使用連續匯出導出警示和建議

適用於雲端的 Microsoft Defender 提供安全性數據的連續導出。 這項功能可讓您將安全性數據串流至 Azure 監視器中的 Log Analytics、Azure 事件中樞 或另一個安全性資訊和事件管理 （SIEM）、安全性協調流程自動化回應 （SOAR） 或 IT 傳統部署模型解決方案。 您可以使用 Azure 監視器記錄和其他 Azure 監視器功能來分析和視覺化數據。

當您設定連續匯出時，您可以完全自定義要匯出的資訊，以及資訊的位置。 例如，您可以進行設定，以便：

• 所有高嚴重性警示都會傳送至 Azure 事件中樞。
• 執行 SQL Server 的電腦弱點評估掃描的所有中型或更高嚴重性結果都會傳送至特定的 Log Analytics 工作區。
• 每當產生特定建議時，就會傳遞至事件中樞或Log Analytics工作區。
• 每當控件的分數變更為 0.01 或更多時，訂用帳戶的安全分數就會傳送至 Log Analytics 工作區。

可以匯出哪些數據類型？

您可以使用連續匯出，在變更時匯出下列資料類型：

• 安全性建議。
  • 建議嚴重性。
  • 安全性結果。
• 安全分數。
  • 控制項。
• 安全性警示。
• 法規合規性。
• 攻擊路徑

建議嚴重性、安全性結果和控件是屬於父類別的子類別。 例如：

• 系統更新應該 安裝在您的電腦上（由更新中心提供電源）， 而 系統更新應該安裝在您的計算機 上，每一個都有一個未完成系統更新的子建議。
• 建議 計算機應已 解決弱點結果，針對弱點掃描器所識別的每個弱點，都有子建議。

注意

如果您要使用 REST API 來設定連續匯出，請一律將父系包含在結果中。

將數據匯出至另一個租使用者中的事件中樞或Log Analytics工作區

如果您使用 Azure 原則 來指派設定，就無法將數據匯出至另一個租使用者中的Log Analytics工作區。 此程式只有在您使用 REST API 來指派設定時，且 Azure 入口網站 不支援設定（因為它需要多租用戶內容）。 雖然您可以使用 Azure Lighthouse 作為驗證方法，但 Azure Lighthouse 無法解決 Azure 原則 此問題。

當您在租使用者中收集數據時，您可以從一個集中位置分析數據。

若要將數據匯出至不同租使用者中的事件中樞或Log Analytics工作區：

• 在具有事件中樞或Log Analytics工作區的租使用者中， 邀請裝載連續匯出設定的租使用者中的使用者 ，或者您可以為來源和目的地租用戶設定 Azure Lighthouse。

• 如果您在 Microsoft Entra ID 中使用企業對企業 （B2B） 來賓使用者存取權，請確定使用者接受邀請以來賓身分存取租使用者。

• 如果您使用Log Analytics工作區，請在工作區租使用者中指派下列其中一個角色：擁有者、參與者、Log Analytics 參與者、Sentinel 參與者或監視參與者。

• 建立並提交要求給 Azure REST API，以設定所需的資源。 您必須在本機 （workspace） 租使用者和遠端 （連續匯出） 租使用者的內容中管理持有人令牌。

匯出至 Log Analytics 工作區

如果您想要分析 Log Analytics 工作區內的 適用於雲端的 Microsoft Defender 數據，或使用 Azure 警示搭配 適用於雲端的 Defender 警示，請設定連續導出至 Log Analytics 工作區。

Log Analytics 數據表和架構

安全性警示和建議分別儲存在 SecurityAlert 和 SecurityRecommendation 數據表中。

包含這些數據表的 Log Analytics 解決方案名稱取決於您是否啟用增強式安全性功能：安全性（安全性和稽核解決方案）或 SecurityCenterFree。

提示

若要查看目的地工作區上的數據，您必須啟用下列其中一個解決方案：安全性和稽核或 SecurityCenterFree。

若要檢視導出數據類型的事件架構，請參閱 Log Analytics資料表架構。

相關內容

• 在 Azure 入口網站 中設定連續匯出
• 使用 REST API 設定連續匯出
• 使用 Azure 原則 設定連續匯出