Экспорт оповещений и рекомендаций с непрерывным экспортом
Microsoft Defender для облака обеспечивает непрерывный экспорт данных безопасности. Эта функция позволяет передавать данные безопасности в Log Analytics в Azure Monitor, Центры событий Azure или в другое решение модели автоматического реагирования оркестрации безопасности (SOAR) или в другое решение по управлению событиями безопасности и управления событиями (SIEM). Вы можете анализировать и визуализировать данные с помощью журналов Azure Monitor и других функций Azure Monitor.
При настройке непрерывного экспорта можно полностью настроить сведения для экспорта и расположения информации. Например, его можно настроить таким образом, чтобы:
- Все оповещения с высоким уровнем серьезности отправляются в концентратор событий Azure.
- Все средние или более высокие результаты проверки оценки уязвимостей компьютеров под управлением SQL Server отправляются в определенную рабочую область Log Analytics.
- Конкретные рекомендации доставляются в концентратор событий или рабочую область Log Analytics всякий раз, когда они создаются.
- Оценка безопасности подписки отправляется в рабочую область Log Analytics всякий раз, когда оценка для элемента управления изменяется на 0,01 или более.
Какие типы данных можно экспортировать?
При каждом изменении можно использовать непрерывный экспорт для экспорта следующих типов данных:
- рекомендации по обеспечению безопасности;
- Серьезность рекомендаций.
- обнаружения безопасности.
- Оценка безопасности.
- Элементы управления.
- оповещения системы безопасности;
- Соответствие нормативным требованиям.
- Пути атаки
Серьезность рекомендаций, результаты и элементы управления безопасностью — это подкатегории, принадлежащие родительской категории. Например:
- Рекомендации по установке обновлений системы на компьютерах (на базе Центра обновления) и на компьютерах должны быть установлены обновления системы, каждая из которых содержит одну вложенную рекомендацию на выдающееся обновление системы.
- Компьютеры с рекомендациями должны иметь результаты уязвимостей, разрешенные , имеют под рекомендацию для каждой уязвимости, которую идентифицирует сканер уязвимостей.
Примечание.
Если вы настраиваете непрерывный экспорт с помощью REST API, всегда включите родительский объект с результатами.
Экспорт данных в концентратор событий или рабочую область Log Analytics в другом клиенте
Невозможно настроить экспорт данных в рабочую область Log Analytics в другом клиенте, если вы используете Политика Azure для назначения конфигурации. Этот процесс работает только при использовании REST API для назначения конфигурации, а конфигурация не поддерживается в портал Azure (так как требуется мультитенантный контекст). Azure Lighthouse не устраняет эту проблему с Политика Azure, хотя вы можете использовать Azure Lighthouse в качестве метода проверки подлинности.
При сборе данных в клиенте можно анализировать данные из одного центрального расположения.
Экспорт данных в концентратор событий или рабочую область Log Analytics в другом клиенте:
В клиенте с концентратором событий или рабочей областью Log Analytics пригласите пользователя из клиента, на котором размещена конфигурация непрерывного экспорта, или вы можете настроить Azure Lighthouse для исходного и целевого клиента.
Если вы используете гостевой доступ к гостевым пользователям (B2B) в идентификаторе Microsoft Entra, убедитесь, что пользователь принимает приглашение на доступ к клиенту в качестве гостя.
Если вы используете рабочую область Log Analytics, назначьте пользователя в клиенте рабочей области одной из следующих ролей: владелец, участник, участник Log Analytics, участник Sentinel или участник мониторинга.
Создайте и отправьте запрос в REST API Azure, чтобы настроить необходимые ресурсы. Необходимо управлять маркерами носителя в контексте локального клиента (рабочей области) и удаленного (непрерывного экспорта).
Экспорт в рабочую область Log Analytics
Если вы хотите анализировать данные Microsoft Defender для облака в рабочей области Log Analytics или использовать оповещения Azure вместе с оповещениями Defender для облака, настройте непрерывный экспорт в рабочую область Log Analytics.
Таблицы и схемы Log Analytics
Оповещения и рекомендации по безопасности хранятся в таблицах SecurityAlert и SecurityRecommendation соответственно.
Имя решения Log Analytics, содержащего эти таблицы, зависит от того, включены ли расширенные функции безопасности: безопасность (решение для безопасности и аудита) или SecurityCenterFree.
Совет
Чтобы просмотреть данные в целевой рабочей области, необходимо включить одно из следующих решений: Безопасность и аудит или SecurityCenterFree.
Сведения о схемах событий экспортированных типов данных см . в таблицах Log Analytics.