Dışarı aktarılan verileri Azure İzleyici'de görüntüleme
Bulut için Microsoft Defender güvenlik uyarılarını ve önerilerini sürekli dışarı aktarmayı ayarladıktan sonra verileri Azure İzleyici'de görüntüleyebilirsiniz. Bu makalede Log Analytics'te veya Azure Event Hubs'da verilerin nasıl görüntüleyebileceğiniz açıklanır.
Önkoşullar
- Azure portalında sürekli dışarı aktarmayı ayarlama veya Azure İlkesi ile sürekli dışarı aktarmayı ayarlama veya REST API ile sürekli dışarı aktarmayı ayarlama.
Azure İzleyici'de dışarı aktarılan uyarıları ve önerileri görüntüleme
Azure İzleyici , Log Analytics çalışma alanı sorgularını temel alan tanılama günlüğü, ölçüm uyarıları ve özel uyarılar dahil olmak üzere çeşitli Azure uyarıları için birleşik bir uyarı deneyimi sağlar.
Azure İzleyici'de Bulut için Defender gelen uyarıları ve önerileri görüntülemek için Log Analytics sorgularını (günlük uyarı kuralı) temel alan bir uyarı kuralı yapılandırın.
Uyarı kuralı yapılandırmak için:
Azure Portal’ında oturum açın.
İzleyici'yi arayın ve seçin.
Uyarılar'ı seçin.
Yeni uyarı kuralı seçeneğini belirleyin.
Yeni kuralınızı, Azure İzleyici'de günlük uyarısı kuralı yapılandırdığınız gibi ayarlayın:
Kaynak için güvenlik uyarılarını ve önerilerini dışarı aktardığınız Log Analytics çalışma alanını seçin.
Koşul için Özel günlük araması'yı seçin. Görüntülenen sayfada sorguyu, geri arama süresini ve sıklık süresini yapılandırın. Arama sorgusunda, Log Analytics'e sürekli dışarı aktarma özelliğini etkinleştirirken sürekli dışarı aktarmayı Bulut için Defender veri türlerini sorgulamak için SecurityAlert veya SecurityRecommendation girebilirsiniz.
İsteğe bağlı olarak, tetikleme için bir eylem grubu oluşturun. Eylem grupları, ortamınızdaki bir olayı temel alarak e-posta göndermeyi, ITSM bileti oluşturmayı, web kancası çalıştırmayı ve daha fazlasını otomatikleştirebilir.
Bulut için Defender uyarıları veya önerileri (yapılandırılmış sürekli dışarı aktarma kurallarınıza ve Azure İzleyici uyarı kuralınızda tanımladığınız koşula bağlı olarak) Bir eylem grubunun otomatik olarak tetiklenmesiyle (varsa) Azure İzleyici uyarılarında görünür.