通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用数据连接

  • 项目

本文讨论 Microsoft Defender 外部攻击面管理 (Defender EASM) 中的数据连接功能。

概述

Defender EASM 现在提供数据连接,可帮助你将攻击面数据无缝集成到其他 Microsoft 解决方案中,从而通过新的见解来补充现有工作流。 必须将 Defender EASM 中的数据获取到用于修正的其他安全工具中,以充分利用攻击面数据。

数据连接器将 Defender EASM 资产数据发送到两个不同的平台:Log Analytics 和 Azure 数据资源管理器。 需要将 Defender EASM 数据导出到任一工具。 数据连接受每个相应平台的定价模型的约束。

Log Analytics 提供安全信息、事件管理以及安全业务流程、自动化和响应功能。 可以在 Log Analytics 中使用 Defender EASM 资产或见解信息,以使用其他安全数据丰富现有工作流。 此信息可以补充防火墙和配置信息、威胁情报和合规性数据,以便了解开放 Internet 上面向外部的基础结构。

可以:

  • 创建或扩充安全事件。
  • 生成调查 playbook。
  • 训练机器学习算法。
  • 触发修正操作。

Azure 数据资源管理器 是一个大数据分析平台,可帮助你使用灵活的自定义功能分析来自各种源的大量数据。 可以集成 Defender EASM 资产和见解数据,以在平台中使用可视化、查询、引入和管理功能。

无论是使用 Power BI 生成自定义报表,还是要查找与精确 KQL 查询匹配的资产,将 Defender EASM 数据导出到 Azure 数据资源管理器都使你能够使用具有无限自定义潜力的攻击面数据。

数据内容选项

使用 Defender EASM 数据连接,可将两种不同类型的攻击面数据集成到所选工具中。 可以选择迁移资产数据、攻击面见解或同时迁移两种数据类型。 资产数据提供有关整个清单的精细详细信息。 攻击面见解基于 Defender EASM 仪表板提供即时可操作的见解。

为了准确呈现对组织最重要的基础结构,这两个内容选项仅包含处于 “已批准清单” 状态的资产。

资产数据:“资产数据”选项将有关所有库存资产的数据发送到所选工具。 此选项最适合使用粒度基础元数据是 Defender EASM 集成的关键用例。 示例包括 Microsoft Sentinel 或 Azure 数据资源管理器 中的自定义报表。 可以导出清单中每个资产的高级上下文,以及特定于特定资产类型的精细详细信息。

此选项不提供有关资产的任何预先确定的见解。 相反,它提供大量的数据,以便你可以找到你最关心的自定义见解。

攻击面见解:攻击面见解根据 Defender EASM 仪表板提供的关键见解提供一组可操作的结果。 此选项在每个资产上提供粒度较低的元数据。 它根据相应的见解对资产进行分类,并提供进一步调查所需的高级上下文。 如果要将这些预先确定的见解与来自其他工具的数据集成到自定义报告工作流中,此选项是理想的选择。

配置概述

本部分提供有关配置的一般信息。

访问数据连接

在 Defender EASM 资源窗格最左侧的窗格中,在 “管理”下,选择“ 数据连接”。 此页显示 Log Analytics 和 Azure 数据资源管理器的数据连接器。 它列出任何当前连接,并提供添加、编辑或删除连接的选项。

显示“数据连接”页的屏幕截图。

连接先决条件

若要成功创建数据连接,必须先确保已完成向所选工具授予 Defender EASM 权限所需的步骤。 此过程使应用程序能够引入导出的数据。 它还提供配置连接所需的身份验证凭据。

配置 Log Analytics 权限

  1. 打开将引入 Defender EASM 数据的 Log Analytics 工作区或 创建新工作区

  2. 在最左侧窗格的 “设置”下,选择“ 代理”。

    显示 Log Analytics 代理的屏幕截图。

  3. 展开 Log Analytics 代理说明 部分以查看工作区 ID 和主密钥。 这些值用于设置数据连接。

使用此数据连接受 Log Analytics 定价结构的约束。 有关详细信息,请参阅 Azure Monitor 定价

配置 Azure 数据资源管理器权限

确保 Defender EASM API 服务主体有权访问要导出攻击面数据的数据库中的正确角色。 首先,请确保在相应的租户中创建 Defender EASM 资源,因为此操作会预配 EASM API 主体。

  1. 打开将引入 Defender EASM 数据的 Azure 数据资源管理器群集或创建新群集

  2. 在最左侧窗格的 “数据”下,选择“ 数据库”。

  3. 选择“ 添加数据库 ”以创建用于保存 Defender EASM 数据的数据库。

    显示 Azure 数据资源管理器添加数据库的屏幕截图。

  4. 为数据库命名,配置保留期和缓存期,然后选择“ 创建”。

    显示创建新数据库的屏幕截图。

  5. 创建 Defender EASM 数据库后,选择数据库名称以打开详细信息页。 在最左侧窗格的 “概述”下,选择“ 权限”。 若要成功将 Defender EASM 数据导出到 Azure 数据资源管理器,必须为 EASM API 创建两个新权限:用户引入者

    显示 Azure 数据资源管理器权限的屏幕截图。

  6. 选择“ 添加 ”并创建用户。 搜索 EASM API,选择值,然后选择 “选择”。

  7. 选择“ 添加” 以创建引入器。 按照前面概述的相同步骤将 EASM API 添加为引入器。

  8. 数据库现在已准备好连接到 Defender EASM。 配置数据连接时,需要群集名称、数据库名称和区域。

添加数据连接

可以将 Defender EASM 数据连接到 Log Analytics 或 Azure 数据资源管理器。 为此,请从“数据连接”页中选择“ 添加 相应工具 的连接 ”。

数据连接” 页右侧将打开配置窗格。 每个工具都需要以下字段。

Log Analytics

  • 名称:输入此数据连接的名称。

  • 工作区 ID:输入要导出 Defender EASM 数据的 Log Analytics 实例的工作区 ID。

  • API 密钥:输入 Log Analytics 实例的 API 密钥。

  • 内容:选择以集成资产数据、攻击面见解或这两个数据集。

  • 频率:选择 Defender EASM 连接用于将更新数据发送到所选工具的频率。 可用选项包括每日、每周和每月。

    显示 Log Analytics 的“添加数据连接”屏幕的屏幕截图。

Azure 数据资源管理器

  • 名称:输入此数据连接的名称。

  • 群集名称:输入要导出 Defender EASM 数据的 Azure 数据资源管理器群集的名称。

  • 区域:输入 Azure 数据资源管理器 群集的区域。

  • 数据库名称:输入所需数据库的名称。

  • 内容:选择以集成资产数据、攻击面见解或这两个数据集。

  • 频率:选择 Defender EASM 连接用于将更新数据发送到所选工具的频率。 可用选项包括每日、每周和每月。

    显示 Azure 数据资源管理器的“添加数据连接”屏幕的屏幕截图。

    配置所有字段后,选择“ 添加 ”以创建数据连接。 此时,“ 数据连接” 页会显示一个横幅,指示已成功创建资源。 30 分钟后,数据开始填充。 创建连接后,这些连接将列在“main数据连接”页上的适用工具下。

编辑或删除数据连接

可以编辑或删除数据连接。 例如,你可能会注意到连接被列为 “已断开连接”。 在这种情况下,需要重新输入配置详细信息来解决此问题。

编辑或删除数据连接:

  1. 从“main数据连接”页上的列表中选择相应的连接

    显示断开连接的数据连接的屏幕截图。

  2. 此时会打开一个页面,提供有关连接的更多数据。 它显示创建连接时选择的配置和任何错误消息。 还会看到以下数据:

    • 重复时间:Defender EASM 将更新数据发送到已连接工具的星期几或月份。

    • 已创建:创建数据连接的日期和时间。

    • 已更新:上次更新数据连接的日期和时间。

      显示测试连接的屏幕截图。

  3. 在此页中,可以重新连接、编辑或删除数据连接。

    • 重新连接:尝试在不对配置进行任何更改的情况下验证数据连接。 如果验证了用于数据连接的身份验证凭据,则此选项是最佳选择。
    • 编辑:允许更改数据连接的配置。
    • 删除:删除数据连接。