Einrichten eines fortlaufenden Exports mit Azure Policy
Der fortlaufende Export von Microsoft Defender for Cloud-Sicherheitswarnungen und -empfehlungen kann Sie bei der Analyse der Daten in Log Analytics oder Azure Event Hubs unterstützen. Sie können den kontinuierlichen Export in Defender for Cloud im großen Maßstab einrichten, indem Sie die bereitgestellten Azure-Richtlinienvorlagen verwenden.
Tipp
Defender for Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Erforderliche Rollen und Berechtigungen:
Sicherheitsadministrator*in oder Besitzer*in für die Ressourcengruppe
Schreibberechtigungen für die Zielressource.
Wenn Sie die DeployIfNotExist-Richtlinien von Azure Policy verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
Um Daten zu Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
So exportieren Sie in einen Log Analytics-Arbeitsbereich
- Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben:
Microsoft.OperationsManagement/solutions/read. - Wenn er nicht über die SecurityCenterFree-Lösung verfügt, müssen Sie Schreibberechtigungen für die Arbeitsbereichslösung haben:
Microsoft.OperationsManagement/solutions/action.
Erfahren Sie mehr über Azure Monitor und Log Analytics-Arbeitsbereichslösungen.
- Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben:
Einrichten eines fortlaufenden Exports im großen Stil mit Azure Policy
Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann Ihnen helfen, die Zeit zu verkürzen, die zum Untersuchen und Entschärfen von Sicherheitsvorfällen benötigt wird.
Verwenden Sie für die Bereitstellung Ihrer Konfigurationen für den fortlaufenden Export in Ihrer Organisation die von Azure Policy bereitgestellten DeployIfNotExist-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für den fortlaufenden Export.
So implementieren Sie diese Richtlinien:
Wählen Sie eine Richtlinie aus, die angewendet werden soll:
Zielsetzung Richtlinie Richtlinien-ID Fortlaufender Export zu Event Hubs Bereitstellen eines Exports in Event Hubs für Warnungen und Empfehlungen von Microsoft Defender für Cloud cdfcce10-4578-4ecd-9703-530938e4abcb Fortlaufender Export in einen Log Analytics-Arbeitsbereich Bereitstellen eines Exports in einem Log Analytics-Arbeitsbereich für Warnungen und Empfehlungen von Microsoft Defender für Cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Wählen Sie Zuweisen aus.
Wählen Sie jede Registerkarte aus, und legen Sie die Parameter so fest, dass sie Ihren Anforderungen entsprechen:
Legen Sie auf der Registerkarte Grundlagen den Bereich für die Richtlinie fest. Um die zentrale Verwaltung zu nutzen, weisen Sie die Richtlinie der Verwaltungsgruppe zu, welche die Abonnements enthält, welche die Konfiguration für den fortlaufenden Export verwenden.
Legen Sie auf der Registerkarte Parameter den Ressourcengruppennamen, den Standort und die Event Hub-Details fest.
Wenn Sie diese Zuweisung optional auf vorhandene Abonnements anwenden möchten, wählen Sie die Registerkarte Wartung aus und dann die Option zum Erstellen einer Wartungsaufgabe.
Überprüfen Sie die Seite „Zusammenfassung“ und wählen dann Erstellen aus.