分享方式:


在 Azure 入口網站中設定連續匯出

適用於雲端的 Microsoft Defender 會產生詳細的安全性警示和建議。 若要分析這些警示和建議中的資訊,您可以將警示和建議匯出至 Azure 監視器中的 Log Analytics、匯出至 Azure 事件中樞,或匯出至另一個安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 或 IT 傳統部署模型解決方案。 您可以在警示和建議產生時建立資料流,或定義排程以定期傳送所有新資料的快照集。

本文描述如何設定對 Log Analytics 工作區或 Azure 事件中樞的連續匯出。

提示

適用於雲端的 Defender 也提供選項,讓您可以執行一次性手動匯出至逗號分隔值 (CSV) 檔案。 了解如何下載 CSV 檔案

必要條件

必要的角色和權限:

  • 資源群組的安全性系統管理員或擁有者
  • 目標資源的寫入權限。
  • 如果您使用 Azure 原則 DeployIfNotExist 原則,則必須擁有可以指派原則的權限。
  • 若要將資料匯出至事件中樞,您必須具備事件中樞原則的寫入權限。
  • 若要匯出至 Log Analytics 工作區:
    • 如果該工作區使用 SecurityCenterFree 解決方案,您必須至少具備該工作區解決方案的讀取權限:Microsoft.OperationsManagement/solutions/read

    • 如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:Microsoft.OperationsManagement/solutions/action

      深入了解 Azure 監視器和 Log Analytics 工作區解決方案

在 Azure 入口網站中設定連續匯出

您可以使用 REST API 或大規模使用提供的 Azure 原則範本,在 Azure 入口網站中 [適用於雲端的 Microsoft Defender] 頁面設定連續匯出。

若要使用 Azure 入口網站,設定對 Log Analytics 或 Azure 事件中樞的連續匯出

  1. 在適用於雲端的 Defender 資源功能表,選取 [環境設定]

  2. 選取您要設定資料匯出的訂用帳戶。

  3. 在資源功能表的 [設定] 底下,選取 [連續匯出]

    此螢幕擷取畫面顯示適用於雲端的 Microsoft Defender 中的匯出選項。

    即會出現匯出選項。 每個可用的匯出目標都有一個索引標籤,可以是事件中樞或 Log Analytics 工作區。

  4. 選取您要匯出的資料類型,並從每個類型的篩選條件中選擇 (例如,只匯出高嚴重性警示)。

  5. 選取匯出頻率:

    • 串流。 在資源的健全狀態更新時,即會傳送評量 (如果沒有更新發生,則不會傳送任何資料)。
    • 快照集。 每個訂用帳戶一週會傳送一次所選資料類型的目前狀態快照集。 若要識別快照集資料,請尋找欄位 IsSnapshot

    如果您的選取項目包括其中一個建議,則可以納入建議與弱點評估結果:

    若要納入結果與這些建議,請將 [包含安全性結果] 設定為 [是]

    此螢幕擷取畫面顯示持續匯出組態中的 [包含安全性發現結果] 切換開關。

  6. 在 [匯出目標] 下方,選擇您要儲存資料的位置。 資料可以儲存在不同訂用帳戶的目標中 (例如,在中央事件中樞執行個體或中央 Log Analytics 工作區)。

    您也可以將資料傳送至不同租用戶中的事件中樞或 Log Analytics 工作區

  7. 選取 [儲存]

注意

Log Analytics 僅支援記錄,大小上限為 32 KB。 達到資料限制時,警示會顯示「已超過資料限制」訊息。

在本文中,您已了解如何設定建議和警示的連續匯出。 您也了解如何將警示資料下載為 CSV 檔案。

若要查看相關內容: