Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для Облака создает подробные оповещения и рекомендации по безопасности. Чтобы проанализировать сведения, которые содержатся в этих оповещениях и рекомендациях, вы можете экспортировать их в Log Analytics в Azure Monitor, в Центры событий Azure или в другие решения для управления информацией и событиями безопасности (SIEM), автоматизации оркестрации безопасности (SOAR) или классические IT решения модели развертывания. Вы можете транслировать оповещения и рекомендации по мере их создания или задать расписание для отправки периодических снимков всех новых данных.
В этой статье описывается, как настроить непрерывный экспорт в рабочую область Log Analytics или в концентратор событий в Azure.
Подсказка
Defender для Облака также предлагает возможность однократного экспорта вручную в CSV-файл. Узнайте, как скачать CSV-файл.
Предпосылки
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Требуемые роли и разрешения
- Администратор безопасности или владелец группы ресурсов
- Разрешения на запись целевого ресурса.
- Если вы используете политики Azure Policy DeployIfNotExist, у вас должны быть разрешения, позволяющие назначать политики.
- Чтобы экспортировать данные в Центры событий, необходимо иметь разрешения на запись в политике Центров событий.
- Чтобы экспортировать в рабочую область Log Analytics, выполните следующие действия:
Если у него есть решение SecurityCenterFree, необходимо иметь как минимум разрешения на чтение для решения для рабочей области:
Microsoft.OperationsManagement/solutions/read.Если у него нет решения SecurityCenterFree, вы должны иметь права на запись для решения в рабочей области:
Microsoft.OperationsManagement/solutions/action.Дополнительные сведения о решениях рабочей области Azure Monitor и Log Analytics.
Настройка непрерывного экспорта на портале Azure
Вы можете настроить непрерывный экспорт на страницах Microsoft Defender для облака на портале Azure, с помощью REST API или в масштабе с помощью предоставленных шаблонов политик Azure.
Чтобы настроить непрерывный экспорт в Log Analytics или Центры событий Azure с помощью портала Azure:
В меню ресурсов Defender для облака выберите параметры среды.
Выберите подписку, для которой требуется настроить экспорт данных.
В меню ресурсов в разделе "Параметры" выберите "Непрерывный экспорт".
Отображаются параметры экспорта. Существует вкладка для каждого доступного целевого объекта экспорта, концентратора событий или рабочей области Log Analytics.
Выберите тип данных, который вы хотите экспортировать, и выберите из фильтров каждого типа (например, экспортируйте только оповещения с высоким уровнем серьезности).
Выберите частоту экспорта:
- Потоковая передача. Оценки отправляются при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не отправляются).
- Моментальные снимки. Моментальный снимок текущего состояния выбранных типов данных, которые отправляются по подписке раз в неделю. Чтобы определить данные моментального снимка, найдите поле IsSnapshot.
Если ваш выбор включает одну из этих рекомендаций, вы можете включить результаты оценки уязвимостей с ними:
- В базах данных SQL должны быть устранены обнаруженные уязвимости
- SQL-серверы на машинах должны иметь устранённые уязвимости
- Образы реестра контейнеров должны иметь устраненные уязвимости с использованием Qualys
- Уязвимости на машинах должны быть устранены
- На компьютерах должны быть установлены обновления системы.
Чтобы включить результаты с этими рекомендациями, установите параметр «Включить результаты безопасности» в «Да».
В разделе "Экспорт" выберите расположение сохраненных данных. Данные можно сохранить в целевом объекте другой подписки (например, в центральном экземпляре Центров событий или в центральной рабочей области Log Analytics).
Вы также можете отправлять данные в концентратор событий или рабочую область Log Analytics в другом клиенте.
Нажмите кнопку "Сохранить".
Замечание
Log Analytics поддерживает только записи размером до 32 КБ. При достижении лимита данных оповещение отображает сообщение превышено ограничение данных.
Связанный контент
В этой статье вы узнали, как настроить непрерывный экспорт рекомендаций и оповещений. Вы также узнали, как скачать данные оповещений в виде CSV-файла.
Чтобы просмотреть связанное содержимое:
- Узнайте, как просматривать экспортированные данные в Azure Monitor.
- Дополнительные сведения о шаблонах автоматизации рабочих процессов.
- См. документацию по Центрам событий Azure.
- Дополнительные сведения о Microsoft Sentinel.
- Ознакомьтесь с документацией по Azure Monitor.
- Узнайте, как экспортировать схемы типов данных.
- Ознакомьтесь с общими вопросами о непрерывном экспорте.