在 Azure 入口網站中設定連續匯出

適用於雲端的 Microsoft Defender 會產生詳細的安全性警示和建議。 若要分析這些警示和建議中的資訊，您可以將警示和建議匯出至 Azure 監視器中的 Log Analytics、匯出至 Azure 事件中樞，或匯出至另一個安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 或 IT 傳統部署模型解決方案。 您可以在警示和建議產生時建立資料流，或定義排程以定期傳送所有新資料的快照集。

本文描述如何設定對 Log Analytics 工作區或 Azure 事件中樞的連續匯出。

提示

適用於雲端的 Defender 也提供選項，讓您可以執行一次性手動匯出至逗號分隔值 (CSV) 檔案。 了解如何下載 CSV 檔案。

必要條件

• 您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。

• 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。

必要的角色和權限：

• 資源群組的安全性系統管理員或擁有者
• 目標資源的寫入權限。
• 如果您使用 Azure 原則 DeployIfNotExist 原則，則必須擁有可以指派原則的權限。
• 若要將資料匯出至事件中樞，您必須具備事件中樞原則的寫入權限。
• 若要匯出至 Log Analytics 工作區：

  • 如果該工作區使用 SecurityCenterFree 解決方案，您必須至少具備該工作區解決方案的讀取權限：Microsoft.OperationsManagement/solutions/read。

  • 如果該工作區沒有使用 SecurityCenterFree 解決方案，則您必須具備該工作區解決方案的寫入權限：Microsoft.OperationsManagement/solutions/action。

    深入了解 Azure 監視器和 Log Analytics 工作區解決方案。

在 Azure 入口網站中設定連續匯出

您可以使用 REST API 或大規模使用提供的 Azure 原則範本，在 Azure 入口網站中 [適用於雲端的 Microsoft Defender] 頁面設定連續匯出。

若要使用 Azure 入口網站，設定對 Log Analytics 或 Azure 事件中樞的連續匯出：

1. 在適用於雲端的 Defender 資源功能表，選取 [環境設定]。

2. 選取您要設定資料匯出的訂用帳戶。

3. 在資源功能表的 [設定] 底下，選取 [連續匯出]。

   

   即會出現匯出選項。 每個可用的匯出目標都有一個索引標籤，可以是事件中樞或 Log Analytics 工作區。

4. 選取您要匯出的資料類型，並從每個類型的篩選條件中選擇 (例如，只匯出高嚴重性警示)。

5. 選取匯出頻率：

   • 串流。 在資源的健全狀態更新時，即會傳送評量 (如果沒有更新發生，則不會傳送任何資料)。
   • 快照集。 每個訂用帳戶一週會傳送一次所選資料類型的目前狀態快照集。 若要識別快照集資料，請尋找欄位 IsSnapshot。

   如果您的選取項目包括其中一個建議，則可以納入建議與弱點評估結果：

   • SQL 資料庫應已解決發現的弱點
   • 機器上的 SQL Server 應已解決發現的弱點
   • 容器登錄映像應該解決發現的弱點 (由 Qualys 提供)
   • 機器應該已解決發現的弱點
   • 您應在機器上安裝系統更新

   若要納入結果與這些建議，請將 [包含安全性結果] 設定為 [是]。

   

6. 在 [匯出目標] 下方，選擇您要儲存資料的位置。 資料可以儲存在不同訂用帳戶的目標中 (例如，在中央事件中樞執行個體或中央 Log Analytics 工作區)。

   您也可以將資料傳送至不同租用戶中的事件中樞或 Log Analytics 工作區

7. 選取 [儲存]。

注意

Log Analytics 僅支援記錄，大小上限為 32 KB。 達到資料限制時，警示會顯示「已超過資料限制」訊息。

相關內容

在本文中，您已了解如何設定建議和警示的連續匯出。 您也了解如何將警示資料下載為 CSV 檔案。

若要查看相關內容：

• 深入了解工作流程自動化範本。
• 請參閱 Azure 事件中樞文件。
• 深入了解 Microsoft Sentinel。
• 檢閱 Azure 監視器文件。
• 了解如何匯出資料類型結構描述。
• 查看有關連續匯出的常見問題。