Exportieren von Warnungen und Empfehlungen mithilfe des fortlaufenden Exports

Microsoft Defender for Cloud bietet fortlaufenden Export von Sicherheitsdaten. Mit diesem Feature können Sie Sicherheitsdaten in Log Analytics in Azure Monitor, in Azure Event Hubs oder in eine andere Lösung für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) oder ein klassisches IT-Bereitstellungsmodell streamen. Sie können die Daten mithilfe von Azure Monitor-Protokollen und anderen Azure Monitor-Features analysieren und visualisieren.

Wenn Sie den fortlaufenden Export einrichten, können Sie die zu exportierenden Informationen und deren Ziel vollständig anpassen. Sie können z. B. die folgenden Konfigurationen vornehmen:

  • Alle Warnungen mit einem hohen Schweregrad werden an einen Azure-Event Hub gesendet.
  • Alle Ergebnisse mit einem mittleren oder höheren Schweregrad aus Scans für die Sicherheitsrisikobewertung Ihrer Computer, die auf SQL Server ausgeführt werden, werden an einen bestimmten Log Analytics-Arbeitsbereich gesendet.
  • Bestimmte Empfehlungen werden bei der Generierung an einen Event Hub oder einen Log Analytics-Arbeitsbereich gesendet.
  • Der Sicherheitsscore für ein Abonnement wird immer dann an einen Log Analytics-Arbeitsbereich gesendet, wenn sich der Score für eine Kontrolle um 0,01 oder mehr ändert.

Welche Datentypen können exportiert werden?

Sie können den fortlaufenden Export verwenden, um die folgenden Datentypen immer dann zu exportieren, wenn sie sich ändern:

  • Sicherheitsempfehlungen.
    • Empfehlungsschweregrad.
    • Sicherheitsergebnisse.
  • Sicherheitsbewertung.
    • Steuerelemente.
  • Sicherheitswarnungen.
  • Einhaltung gesetzlicher Bestimmungen.
  • Angriffspfade

Empfehlungsschweregrad, Sicherheitsergebnisse und Steuerelemente sind Unterkategorien, die zu einer übergeordneten Kategorie gehören. Zum Beispiel:

Hinweis

Wenn Sie einen fortlaufenden Export mithilfe der REST-API konfigurieren, schließen Sie immer das übergeordnete Element in die Ergebnisse ein.

Exportieren von Daten zu einem Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten

Sie können keine Daten konfigurieren, die in einen Log Analytics-Arbeitsbereich in einem anderen Mandanten exportiert werden sollen, wenn Sie Azure Policy verwenden, um die Konfiguration zuzuweisen. Dieser Prozess funktioniert nur, wenn Sie die REST-API verwenden, um die Konfiguration zuzuweisen, und die Konfiguration wird im Azure-Portal nicht unterstützt (da ein mandantenfähiger Kontext erforderlich ist). Azure Lighthouse löst dieses Problem nicht mit Azure Policy auf, aber Sie können Azure Lighthouse als Authentifizierungsmethode verwenden.

Wenn Sie Daten in einem Mandanten sammeln, können Sie diese von einem zentralen Ort aus analysieren.

So exportieren Sie Daten zu einem Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten:

  • Laden Sie in dem Mandanten mit dem Event Hub oder Log Analytics-Arbeitsbereich eine*n Benutzer*in aus dem Mandanten ein, der die Konfiguration des fortlaufenden Exports hostet, oder konfigurieren Sie Azure Lighthouse für den Quell- und Zielmandanten.

  • Wenn Sie den Business-to-Business (B2B)-Gastbenutzerzugriff in Microsoft Entra ID verwenden, stellen Sie sicher, dass Benutzer*innen die Einladung annehmen, als Gast auf den Mandanten zuzugreifen.

  • Wenn Sie einen Log Analytics-Arbeitsbereich verwenden, weisen Sie Benutzer*innen im Arbeitsbereichsmandanten eine dieser Rollen zu: Eigentümer, Mitwirkender, Log Analytics-Mitwirkender, Sentinel-Mitwirkender oder Monitoring-Mitwirkender.

  • Erstellen und übermitteln Sie die Anforderung an die Azure REST API, um die erforderlichen Ressourcen zu konfigurieren. Sie müssen die Bearertoken sowohl im Kontext des lokalen Mandanten (Arbeitsbereichs) als auch des Remote-Mandanten (fortlaufender Export) verwalten.

Exportieren zu einem Log Analytics-Arbeitsbereich

Wenn Sie Daten von Microsoft Defender für Cloud in einem Log Analytics-Arbeitsbereich analysieren oder Azure-Warnungen zusammen mit Defender für Cloud-Warnungen verwenden möchten, richten Sie einen fortlaufenden Export für Ihren Log Analytics-Arbeitsbereich ein.

Log Analytics-Tabellen und -Schemas

Sicherheitswarnungen und -empfehlungen werden in den Tabellen SecurityAlert und SecurityRecommendation gespeichert.

Der Name der Log Analytics-Lösung, welche diese Tabellen enthält, hängt davon ab, ob Sie die erweiterten Sicherheitsfeatures aktiviert haben: Sicherheit (die Lösung für „Sicherheit und Überwachung“) oder SecurityCenterFree.

Tipp

Um die Daten auf dem Zielarbeitsbereich zu sehen, müssen Sie eine dieser Lösungen aktivieren: „Sicherheit und Überwachung“ oder SecurityCenterFree.

Der Screenshot zeigt die SecurityAlert-Tabelle in Log Analytics.

Um die Ereignisschemas der exportierten Datentypen anzuzeigen, lesen Sie Log Analytics-Tabellenschemas.