通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用数据连接

  • 项目

本文讨论 Microsoft Defender 外部攻击面管理 (Defender EASM) 中的数据连接功能。

概述

Defender EASM 现在提供数据连接,帮助你将攻击面数据无缝集成到其他 Microsoft 解决方案中,从而在现有工作流中补充新的见解。 必须将 Defender EASM 中的数据引入用于修正目的的其他安全工具,以便充分利用攻击面数据。

数据连接器将 Defender EASM 资产数据发送到两个不同的平台:Log Analytics 和 Azure 数据资源管理器。 需要将 Defender EASM 数据导出到任一工具。 数据连接受每个相应平台的定价模型的约束。

Log Analytics 提供安全信息和事件管理以及安全业务流程、自动化和响应功能。 可以在 Log Analytics 中使用 Defender EASM 资产或见解信息,以使用其他安全数据扩充现有工作流。 此信息可以对防火墙和配置信息、威胁智能和符合性数据进行补充,以便了解开放 Internet 上面向外部的基础结构。

您可以:

  • 创建或扩充安全事件。
  • 生成调查 playbook。
  • 训练机器学习算法。
  • 触发修正操作。

Azure 数据资源管理器是一个大数据分析平台,可帮助你使用灵活的自定义功能分析来自各种源的大量数据。 可以集成 Defender EASM 资产和见解数据,以在平台中使用可视化效果、查询、引入和管理功能。

无论是使用 Power BI 生成自定义报表还是搜寻匹配精确 KQL 查询的资产,通过将 Defender EASM 数据导出到 Azure 数据资源管理器,都能够使用具有无限自定义潜力的攻击面数据。

数据内容选项

Defender EASM 数据连接使你能够将两种不同类型的攻击面数据集成到所选的工具中。 可以选择迁移资产数据或攻击面见解,或者同时迁移这两种数据类型。 资产数据提供有关整个清单的精细详细信息。 攻击面见解提供基于 Defender EASM 仪表板的即时可操作见解。

为了准确呈现对组织而言最重要的基础结构,这两个内容选项仅包含清单状态为“已批准”的资产。

资产数据:“资产数据”选项将有关所有清单资产的数据发送到所选的工具。 此选项最适合用于精细基础元数据是 Defender EASM 集成的关键的用例。 示例包括 Microsoft Sentinel 或者 Azure 数据资源管理器中的自定义报告。 可以导出清单中每个资产的大致上下文,以及特定于特定资产类型的精细详细信息。

此选项不提供任何预先确定的资产相关见解。 相反,它提供了大量的数据,以便你可以找到你最关心的自定义见解。

攻击面见解:攻击面见解基于 Defender EASM 中的仪表板提供的关键见解提供一组可操作的结果。 此选项为每个资产提供不那么精细的元数据。 它根据相应的见解对资产进行分类,并提供进一步调查所需的大致上下文。 如果要将这些预先确定的见解与来自其他工具的数据集成到自定义报告工作流中,则此选项是理想的选择。

配置概述

本部分介绍有关配置的一般信息。

访问数据连接

在 Defender EASM 资源窗格中最左侧的窗格中,在“管理”下选择“数据连接”。 此页面显示 Log Analytics 和 Azure 数据资源管理器的数据连接器。 其中列出了任何当前连接,并提供用于添加、编辑或删除连接的选项。

显示数据连接页的屏幕截图。

连接先决条件

为了成功创建数据连接,必须先确保已完成向所选工具授予 Defender EASM 权限所需的步骤。 此过程使应用程序能够引入导出的数据。 它还提供配置连接所需的身份验证凭据。

注意

Defender EASM 数据连接不支持专用链接或网络。

配置 Log Analytics 权限

  1. 打开 Log Analytics 工作区,该工作区将引入 Defender EASM 数据或创建新的工作区

  2. 在最左侧的窗格中的“设置”下,选择“代理”。

    显示 Log Analytics 代理的屏幕截图。

  3. 展开“Log Analytics 代理说明”部分,查看工作区 ID 和主密钥。 这些值用于设置数据连接。

对此数据连接的使用由 Log Analytics 的定价结构决定。 有关详细信息,请参阅 Azure Monitor 定价

配置 Azure 数据资源管理器权限

确保 Defender EASM API 服务主体有权访问要将攻击面数据导出到的数据库中的正确角色。 首先,请确保在适当的租户中创建 Defender EASM 资源,因为此操作会预配 EASM API 主体。

