Exportando alertas e recomendações com exportação contínua
O Microsoft Defender for Cloud fornece exportação contínua de dados de segurança. Esse recurso permite que você transmita dados de segurança para o Log Analytics no Azure Monitor, para Hubs de Eventos do Azure ou para outro SIEM (Gerenciamento de Informações de Segurança e Eventos), SOAR (Security Orchestration Automated Response) ou solução de modelo de implantação clássica de TI. Você pode analisar e visualizar os dados usando os logs do Azure Monitor e outros recursos do Azure Monitor.
Ao configurar a exportação contínua, você pode personalizar totalmente quais informações exportar e para onde elas vão. Por exemplo, você pode configurá-lo para que:
- Todos os alertas de alta gravidade são enviados para um hub de eventos do Azure.
- Todas as descobertas de gravidade média ou alta das verificações de avaliação de vulnerabilidade de seus computadores que executam o SQL Server são enviadas para um espaço de trabalho específico do Log Analytics.
- Recomendações específicas são entregues a um hub de eventos ou espaço de trabalho do Log Analytics sempre que são geradas.
- A pontuação segura de uma assinatura é enviada para um espaço de trabalho do Log Analytics sempre que a pontuação de um controle é alterada em 0,01 ou mais.
Que tipos de dados podem ser exportados?
Você pode usar a exportação contínua para exportar os seguintes tipos de dados sempre que eles forem alterados:
- Recomendações de segurança.
- Severidade da recomendação.
- Constatações de segurança.
- Pontuação segura.
- Controlos.
- Alertas de segurança.
- Conformidade regulamentar.
- Caminhos de ataque
A gravidade da recomendação, as constatações de segurança e os controlos são subcategorias que pertencem a uma categoria principal . Por exemplo:
- As recomendações As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de atualizações) e as atualizações do sistema devem ser instaladas em suas máquinas , cada uma tem uma subrecomendação por atualização de sistema pendente.
- A recomendação Máquinas devem ter descobertas de vulnerabilidade resolvidas tem uma subrecomendação para cada vulnerabilidade identificada pelo verificador de vulnerabilidades.
Nota
Se você estiver configurando a exportação contínua usando a API REST, sempre inclua o pai com as descobertas.
Exportar dados para um hub de eventos ou espaço de trabalho do Log Analytics em outro locatário
Não é possível configurar dados para serem exportados para um espaço de trabalho do Log Analytics em outro locatário se você usar a Política do Azure para atribuir a configuração. Esse processo funciona somente quando você usa a API REST para atribuir a configuração e a configuração não é suportada no portal do Azure (porque requer um contexto multilocatário). O Azure Lighthouse não resolve esse problema com a Política do Azure, embora você possa usar o Azure Lighthouse como o método de autenticação.
Quando você coleta dados em um locatário, pode analisá-los de um local central.
Para exportar dados para um hub de eventos ou espaço de trabalho do Log Analytics em um locatário diferente:
No locatário que tem o hub de eventos ou o espaço de trabalho do Log Analytics, convide um usuário do locatário que hospeda a configuração de exportação contínua ou você pode configurar o Azure Lighthouse para o locatário de origem e destino.
Se você usar o acesso de usuário convidado B2B (business-to-business) na ID do Microsoft Entra, certifique-se de que o usuário aceite o convite para acessar o locatário como convidado.
Se você usar um espaço de trabalho do Log Analytics, atribua ao usuário no locatário do espaço de trabalho uma destas funções: Proprietário, Colaborador, Colaborador do Log Analytics, Colaborador do Sentinel ou Colaborador de Monitoramento.
Crie e envie a solicitação para a API REST do Azure para configurar os recursos necessários. Você deve gerenciar os tokens de portador no contexto do locatário local (espaço de trabalho) e do locatário remoto (exportação contínua).
Exportar para um espaço de trabalho do Log Analytics
Se você quiser analisar os dados do Microsoft Defender for Cloud dentro de um espaço de trabalho do Log Analytics ou usar alertas do Azure junto com alertas do Defender for Cloud, configure a exportação contínua para seu espaço de trabalho do Log Analytics.
Tabelas e esquemas do Log Analytics
Os alertas e recomendações de segurança são armazenados nas tabelas SecurityAlert e SecurityRecommend, respectivamente.
O nome da solução do Log Analytics que contém essas tabelas depende se você ativou os recursos de segurança aprimorados: Segurança (a solução de Segurança e Auditoria) ou SecurityCenterFree.
Gorjeta
Para ver os dados no espaço de trabalho de destino, você deve habilitar uma destas soluções: Segurança e Auditoria ou SecurityCenterFree.
Para exibir os esquemas de eventos dos tipos de dados exportados, consulte Esquemas de tabela do Log Analytics.