Nastavení průběžného exportu na webu Azure Portal
Microsoft Defender pro cloud generuje podrobné výstrahy zabezpečení a doporučení. Pokud chcete analyzovat informace, které jsou v těchto upozorněních a doporučeních, můžete je exportovat do Log Analytics ve službě Azure Monitor, do služby Azure Event Hubs nebo do jiného řešení modelu nasazení SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response) nebo do řešení modelu nasazení Classic IT. Upozornění a doporučení můžete streamovat při jejich generování nebo definovat plán pro odesílání pravidelných snímků všech nových dat.
Tento článek popisuje, jak nastavit průběžný export do pracovního prostoru služby Log Analytics nebo do centra událostí v Azure.
Tip
Defender for Cloud také nabízí možnost jednorázového ručního exportu do souboru hodnot oddělených čárkami (CSV). Přečtěte si, jak stáhnout soubor CSV.
Požadavky
Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Požadované role a oprávnění:
- Správce zabezpečení nebo vlastník skupiny prostředků
- Oprávnění k zápisu pro cílový prostředek
- Pokud používáte zásady Azure Policy DeployIfNotExist, musíte mít oprávnění, která umožňují přiřazovat zásady.
- Pokud chcete exportovat data do služby Event Hubs, musíte mít oprávnění k zápisu do zásad služby Event Hubs.
- Export do pracovního prostoru služby Log Analytics:
Pokud má řešení SecurityCenterFree, musíte mít minimálně oprávnění ke čtení pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/read.Pokud řešení SecurityCenterFree nemá, musíte mít oprávnění k zápisu pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/action.Přečtěte si další informace o řešeních pracovních prostorů služby Azure Monitor a Log Analytics.
Nastavení průběžného exportu na webu Azure Portal
Průběžný export můžete nastavit na stránkách Microsoft Defenderu pro cloud na webu Azure Portal pomocí rozhraní REST API nebo ve velkém měřítku pomocí poskytnutých šablon Azure Policy.
Nastavení průběžného exportu do Log Analytics nebo Azure Event Hubs pomocí webu Azure Portal:
V nabídce prostředků Defender for Cloud vyberte Nastavení prostředí.
Vyberte předplatné, pro které chcete nakonfigurovat export dat.
V nabídce prostředků v části Nastavení vyberte Průběžný export.
Zobrazí se možnosti exportu. Pro každý dostupný cíl exportu je k dispozici karta, buď centrum událostí, nebo pracovní prostor služby Log Analytics.
Vyberte datový typ, který chcete exportovat, a vyberte z filtrů u každého typu (například exportujte pouze výstrahy s vysokou závažností).
Vyberte frekvenci exportu:
- Streamování. Hodnocení se posílají při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou odeslána žádná data).
- Snímky. Snímek aktuálního stavu vybraných datových typů, které se odesílají jednou týdně za předplatné. Pokud chcete identifikovat data snímku, vyhledejte pole IsSnapshot.
Pokud váš výběr obsahuje jedno z těchto doporučení, můžete s nimi zahrnout zjištění posouzení ohrožení zabezpečení:
- Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení
- Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích
- Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys).
- Počítače by měly mít vyřešené zjištění ohrožení zabezpečení.
- Na počítačích by se měly nainstalovat aktualizace systému.
Pokud chcete do těchto doporučení zahrnout zjištění, nastavte možnost Zahrnout závěry zabezpečení na ano.
V části Exportovat cíl zvolte, kam chcete data uložit. Data je možné uložit do cíle jiného předplatného (například v centrální instanci služby Event Hubs nebo v centrálním pracovním prostoru služby Log Analytics).
Data můžete také odeslat do centra událostí nebo do pracovního prostoru služby Log Analytics v jiném tenantovi.
Zvolte Uložit.
Poznámka:
Log Analytics podporuje pouze záznamy, které mají velikost až 32 kB. Po dosažení limitu dat se zobrazí upozornění, že došlo k překročení limitu dat zprávy.
Související obsah
V tomto článku jste zjistili, jak nakonfigurovat průběžné exporty doporučení a upozornění. Dozvěděli jste se také, jak stáhnout data upozornění jako soubor CSV.
Zobrazení souvisejícího obsahu:
- Přečtěte si další informace o šablonách automatizace pracovních postupů.
- Prohlédnou si dokumentaci ke službě Azure Event Hubs.
- Přečtěte si další informace o Microsoft Sentinelu.
- Projděte si dokumentaci ke službě Azure Monitor.
- Naučte se exportovat schémata datových typů.
- Podívejte se na běžné otázky týkající se průběžného exportu.