適用於雲端的 Microsoft Defender 會產生安全警示與建議。 您可以將資料匯出至 Azure 監視器中的記錄分析、Azure 事件中樞,或其他安全資訊與事件管理(SIEM)、安全協調自動回應(SOAR)或 IT 經典部署模型解決方案。 你可以在資料產生時以串流方式傳送資料,或依排程傳送新資料的快照。
本文說明如何在 Azure 中設定持續匯出到 Log Analytics 工作空間或事件中心。
小提示
適用於雲端的 Defender 也提供一次性手動匯出為逗號分隔值(CSV)檔案的功能。 瞭解如何 下載 CSV 檔案。
先決條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
- 資源群組的安全性系統管理員或擁有者
- 目標資源的寫入權限。
- 如果您使用 Azure 原則 DeployIfNotExist 原則,您必須具有可讓您指派原則的許可權。
- 若要將資料匯出至事件中樞,您必須具有事件中樞原則的寫入許可權。
- 若要匯出至 Log Analytics 工作區:
如果它具有 SecurityCenterFree 解決方案,您必須具有工作區解決方案的最低讀取權限:
Microsoft.OperationsManagement/solutions/read。如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:
Microsoft.OperationsManagement/solutions/action。
在 Azure 入口網站中設定連續匯出
你可以在 Azure 入口網站的 適用於雲端的 Microsoft Defender 頁面中,使用 REST API 設定持續匯出,或在規模上使用 Azure 原則 範本。
使用 Azure 入口網站進行設定以連續匯出至 Log Analytics 或 Azure 事件中樞:
在適用於雲端的 Defender 資源功能表上,選取 [環境設定]。
選取您要設定資料匯出的訂閱。
在 [設定] 底下的資源功能表中,選取 [連續匯出]。
匯出選項會出現。 每個目標都有一個分頁:Event Hubs 或 Log Analytics workspace。
選擇你想匯出的資料類型,然後選擇該類型的篩選條件。 例如,你可以只匯出高嚴重度警報。
選取匯出頻率:
- 串流。 當資源的健康情況狀態更新時,會傳送評估 (如果未發生更新,則不會傳送任何資料)。
- 快照。 所選資料類型目前狀態的快照集,每個訂閱每週傳送一次。 若要識別快照資料,請尋找 IsSnapshot 欄位。
如果您的選擇包含下列其中一項建議,您可以將弱點評估結果包含在其中:
- SQL 資料庫應已解決弱點結果
- 機器上的 SQL Server 應該解決安全漏洞問題
- 容器登錄映像應該解決發現的弱點 (由 Qualys 提供)
- 機器中發現的弱點應該已經解決
- 系統更新應安裝在您的計算機上
若要將發現項目包含在這些建議中,請將 包含安全發現項目設定 為 Yes。
![此螢幕擷取畫面顯示持續匯出組態中的 [包含安全性發現結果] 切換開關。](media/continuous-export/include-security-findings-toggle.png)
在 [匯出目標] 底下,選擇您要儲存資料的位置。 資料可以儲存在不同訂用帳戶的目標中 (例如,在中央事件中樞執行個體或中央 Log Analytics 工作區)。
您也可以將資料傳送至 其他租用戶的事件中樞或 Log Analytics 工作區
選取 [儲存]。
備註
Log Analytics 僅支援大小不超過 32 KB 的記錄。 當達到資料限制時,警示會顯示訊息「 已超出資料限制」。
相關內容
在本文中,您已瞭解如何設定建議和警示的連續匯出。 您也瞭解如何將警示資料下載為 CSV 檔案。
查看相關內容:
- 瞭解如何在 Azure 監視器中 檢視匯出的資料 。
- 進一步了解 工作流程自動化範本。
- 請參閱 Azure 事件中樞文件。
- 深入了解 Microsoft Sentinel。
- 請查看 Azure 監視器 文件。
- 瞭解如何 匯出資料型別結構描述。
- 查看有關連續匯出的 常見問題 。