  1. 打开 Azure 数据资源管理器群集,该群集将引入 Defender EASM 数据或创建新的群集

  2. 在最左侧窗格的“数据”下,选择“数据库”。

  3. 选择“添加数据库”,创建数据库来保存 Defender EASM 数据。

    显示 Azure 数据资源管理器的“添加数据库”的屏幕截图。

  4. 为数据库命名、配置保留期和缓存周期,然后选择“创建”。

    显示创建新数据库的屏幕截图。

  5. 创建 Defender EASM 数据库后,选择数据库名称来打开详细信息页。 在最左侧的窗格中,在“概述”下选择“权限”。 为了成功地将 Defender EASM 数据导出到 Azure 数据资源管理器,必须为 EASM API 创建两个新权限:“用户”和“引入者”。

    显示 Azure 数据资源管理器权限的屏幕截图。

  6. 选择“添加”并创建用户。 搜索“EASM API”,选择值,然后选中“选择”。

  7. 选择“添加”来创建引入者。 按照前面概述的相同步骤,将 EASM API 添加为引入者。

  8. 数据库现已准备好连接到 Defender EASM。 配置数据连接时,需要群集名称、数据库名称和区域。

添加数据连接

可以将 Defender EASM 数据连接到 Log Analytics 或 Azure 数据资源管理器。 为此,请从“数据连接”页中,为相应的工具选择“添加连接”。

“数据连接”页右侧将打开配置窗格。 以下字段是每个相应工具的必填字段。

Log Analytics

  • 名称:输入此数据连接的名称。

  • 工作区 ID:输入要将 Defender EASM 数据导出到的 Log Analytics 实例的工作区 ID。

  • API 密钥:输入 Log Analytics 实例的 API 密钥。

  • 内容:选择集成资产数据或攻击面见解,或者同时集成这两个数据集。

  • 频率:选择 Defender EASM 连接用于将更新后的数据发送到所选工具的频率。 可用选项包括每日、每周和每月。

    显示 Log Analytics 的“添加数据连接”屏幕的屏幕截图。

Azure 数据资源管理器

  • 名称:输入此数据连接的名称。

  • 群集名称:输入要将 Defender EASM 数据导出到的 Azure 数据资源管理器群集的名称。

  • 区域:输入 Azure 数据资源管理器群集的区域。

  • 数据库名称:输入所需数据库的名称。

  • 内容:选择集成资产数据或攻击面见解,或者同时集成这两个数据集。

  • 频率:选择 Defender EASM 连接用于将更新后的数据发送到所选工具的频率。 可用选项包括每日、每周和每月。

    显示 Azure 数据资源管理器的“添加数据连接”屏幕的屏幕截图。

    配置所有字段后,选择“添加”以创建数据连接。 此时,“数据连接”页将显示一个横幅,指示已成功创建资源。 30 分钟后,数据开始填充。 创建连接后,这些连接将在主“数据连接”页上的适用工具下列出。

编辑或删除数据连接

可以编辑或删除数据连接。 例如,你可能会注意到连接被列为“断开连接”。 在这种情况下,需要重新输入配置详细信息来解决此问题。

若要编辑或删除数据连接,请执行以下操作:

  1. 从主“数据连接”页上的列表中选择适当的连接。

    显示已断开的数据连接的屏幕截图。

  2. 此时会打开一个页面,提供有关连接的更多数据。 它显示创建连接时选择的配置以及任何错误消息。 另请参阅以下数据:

    • 定期:Defender EASM 将更新后的数据发送到连接的工具的时间(具体星期几或日期)。

    • 创建时间:创建数据连接的日期和时间。

    • 更新时间:上次更新数据连接的日期和时间。

      显示测试连接的屏幕截图。

  3. 在此页中,可以重新连接、编辑或删除数据连接。

    • 重新连接:尝试验证数据连接而不对配置进行任何更改。 如果验证了用于数据连接的身份验证凭据,则此选项是最佳选择。
    • 编辑:允许更改数据连接的配置。
    • 删除:删除数据连接。