma ile dışarı aktarma

Bulut için Microsoft Defender, güvenlik verilerinin sürekli dışarı aktarımını sağlar. Bu özellik, güvenlik verilerini Azure İzleyici'deki Log Analytics'e, Azure Event Hubs'a veya başka bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme Otomatik Yanıtı (SOAR) veya BT klasik dağıtım modeli çözümüne akışla aktarmanızı sağlar. Azure İzleyici günlüklerini ve diğer Azure İzleyici özelliklerini kullanarak verileri analiz edebilir ve görselleştirebilirsiniz.

Sürekli dışarı aktarmayı ayarlarken, dışarı aktarabileceğiniz bilgileri ve bilgilerin nereye gittiğini tamamen özelleştirebilirsiniz. Örneğin, aşağıdakileri yapabilecek şekilde yapılandırabilirsiniz:

  • Tüm yüksek önem dereceli uyarılar bir Azure olay hub'ına gönderilir.
  • SQL Server çalıştıran bilgisayarlarınızın güvenlik açığı değerlendirme taramalarından elde edilen tüm orta veya daha yüksek önem dereceli bulgular belirli bir Log Analytics çalışma alanına gönderilir.
  • Belirli öneriler her oluşturulduklarında bir olay hub'ına veya Log Analytics çalışma alanına teslim edilir.
  • Bir denetimin puanı 0,01 veya daha fazla değiştiğinde aboneliğin güvenli puanı Log Analytics çalışma alanına gönderilir.

Hangi veri türleri dışarı aktarılabilir?

Her değiştiğinde aşağıdaki veri türlerini dışarı aktarmak için sürekli dışarı aktarmayı kullanabilirsiniz:

  • Güvenlik önerileri.
    • Öneri önem derecesi.
    • Güvenlik bulguları.
  • Güvenlik puanı.
    • Denetim.
  • Güvenlik uyarıları.
  • Mevzuat uyumluluğu.
  • Saldırı yolları

Öneri önem derecesi, güvenlik bulguları ve denetimler bir üst kategoriye ait alt kategorilerdir. Örneğin:

Not

REST API kullanarak sürekli dışarı aktarmayı yapılandırıyorsanız, bulguları her zaman üst öğeye ekleyin.

Verileri başka bir kiracıdaki bir olay hub'ına veya Log Analytics çalışma alanına aktarma

Yapılandırmayı atamak için Azure İlkesi kullanıyorsanız, verileri başka bir kiracıdaki Log Analytics çalışma alanına aktarılacak şekilde yapılandıramazsınız. Bu işlem yalnızca yapılandırmayı atamak için REST API'yi kullandığınızda ve yapılandırma Azure portalında desteklenmediğinde (çok kiracılı bir bağlam gerektirdiğinden) çalışır. Azure Lighthouse, Azure İlkesi ile ilgili bu sorunu çözmez, ancak kimlik doğrulama yöntemi olarak Azure Lighthouse'ı kullanabilirsiniz.

Bir kiracıda veri topladığınızda, verileri tek bir merkezi konumdan analiz edebilirsiniz.

Verileri farklı bir kiracıdaki bir olay hub'ına veya Log Analytics çalışma alanına aktarmak için:

  • Olay hub'ına veya Log Analytics çalışma alanına sahip kiracıda, sürekli dışarı aktarma yapılandırmasını barındıran kiracıdan bir kullanıcıyı davet edin veya kaynak ve hedef kiracı için Azure Lighthouse'ı yapılandırabilirsiniz.

  • Microsoft Entra ID'de işletmeden işletmeye (B2B) konuk kullanıcı erişimi kullanıyorsanız, kullanıcının kiracıya konuk olarak erişim davetini kabul etmesini sağlayın.

  • Log Analytics çalışma alanı kullanıyorsanız, çalışma alanı kiracısında kullanıcıyı şu rollerden birini atayın: Sahip, Katkıda Bulunan, Log Analytics Katkıda Bulunanı, Sentinel Katkıda Bulunanı veya İzleme Katkıda Bulunanı.

  • Gerekli kaynakları yapılandırmak için isteği oluşturun ve Azure REST API'sine gönderin. Taşıyıcı belirteçlerini hem yerel (çalışma alanı) kiracısı hem de uzak (sürekli dışarı aktarma) kiracısı bağlamında yönetmeniz gerekir.

Log Analytics çalışma alanına aktarma

Log Analytics çalışma alanı içindeki Bulut için Microsoft Defender verileri analiz etmek veya Azure uyarılarını Bulut için Defender uyarılarla birlikte kullanmak istiyorsanız Log Analytics çalışma alanınıza sürekli dışarı aktarmayı ayarlayın.

Log Analytics tabloları ve şemaları

Güvenlik uyarıları ve önerileri sırasıyla SecurityAlert ve SecurityRecommendation tablolarında depolanır.

Bu tabloları içeren Log Analytics çözümünün adı, gelişmiş güvenlik özelliklerini etkinleştirip etkinleştirmediğinize bağlıdır: Güvenlik (Güvenlik ve Denetim çözümü) veya SecurityCenterFree.

İpucu

Hedef çalışma alanında verileri görmek için şu çözümlerden birini etkinleştirmeniz gerekir: Security and Audit veya SecurityCenterFree.

Log Analytics'teki SecurityAlert tablosunu gösteren ekran görüntüsü.

Dışarı aktarılan veri türlerinin olay şemalarını görüntülemek için bkz . Log Analytics tablo şemaları.