Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После настройки непрерывного экспорта оповещений и рекомендаций Microsoft Defender для облачной безопасности, данные можно просматривать в Azure Monitor. В этой статье описывается, как просматривать данные в Log Analytics или в Центрах событий Azure и создавать правила генерации оповещений в Azure Monitor на основе этих данных.
Предпосылки
Прежде чем начать, настройте непрерывный экспорт с помощью одного из следующих методов:
- Настройка непрерывного экспорта на портале Azure
- Настройка непрерывного экспорта с помощью политики Azure
- Настройка непрерывного экспорта с помощью REST API.
Просмотр экспортированных данных в Log Analytics
При экспорте данных Defender для облака в рабочую область Log Analytics создаются две основные таблицы:
SecurityAlertSecurityRecommendation
Эти таблицы можно запросить в Log Analytics, чтобы убедиться, что непрерывный экспорт работает.
Войдите на портал Azure.
Найдите и выберите рабочие области Log Analytics.
Выберите рабочую область, настроенную в качестве целевого объекта непрерывного экспорта.
В меню рабочей области в разделе «Общие» выберите «Журналы».
В окне запроса введите один из следующих запросов и нажмите кнопку "Выполнить".
SecurityAlertили
SecurityRecommendation
Просмотр экспортированных данных в Центрах событий Azure
При экспорте данных в Центры событий Azure Defender для облака постоянно передает оповещения и рекомендации в виде сообщений о событиях. Вы можете просмотреть экспортированные события на портале Azure и проанализировать их дальше, подключив нижестояющую службу.
Войдите на портал Azure.
Найдите и выберите пространства имен Event Hubs.
Выберите пространство имен и концентратор событий, настроенные для непрерывного экспорта.
В меню концентратора событий выберите метрики для просмотра активности сообщений или Обработка данных>Запись для просмотра содержимого событий, хранящегося в назначении записи.
При необходимости используйте подключенное средство, например Microsoft Sentinel, SIEM или пользовательское приложение потребителя для чтения и обработки экспортированных событий.
Замечание
Defender для облака отправляет данные в формате JSON. Для хранения и анализа экспортированных событий можно использовать группы центров событий или группы потребителей.
Создание правил генерации оповещений в Azure Monitor (необязательно)
Вы можете создавать оповещения Azure Monitor на основе экспортированных данных Defender for Cloud. Эти оповещения позволяют автоматически выполнять действия, такие как отправка уведомлений по электронной почте или создание заявок ITSM при возникновении определённых событий безопасности.
Войдите на портал Azure.
Найдите и выберите Monitor.
Выберите оповещения.
Выберите и создайте>правило генерации оповещений.
Настройте новое правило так же, как вы настроили правило генерации оповещений журнала в Azure Monitor:
- Для типов ресурсов выберите рабочую область Log Analytics, в которую вы экспортировали оповещения и рекомендации системы безопасности.
- В поле "Условие" выберите "Пользовательский поиск по журналам". На появившемся экране настройте запрос, период обратного просмотра и период частоты. В запросе введите SecurityAlert или SecurityRecommendation.
- При необходимости создайте группу действий для активации. Группы действий могут автоматизировать процессы, такие как отправка электронных писем, создание заявок в ITSM, запуск веб-перехватчиков и многое другое, на основе событий в вашей среде.
После сохранения правила в Azure Monitor отображаются оповещения и рекомендации Defender для облака на основе конфигурации непрерывного экспорта и условий правила генерации оповещений. Если вы связали группу действий, она активируется автоматически при выполнении условий правила.