本文說明如何查看匯出至 Azure 監視器 的 適用於雲端的 Microsoft Defender 資料。 它涵蓋了 Log Analytics 和 Azure 事件中樞,並說明如何根據匯出資料建立 Azure 監視器 警報規則。
先決條件
在開始之前,先用以下方法之一設定連續匯出:
在 Log Analytics 中檢視匯出的資料
當您將適用於雲端的 Defender 資料匯出至 Log Analytics 工作區時,會自動建立兩個主要資料表:
SecurityAlertSecurityRecommendation
您可以在 Log Analytics 中查詢這些資料表,以確認連續匯出是否正常運作。
請登入 Azure 入口網站,網址為 portal.azure.com。
搜尋並選取 Log Analytics 工作區。
選擇你設定為持續匯出目標的工作 區 。
在工作區功能表的 [一般] 底下,選取 [記錄]。
在查詢視窗中,輸入下列其中一個查詢,然後選取 [執行]:
SecurityAlert或
SecurityRecommendation
在 Azure 事件中樞中檢視匯出的資料
當您將資料匯出至 Azure 事件中樞時,適用於雲端的 Defender 會持續將警示和建議串流為事件訊息。 您可以在 Azure 入口網站 中檢視這些匯出的事件,並透過連線下游服務來進一步分析它們。
請登入 Azure 入口網站,網址為 portal.azure.com。
搜尋並選取 事件中樞命名空間。
選擇你設定為持續匯出的 命名空間和事件中心 。
在事件中樞功能表中,選取 [計量] 以檢視訊息活動,或選取 [ 處理資料>擷取] 以檢閱儲存在擷取目的地中的事件內容。
可選擇使用連接工具,如Microsoft Sentinel、安全資訊與事件管理(SIEM)解決方案,或自訂消費者應用程式來讀取並處理匯出事件。
備註
適用於雲端的 Defender 以 JavaScript 物件符號(JSON)格式傳送資料。 您可以使用事件中樞擷取或取用者群組來儲存和分析匯出的事件。
在 Azure 監視器中建立警示規則 (選擇性)
您可以根據匯出的適用於雲端的 Defender 資料來建立 Azure 監視器警示。 這些警示讓您能在特定安全事件發生時自動觸發行動,例如發送電子郵件通知或建立資訊科技服務管理(ITSM)工單。
請登入 Azure 入口網站,網址為 portal.azure.com。
搜尋並選取 [監視]。
選取 [警示] 。
選取 [+ 建立]>[警示規則]。
![Azure 監視器 警示頁面,已開啟 [+ 建立] 功能表,並已選取 [警示規則]。](media/continuous-export-view-data/azure-monitor-alerts.png)
設定新規則的方式,就像在 Azure 監視器 裡設定日誌警示規則一樣。 詳情請參見 「配置日誌警示規則」:
- 針對 [資源類型],選取您已將安全性警示和建議匯出至其中的 Log Analytics 工作區。
- 針對 [條件],選取 [自訂記錄搜尋]。 在出現的頁面中,設定查詢、回顧期間和頻率週期。 在查詢中,輸入 SecurityAlert 或 SecurityRecommendation。
- 可選擇性地建立動作群組來觸發自動回應。 關於設定指引,請參見 Azure 監視器 動作群組。 動作群組可以發送電子郵件、建立 ITSM 工單、執行 webhook 等多種功能。
![Azure 監視器 警示頁面,已開啟 [+ 建立] 功能表,並已選取 [警示規則]。](media/continuous-export-view-data/azure-monitor-alerts.png#lightbox)
儲存規則之後,適用於雲端的 Defender 警示或建議會根據您的持續匯出設定和警示規則條件,出現在 Azure 監視器中。 如果您已連結動作群組,則會在符合規則條件時自動觸發。