Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Defender for Cloud güvenlik uyarıları ve öneriler oluşturur. Bu verileri Azure Monitor’daki Log Analytics’e, Azure Event Hubs’a veya başka bir Güvenlik Bilgisi ve Olay Yönetimi (SIEM), Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) ya da klasik BT dağıtım modeli çözümüne aktarabilirsiniz. Oluşturulan verilerin akışını yapabilir veya yeni verilerin zamanlanmış anlık görüntülerini gönderebilirsiniz.
Bu makalede, Azure'da bir Log Analytics çalışma alanına veya olay hub'ına sürekli dışarı aktarmanın nasıl ayarlanacağı açıklanmaktadır.
Tavsiye
Defender for Cloud, virgülle ayrılmış değerler (CSV) dosyasına tek seferlik, el ile dışarı aktarma da sunar. CSV dosyasını indirmeyi öğrenin.
Önkoşullar
Microsoft Azure aboneliğiniz olması gerekir. Azure aboneliğiniz yoksa ücretsiz aboneliğe kaydolabilirsiniz.
Azure aboneliğinizde Bulut için Microsoft Defender etkinleştirmeniz gerekir.
Gerekli roller ve izinler:
- Kaynak grubunun Güvenlik Yöneticisi veya Sahibi
- Hedef kaynak için yazma izinleri.
- Azure İlkesi DeployIfNotExist ilkelerini kullanıyorsanız, ilke atamanıza izin veren izinlere sahip olmanız gerekir.
- Event Hubs'a veri aktarmak için Event Hubs ilkesinde Yazma izinlerine sahip olmanız gerekir.
- Log Analytics çalışma alanına aktarmak için:
SecurityCenterFree çözümüne sahipse, çalışma alanı çözümü için en az Okuma izinlerine sahip olmanız gerekir:
Microsoft.OperationsManagement/solutions/read.SecurityCenterFree çözümü yoksa, çalışma alanı çözümü için yazma izinlerine sahip olmanız gerekir:
Microsoft.OperationsManagement/solutions/action.Azure İzleyici ve Log Analytics çalışma alanı çözümleri hakkında daha fazla bilgi edinin.
Azure portalında sürekli dışarı aktarmayı ayarlama
sürekli dışarı aktarmayı Azure portalındaki Microsoft Defender for Cloud sayfalarında, REST API kullanarak veya Azure İlkesi şablonları kullanarak uygun ölçekte ayarlayabilirsiniz.
Azure portalını kullanarak Log Analytics veya Azure Event Hubs'a sürekli dışarı aktarma ayarlamak için:
Bulut için Defender kaynak menüsünde Ortam ayarları'nı seçin.
Veri dışarı aktarmayı yapılandırmak istediğiniz aboneliği seçin.
Ayarlar'ın altındaki kaynak menüsünde Sürekli dışarı aktarma'yı seçin.
Dışarı aktarma seçenekleri görüntülenir. Her hedef için bir sekme vardır: Event Hubs veya Log Analytics çalışma alanı.
Dışarı aktarmak istediğiniz veri türünü seçin ve ardından bu tür için filtreler seçin. Örneğin, yalnızca yüksek önem dereceli uyarıları dışarı aktarabilirsiniz.
Dışarı aktarma sıklığını seçin:
- Akış. Değerlendirmeler, kaynağın sistem durumu güncelleştirildiğinde gönderilir (güncelleştirme yapılmazsa veri gönderilmez).
- Anlık görüntüler. Abonelik başına haftada bir gönderilen seçili veri türlerinin geçerli durumunun anlık görüntüsü. Anlık görüntü verilerini tanımlamak için IsSnapshot alanını arayın.
Seçiminiz bu önerilerden birini içeriyorsa, güvenlik açığı değerlendirme bulgularını bunlara ekleyebilirsiniz:
- SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir
- Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir
- Kapsayıcı kayıt defteri görüntülerinde güvenlik açığı bulguları çözümlenmelidir (Qualys tarafından desteklenir)
- Makinelerde güvenlik açığı bulguları çözümlenmelidir
- Sistem güncelleştirmeleri makinelerinize yüklenmelidir
Bulguları bu önerilere eklemek için Güvenlik bulgularını ekle seçeneğini Evet olarak ayarlayın.
Dışa aktarım hedefi altında verilerin kaydedileceği yeri seçin. Veriler farklı bir aboneliğin hedefinde (örneğin, merkezi bir Event Hubs örneğine veya merkezi log analytics çalışma alanına) kaydedilebilir.
Ayrıca verileri farklı bir kiracıdaki bir olay hub'ına veya Log Analytics çalışma alanına da gönderebilirsiniz
Kaydetseçeneğini seçin.
Uyarı
Log Analytics yalnızca boyutu 32 KB'a kadar olan kayıtları destekler. Veri sınırına ulaşıldığında, bir uyarı Veri sınırı aşıldı iletisini görüntüler.
İlgili içerik
Bu makalede, önerilerinizin ve uyarılarınızın sürekli dışarı aktarmalarını yapılandırmayı öğrendiniz. Ayrıca uyarı verilerinizi CSV dosyası olarak indirmeyi de öğrendinsiniz.
İlgili içeriği görmek için:
- Azure İzleyici'de dışarı aktarılan verileri görüntülemeyi öğrenin.
- İş akışı otomasyonu şablonları hakkında daha fazla bilgi edinin.
- Azure Event Hubs belgelerine bakın.
- Microsoft Sentinel hakkında daha fazla bilgi edinin.
- Azure İzleyici belgelerini gözden geçirin.
- Veri türü şemalarını dışarı aktarmayı öğrenin.
- Sürekli dışarı aktarma hakkında sık sorulan sorulara göz atın.