Azure portalında sürekli dışarı aktarmayı ayarlama
Bulut için Microsoft Defender ayrıntılı güvenlik uyarıları ve öneriler oluşturur. Bu uyarı ve önerilerdeki bilgileri analiz etmek için bunları Azure İzleyici'deki Log Analytics'e, Azure Event Hubs'a veya başka bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme Otomatik Yanıtı (SOAR) veya BT klasik dağıtım modeli çözümüne aktarabilirsiniz. Oluşturulan uyarıların ve önerilerin akışını yapabilir veya tüm yeni verilerin düzenli anlık görüntülerini göndermek için bir zamanlama tanımlayabilirsiniz.
Bu makalede, Log Analytics çalışma alanına veya Azure'daki bir olay hub'ına sürekli dışarı aktarmanın nasıl ayarlanacağı açıklanır.
İpucu
Bulut için Defender, virgülle ayrılmış değerler (CSV) dosyasına tek seferlik, el ile dışarı aktarma seçeneği de sunar. CSV dosyasını indirmeyi öğrenin.
Önkoşullar
Microsoft Azure aboneliğiniz olması gerekir. Azure aboneliğiniz yoksa ücretsiz aboneliğe kaydolabilirsiniz.
Azure aboneliğinizde Bulut için Microsoft Defender etkinleştirmeniz gerekir.
Gerekli roller ve izinler:
- Kaynak grubunun Güvenlik Yöneticisi veya Sahibi
- Hedef kaynak için yazma izinleri.
- Azure İlkesi DeployIfNotExist ilkelerini kullanıyorsanız, ilke atamanıza izin veren izinlere sahip olmanız gerekir.
- Event Hubs'a veri aktarmak için Event Hubs ilkesinde Yazma izinlerine sahip olmanız gerekir.
- Log Analytics çalışma alanına aktarmak için:
SecurityCenterFree çözümüne sahipse, çalışma alanı çözümü için en az Okuma izinlerine sahip olmanız gerekir:
Microsoft.OperationsManagement/solutions/read.SecurityCenterFree çözümü yoksa, çalışma alanı çözümü için yazma izinlerine sahip olmanız gerekir:
Microsoft.OperationsManagement/solutions/action.Azure İzleyici ve Log Analytics çalışma alanı çözümleri hakkında daha fazla bilgi edinin.
Azure portalında sürekli dışarı aktarmayı ayarlama
Azure portalındaki Bulut için Microsoft Defender sayfalarında, REST API'yi kullanarak veya sağlanan Azure İlkesi şablonlarını kullanarak uygun ölçekte sürekli dışarı aktarma ayarlayabilirsiniz.
Azure portalını kullanarak Log Analytics veya Azure Event Hubs'a sürekli dışarı aktarma ayarlamak için:
Bulut için Defender kaynak menüsünde Ortam ayarları'nı seçin.
Veri dışarı aktarmayı yapılandırmak istediğiniz aboneliği seçin.
Ayarlar'ın altındaki kaynak menüsünde Sürekli dışarı aktarma'yı seçin.
Dışarı aktarma seçenekleri görüntülenir. Olay hub'ı veya Log Analytics çalışma alanı olmak üzere kullanılabilir her dışarı aktarma hedefi için bir sekme vardır.
Dışarı aktarmak istediğiniz veri türünü seçin ve her türdeki filtreler arasından seçim yapın (örneğin, yalnızca yüksek önem dereceli uyarıları dışarı aktarın).
Dışarı aktarma sıklığını seçin:
- Akış. Değerlendirmeler, kaynağın sistem durumu güncelleştirildiğinde gönderilir (güncelleştirme yapılmazsa veri gönderilmez).
- Anlık görüntüler. Abonelik başına haftada bir gönderilen seçili veri türlerinin geçerli durumunun anlık görüntüsü. Anlık görüntü verilerini tanımlamak için IsSnapshot alanını arayın.
Seçiminiz bu önerilerden birini içeriyorsa, güvenlik açığı değerlendirme bulgularını bunlara ekleyebilirsiniz:
- SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir
- Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir
- Kapsayıcı kayıt defteri görüntülerinde güvenlik açığı bulguları çözümlenmelidir (Qualys tarafından desteklenir)
- Makinelerde güvenlik açığı bulguları çözümlenmelidir
- Sistem güncelleştirmeleri makinelerinize yüklenmelidir
Bulguları bu önerilere eklemek için Güvenlik bulgularını ekle seçeneğini Evet olarak ayarlayın.
Hedefi dışarı aktar'ın altında verilerin kaydedilmesini istediğiniz yeri seçin. Veriler farklı bir aboneliğin hedefinde (örneğin, merkezi bir Event Hubs örneğine veya merkezi log analytics çalışma alanına) kaydedilebilir.
Ayrıca verileri farklı bir kiracıdaki bir olay hub'ına veya Log Analytics çalışma alanına da gönderebilirsiniz
Kaydet'i seçin.
Not
Log Analytics yalnızca boyutu 32 KB'a kadar olan kayıtları destekler. Veri sınırına ulaşıldığında, bir uyarı Veri sınırı aşıldı iletisini görüntüler.
İlgili içerik
Bu makalede, önerilerinizin ve uyarılarınızın sürekli dışarı aktarmalarını yapılandırmayı öğrendiniz. Ayrıca uyarı verilerinizi CSV dosyası olarak indirmeyi de öğrendinsiniz.
İlgili içeriği görmek için:
- İş akışı otomasyonu şablonları hakkında daha fazla bilgi edinin.
- Azure Event Hubs belgelerine bakın.
- Microsoft Sentinel hakkında daha fazla bilgi edinin.
- Azure İzleyici belgelerini gözden geçirin.
- Veri türü şemalarını dışarı aktarmayı öğrenin.
- Sürekli dışarı aktarma hakkında sık sorulan sorulara göz atın.