Aracılığıyla paylaş


Azure portalında sürekli dışarı aktarmayı ayarlama

Bulut için Microsoft Defender ayrıntılı güvenlik uyarıları ve öneriler oluşturur. Bu uyarı ve önerilerdeki bilgileri analiz etmek için bunları Azure İzleyici'deki Log Analytics'e, Azure Event Hubs'a veya başka bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme Otomatik Yanıtı (SOAR) veya BT klasik dağıtım modeli çözümüne aktarabilirsiniz. Oluşturulan uyarıların ve önerilerin akışını yapabilir veya tüm yeni verilerin düzenli anlık görüntülerini göndermek için bir zamanlama tanımlayabilirsiniz.

Bu makalede, Log Analytics çalışma alanına veya Azure'daki bir olay hub'ına sürekli dışarı aktarmanın nasıl ayarlanacağı açıklanır.

İpucu

Bulut için Defender, virgülle ayrılmış değerler (CSV) dosyasına tek seferlik, el ile dışarı aktarma seçeneği de sunar. CSV dosyasını indirmeyi öğrenin.

Önkoşullar

Gerekli roller ve izinler:

  • Kaynak grubunun Güvenlik Yöneticisi veya Sahibi
  • Hedef kaynak için yazma izinleri.
  • Azure İlkesi DeployIfNotExist ilkelerini kullanıyorsanız, ilke atamanıza izin veren izinlere sahip olmanız gerekir.
  • Event Hubs'a veri aktarmak için Event Hubs ilkesinde Yazma izinlerine sahip olmanız gerekir.
  • Log Analytics çalışma alanına aktarmak için:
    • SecurityCenterFree çözümüne sahipse, çalışma alanı çözümü için en az Okuma izinlerine sahip olmanız gerekir: Microsoft.OperationsManagement/solutions/read.

    • SecurityCenterFree çözümü yoksa, çalışma alanı çözümü için yazma izinlerine sahip olmanız gerekir: Microsoft.OperationsManagement/solutions/action.

      Azure İzleyici ve Log Analytics çalışma alanı çözümleri hakkında daha fazla bilgi edinin.

Azure portalında sürekli dışarı aktarmayı ayarlama

Azure portalındaki Bulut için Microsoft Defender sayfalarında, REST API'yi kullanarak veya sağlanan Azure İlkesi şablonlarını kullanarak uygun ölçekte sürekli dışarı aktarma ayarlayabilirsiniz.

Azure portalını kullanarak Log Analytics veya Azure Event Hubs'a sürekli dışarı aktarma ayarlamak için:

  1. Bulut için Defender kaynak menüsünde Ortam ayarları'nı seçin.

  2. Veri dışarı aktarmayı yapılandırmak istediğiniz aboneliği seçin.

  3. Ayarlar'ın altındaki kaynak menüsünde Sürekli dışarı aktarma'yı seçin.

    Bulut için Microsoft Defender'daki dışarı aktarma seçeneklerini gösteren ekran görüntüsü.

    Dışarı aktarma seçenekleri görüntülenir. Olay hub'ı veya Log Analytics çalışma alanı olmak üzere kullanılabilir her dışarı aktarma hedefi için bir sekme vardır.

  4. Dışarı aktarmak istediğiniz veri türünü seçin ve her türdeki filtreler arasından seçim yapın (örneğin, yalnızca yüksek önem dereceli uyarıları dışarı aktarın).

  5. Dışarı aktarma sıklığını seçin:

    • Akış. Değerlendirmeler, kaynağın sistem durumu güncelleştirildiğinde gönderilir (güncelleştirme yapılmazsa veri gönderilmez).
    • Anlık görüntüler. Abonelik başına haftada bir gönderilen seçili veri türlerinin geçerli durumunun anlık görüntüsü. Anlık görüntü verilerini tanımlamak için IsSnapshot alanını arayın.

    Seçiminiz bu önerilerden birini içeriyorsa, güvenlik açığı değerlendirme bulgularını bunlara ekleyebilirsiniz:

    Bulguları bu önerilere eklemek için Güvenlik bulgularını ekle seçeneğini Evet olarak ayarlayın.

    Sürekli dışarı aktarma yapılandırmasında Güvenlik bulgularını ekle iki durumlu düğmesini gösteren ekran görüntüsü.

  6. Hedefi dışarı aktar'ın altında verilerin kaydedilmesini istediğiniz yeri seçin. Veriler farklı bir aboneliğin hedefinde (örneğin, merkezi bir Event Hubs örneğine veya merkezi log analytics çalışma alanına) kaydedilebilir.

    Ayrıca verileri farklı bir kiracıdaki bir olay hub'ına veya Log Analytics çalışma alanına da gönderebilirsiniz

  7. Kaydet'i seçin.

Not

Log Analytics yalnızca boyutu 32 KB'a kadar olan kayıtları destekler. Veri sınırına ulaşıldığında, bir uyarı Veri sınırı aşıldı iletisini görüntüler.

Bu makalede, önerilerinizin ve uyarılarınızın sürekli dışarı aktarmalarını yapılandırmayı öğrendiniz. Ayrıca uyarı verilerinizi CSV dosyası olarak indirmeyi de öğrendinsiniz.

İlgili içeriği görmek için: