Экспорт оповещений и рекомендаций с непрерывным экспортом
Microsoft Defender для облака обеспечивает непрерывный экспорт данных безопасности. Эта функция позволяет передавать данные безопасности в Log Analytics в Azure Monitor, Центры событий Azure или в другое решение модели автоматического реагирования оркестрации безопасности (SOAR) или в другое решение по управлению событиями безопасности и управления событиями (SIEM). Вы можете анализировать и визуализировать данные с помощью журналов Azure Monitor и других функций Azure Monitor.
При настройке непрерывного экспорта можно полностью настроить сведения для экспорта и расположения информации. Например, его можно настроить таким образом, чтобы:
- Все оповещения с высоким уровнем серьезности отправляются в концентратор событий Azure.
- Все средние или более высокие результаты проверки оценки уязвимостей компьютеров под управлением SQL Server отправляются в определенную рабочую область Log Analytics.
- Конкретные рекомендации доставляются в концентратор событий или рабочую область Log Analytics всякий раз, когда они создаются.
- Оценка безопасности подписки отправляется в рабочую область Log Analytics всякий раз, когда оценка для элемента управления изменяется на 0,01 или более.
При каждом изменении можно использовать непрерывный экспорт для экспорта следующих типов данных:
- рекомендации по обеспечению безопасности;
- Серьезность рекомендаций.
- обнаружения безопасности.
- Оценка безопасности.
- Элементы управления.
- оповещения системы безопасности;
- Соответствие нормативным требованиям.
- Пути атаки
Серьезность рекомендаций, результаты и элементы управления безопасностью — это подкатегории, принадлежащие родительской категории. Например:
- Рекомендации по установке обновлений системы на компьютерах (на базе Центра обновления) и на компьютерах должны быть установлены обновления системы, каждая из которых содержит одну вложенную рекомендацию на выдающееся обновление системы.
- Компьютеры с рекомендациями должны иметь результаты уязвимостей, разрешенные , имеют под рекомендацию для каждой уязвимости, которую идентифицирует сканер уязвимостей.
Примечание
Если вы настраиваете непрерывный экспорт с помощью REST API, всегда включите родительский объект с результатами.
Невозможно настроить экспорт данных в рабочую область Log Analytics в другом клиенте, если вы используете Политика Azure для назначения конфигурации. Этот процесс работает только при использовании REST API для назначения конфигурации, а конфигурация не поддерживается в портал Azure (так как требуется мультитенантный контекст). Azure Lighthouse не устраняет эту проблему с Политика Azure, хотя вы можете использовать Azure Lighthouse в качестве метода проверки подлинности.
При сборе данных в клиенте можно анализировать данные из одного центрального расположения.
Экспорт данных в концентратор событий или рабочую область Log Analytics в другом клиенте:
В клиенте с концентратором событий или рабочей областью Log Analytics пригласите пользователя из клиента, на котором размещена конфигурация непрерывного экспорта, или вы можете настроить Azure Lighthouse для исходного и целевого клиента.
Если вы используете гостевой доступ к гостевым пользователям (B2B) в идентификаторе Microsoft Entra, убедитесь, что пользователь принимает приглашение на доступ к клиенту в качестве гостя.
Если вы используете рабочую область Log Analytics, назначьте пользователя в клиенте рабочей области одной из следующих ролей: владелец, участник, участник Log Analytics, участник Sentinel или участник мониторинга.
Создайте и отправьте запрос в REST API Azure, чтобы настроить необходимые ресурсы. Необходимо управлять маркерами носителя в контексте локального клиента (рабочей области) и удаленного (непрерывного экспорта).
Если вы хотите анализировать данные Microsoft Defender для облака в рабочей области Log Analytics или использовать оповещения Azure вместе с оповещениями Defender для облака, настройте непрерывный экспорт в рабочую область Log Analytics.
Оповещения и рекомендации по безопасности хранятся в таблицах SecurityAlert и SecurityRecommendation соответственно.
Имя решения Log Analytics, содержащего эти таблицы, зависит от того, включены ли расширенные функции безопасности: безопасность (решение для безопасности и аудита) или SecurityCenterFree.
Совет
Чтобы просмотреть данные в целевой рабочей области, необходимо включить одно из следующих решений: Безопасность и аудит или SecurityCenterFree.
Сведения о схемах событий экспортированных типов данных см . в таблицах Log Analytics.