Configurar a exportação contínua no portal do Azure
O Microsoft Defender for Cloud gera alertas e recomendações de segurança detalhados. Para analisar as informações contidas nesses alertas e recomendações, você pode exportá-las para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para outro SIEM (Gerenciamento de Informações e Eventos de Segurança), SOAR (Security Orchestration Automated Response) ou solução de modelo de implantação clássica de TI. Você pode transmitir os alertas e recomendações à medida que são gerados ou definir um cronograma para enviar instantâneos periódicos de todos os novos dados.
Este artigo descreve como configurar a exportação contínua para um espaço de trabalho do Log Analytics ou para um hub de eventos no Azure.
Gorjeta
O Defender for Cloud também oferece a opção de fazer uma exportação manual única para um arquivo CSV (valores separados por vírgula). Saiba como baixar um arquivo CSV.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Funções e permissões necessárias:
- Administrador ou Proprietário de Segurança para o grupo de recursos
- Permissões de gravação para o recurso de destino.
- Se você usar as políticas DeployIfNotExist da Política do Azure, deverá ter permissões que permitam atribuir políticas.
- Para exportar dados para Hubs de Eventos, você deve ter permissões de Gravação na política de Hubs de Eventos.
- Para exportar para um espaço de trabalho do Log Analytics:
Se tiver a solução SecurityCenterFree, tem de ter um mínimo de permissões de Leitura para a solução de espaço de trabalho:
Microsoft.OperationsManagement/solutions/read
.Se não tiver a solução SecurityCenterFree, tem de ter permissões de escrita para a solução de espaço de trabalho:
Microsoft.OperationsManagement/solutions/action
.Saiba mais sobre as soluções de espaço de trabalho do Azure Monitor e do Log Analytics.
Configurar a exportação contínua no portal do Azure
Você pode configurar a exportação contínua nas páginas do Microsoft Defender for Cloud no portal do Azure, usando a API REST ou em escala usando os modelos de Política do Azure fornecidos.
Para configurar uma exportação contínua para o Log Analytics ou Hubs de Eventos do Azure usando o portal do Azure:
No menu de recursos do Defender for Cloud, selecione Configurações do ambiente.
Selecione a assinatura para a qual você deseja configurar a exportação de dados.
No menu de recursos em Configurações, selecione Exportação contínua.
As opções de exportação são exibidas. Há uma guia para cada destino de exportação disponível, hub de eventos ou espaço de trabalho do Log Analytics.
Selecione o tipo de dados que deseja exportar e escolha entre os filtros em cada tipo (por exemplo, exportar apenas alertas de alta gravidade).
Selecione a frequência de exportação:
- Streaming. As avaliações são enviadas quando o estado de integridade de um recurso é atualizado (se não ocorrerem atualizações, nenhum dado será enviado).
- Instantâneos. Um instantâneo do estado atual dos tipos de dados selecionados que são enviados uma vez por semana por assinatura. Para identificar dados de instantâneo, procure o campo IsSnapshot.
Se sua seleção incluir uma dessas recomendações, você poderá incluir as descobertas da avaliação de vulnerabilidade com elas:
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas
- As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys)
- As máquinas devem ter as descobertas de vulnerabilidade resolvidas
- As atualizações do sistema devem ser instaladas em suas máquinas
Para incluir as descobertas com essas recomendações, defina Incluir descobertas de segurança como Sim.
Em Exportar destino, escolha onde deseja que os dados sejam salvos. Os dados podem ser salvos em um destino de uma assinatura diferente (por exemplo, em uma instância central de Hubs de Eventos ou em um espaço de trabalho central do Log Analytics).
Você também pode enviar os dados para um hub de eventos ou espaço de trabalho do Log Analytics em um locatário diferente
Selecione Guardar.
Nota
O Log Analytics suporta apenas registos com até 32 KB de tamanho. Quando o limite de dados é atingido, um alerta exibe a mensagem Limite de dados foi excedido.
Conteúdos relacionados
Neste artigo, você aprendeu como configurar exportações contínuas de suas recomendações e alertas. Você também aprendeu como baixar seus dados de alertas como um arquivo CSV.
Para ver o conteúdo relacionado:
- Saiba mais sobre modelos de automação de fluxo de trabalho.
- Consulte a documentação dos Hubs de Eventos do Azure.
- Saiba mais sobre o Microsoft Sentinel.
- Consulte a documentação do Azure Monitor.
- Saiba como exportar esquemas de tipos de dados.
- Confira perguntas comuns sobre exportação contínua.