Настройка непрерывного экспорта с помощью Политика Azure
Непрерывный экспорт оповещений и рекомендаций системы безопасности Microsoft Defender для облака позволяет анализировать данные в Log Analytics или Центры событий Azure. Вы можете настроить непрерывный экспорт в Defender для облака в масштабе с помощью предоставленных Политика Azure шаблонов.
Совет
Defender для облака также предлагает возможность однократного экспорта вручную в CSV-файл. Узнайте, как скачать CSV-файл.
Необходимые компоненты
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Требуемые роли и разрешения
Администратор безопасности или владелец группы ресурсов
Разрешения на запись для целевого ресурса.
Если вы используете политики Политика Azure DeployIfNotExist, у вас должны быть разрешения, позволяющие назначать политики.
Чтобы экспортировать данные в Центры событий, необходимо иметь разрешения на запись в политике Центров событий.
Для экспорта в рабочую область Log Analytics:
- Если у него есть решение SecurityCenterFree, для решения рабочей области необходимо иметь минимальные разрешения на чтение:
Microsoft.OperationsManagement/solutions/read - Если у него нет решения SecurityCenterFree, необходимо иметь разрешения на запись для решения рабочей области:
Microsoft.OperationsManagement/solutions/action
Дополнительные сведения о решениях рабочей области Azure Monitor и Log Analytics.
- Если у него есть решение SecurityCenterFree, для решения рабочей области необходимо иметь минимальные разрешения на чтение:
Настройка непрерывного экспорта в масштабе с помощью Политика Azure
Автоматизация процессов мониторинга и реагирования на инциденты организации может помочь сократить время, необходимое для расследования и устранения инцидентов безопасности.
Чтобы развернуть конфигурации непрерывного экспорта в организации, используйте предоставленные Политика Azure DeployIfNotExist политики для создания и настройки процедур непрерывного экспорта.
Для реализации этих политик сделайте следующее:
Выберите политику для применения:
Goal Политика ИД политики Непрерывный экспорт в центры событий Развертывание экспорта в Концентраторы событий для оповещений и рекомендаций Microsoft Defender для облака cdfcce10-4578-4ecd-9703-530938e4abcb Непрерывный экспорт в рабочую область Log Analytics Развертывание экспорта в рабочую область Log Analytics для оповещений и рекомендаций Microsoft Defender для облака ffb6f416-7bd2-4488-8828-56585fef2be9 Выберите Назначить.
Выберите каждую вкладку и задайте параметры в соответствии с вашими требованиями:
На вкладке "Основные сведения" задайте область политики. Чтобы использовать централизованное управление, назначьте политику группе управления, содержащей подписки, использующие конфигурацию непрерывного экспорта.
На вкладке "Параметры" задайте имя группы ресурсов, расположение и сведения о концентраторе событий.
При необходимости, чтобы применить это назначение к существующим подпискам, перейдите на вкладку "Исправление ", а затем выберите параметр для создания задачи исправления.
Просмотрите страницу сводки и нажмите кнопку "Создать".