Экспорт оповещений и рекомендаций с непрерывным экспортом

Microsoft Defender для облака обеспечивает непрерывный экспорт данных безопасности. Эта функция позволяет передавать данные безопасности в Log Analytics в Azure Monitor, Центры событий Azure или в другое решение модели автоматического реагирования оркестрации безопасности (SOAR) или в другое решение по управлению событиями безопасности и управления событиями (SIEM). Вы можете анализировать и визуализировать данные с помощью журналов Azure Monitor и других функций Azure Monitor.

При настройке непрерывного экспорта можно полностью настроить сведения для экспорта и расположения информации. Например, его можно настроить таким образом, чтобы:

• Все оповещения с высоким уровнем серьезности отправляются в концентратор событий Azure.
• Все средние или более высокие результаты проверки оценки уязвимостей компьютеров под управлением SQL Server отправляются в определенную рабочую область Log Analytics.
• Конкретные рекомендации доставляются в концентратор событий или рабочую область Log Analytics всякий раз, когда они создаются.
• Оценка безопасности подписки отправляется в рабочую область Log Analytics всякий раз, когда оценка для элемента управления изменяется на 0,01 или более.

При каждом изменении можно использовать непрерывный экспорт для экспорта следующих типов данных:

• рекомендации по обеспечению безопасности;
  • Серьезность рекомендаций.
  • обнаружения безопасности.
• Оценка безопасности.
  • Элементы управления.
• оповещения системы безопасности;
• Соответствие нормативным требованиям.
• Пути атаки

Серьезность рекомендаций, результаты и элементы управления безопасностью — это подкатегории, принадлежащие родительской категории. Например:

• Рекомендации по установке обновлений системы на компьютерах (на базе Центра обновления) и на компьютерах должны быть установлены обновления системы, каждая из которых содержит одну вложенную рекомендацию на выдающееся обновление системы.
• Компьютеры с рекомендациями должны иметь результаты уязвимостей, разрешенные , имеют под рекомендацию для каждой уязвимости, которую идентифицирует сканер уязвимостей.

Невозможно настроить экспорт данных в рабочую область Log Analytics в другом клиенте, если вы используете Политика Azure для назначения конфигурации. Этот процесс работает только при использовании REST API для назначения конфигурации, а конфигурация не поддерживается в портал Azure (так как требуется мультитенантный контекст). Azure Lighthouse не устраняет эту проблему с Политика Azure, хотя вы можете использовать Azure Lighthouse в качестве метода проверки подлинности.

При сборе данных в клиенте можно анализировать данные из одного центрального расположения.

Экспорт данных в концентратор событий или рабочую область Log Analytics в другом клиенте:

• В клиенте с концентратором событий или рабочей областью Log Analytics пригласите пользователя из клиента, на котором размещена конфигурация непрерывного экспорта, или вы можете настроить Azure Lighthouse для исходного и целевого клиента.

• Если вы используете гостевой доступ к гостевым пользователям (B2B) в идентификаторе Microsoft Entra, убедитесь, что пользователь принимает приглашение на доступ к клиенту в качестве гостя.

• Если вы используете рабочую область Log Analytics, назначьте пользователя в клиенте рабочей области одной из следующих ролей: владелец, участник, участник Log Analytics, участник Sentinel или участник мониторинга.

• Создайте и отправьте запрос в REST API Azure, чтобы настроить необходимые ресурсы. Необходимо управлять маркерами носителя в контексте локального клиента (рабочей области) и удаленного (непрерывного экспорта).

Если вы хотите анализировать данные Microsoft Defender для облака в рабочей области Log Analytics или использовать оповещения Azure вместе с оповещениями Defender для облака, настройте непрерывный экспорт в рабочую область Log Analytics.

Оповещения и рекомендации по безопасности хранятся в таблицах SecurityAlert и SecurityRecommendation соответственно.

Имя решения Log Analytics, содержащего эти таблицы, зависит от того, включены ли расширенные функции безопасности: безопасность (решение для безопасности и аудита) или SecurityCenterFree.

Сведения о схемах событий экспортированных типов данных см . в таблицах Log Analytics.

• Настройка непрерывного экспорта в портал Azure
• Настройка непрерывного экспорта с помощью REST API
• Настройка непрерывного экспорта с помощью Политика Azure