Configurar a exportação contínua no portal do Azure
O Microsoft Defender para Nuvem gera alertas e recomendações de segurança detalhados. Para analisar as informações que estão nesses alertas e recomendações, é possível exportá-las para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para outro SIEM (gerenciamento de eventos e informações de segurança), SOAR (resposta automatizada de orquestração de segurança) ou solução de modelo de implantação clássica de TI. É possível transmitir os alertas e recomendações conforme são gerados ou definir um agendamento para enviar instantâneos periódicos de todos os novos dados.
Este artigo descreve como configurar a exportação contínua para um workspace do Log Analytics ou para um hub de eventos no Azure.
Dica
O Defender para Nuvem também oferece a opção de fazer uma exportação manual única para um arquivo CSV (valores separados por vírgula). Saiba como baixar um arquivo CSV.
Pré-requisitos
É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
Funções e permissões necessárias:
- Administrador de Segurança ou Proprietário do grupo de recursos
- Permissões de gravação para o recurso de destino.
- Caso use as políticas DeployIfNotExist do Azure Policy, você deverá ter permissões que permitem atribuir políticas.
- Para exportar dados para os Hubs de Eventos, você deverá ter permissões de gravação na política dos Hubs de Eventos.
- Para exportar para um workspace do Log Analytics:
Se tiver a solução SecurityCenterFree, é necessário ter no mínimo permissões de leitura para a solução de workspace:
Microsoft.OperationsManagement/solutions/read
.Se não tiver a solução SecurityCenterFree, é necessário ter permissões de gravação para a solução de workspace:
Microsoft.OperationsManagement/solutions/action
.Saiba mais sobre as Soluções de workspace do Log Analytics e do Azure Monitor.
Configurar a exportação contínua no portal do Azure
Configure a exportação contínua nas páginas do Microsoft Defender para Nuvem no portal do Azure, usando a API REST ou em escala usando modelos do Azure Policy fornecidos.
Para configurar uma exportação contínua para o Log Analytics ou Hubs de Eventos do Azure usando o portal do Azure:
No menu de recursos do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura para a qual você deseja configurar a exportação de dados.
No menu de recursos em Configurações, selecione Exportação contínua.
As opções de exportação são exibidas. Há uma guia para cada destino de exportação disponível, seja o hub de eventos ou o workspace do Log Analytics.
Selecione o tipo de dados que você deseja exportar e escolha um dos filtros em cada tipo (por exemplo, exportar somente alertas de alta severidade).
Selecione a frequência de exportação:
- Streaming. As avaliações são enviadas quando o estado de integridade de um recurso é atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
- Instantâneos. Um instantâneo do estado atual dos tipos de dados selecionados que é enviado uma vez por semana por assinatura. Para identificar os dados do instantâneo, procure o campo IsSnapshot.
Se a seleção incluir uma dessas recomendações, você poderá incluir as descobertas da avaliação de vulnerabilidade:
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas
- As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Qualys)
- Os computadores devem ter as descobertas de vulnerabilidades resolvidas
- As atualizações do sistema devem ser instaladas em suas máquinas
Para incluir as descobertas com essas recomendações, defina Incluir descobertas de segurança como Sim.
Em Exportar destino, escolha onde deseja que os dados sejam salvos. Os dados podem ser salvos em um destino de uma assinatura diferente (por exemplo, em uma instância central dos Hubs de Eventos ou em um workspace central do Log Analytics).
Você também pode enviar os dados para um hub de eventos ou workspace do Log Analytics em um locatário diferente
Selecione Salvar.
Observação
O Log Analytics dá suporte apenas a registros com até 32 KB de tamanho. Quando o limite de dados é atingido, um alerta exibe a mensagem Limite de dados foi excedido.
Conteúdo relacionado
Neste artigo, você aprendeu a configurar as exportações contínuas das suas recomendações e alertas. Você também aprendeu a fazer download dos dados de alertas como um arquivo CSV.
Para conferir o conteúdo relacionado:
- Saiba mais sobre modelos de automação de fluxo de trabalho.
- Consulte a Documentação dos Hubs de Eventos do Azure.
- Saiba mais sobre o Microsoft Sentinel.
- Revise a Documentação do Azure Monitor.
- Saiba como exportar esquemas de tipos de dados.
- Consulte as perguntas frequentes sobre exportação contínua.