Export upozornění a doporučení s průběžným exportem

Microsoft Defender for Cloud poskytuje průběžný export dat zabezpečení. Tato funkce umožňuje streamovat data zabezpečení do Log Analytics ve službě Azure Monitor, do služby Azure Event Hubs nebo do jiného řešení modelu nasazení SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response) nebo modelu nasazení IT Classic. Data můžete analyzovat a vizualizovat pomocí protokolů služby Azure Monitor a dalších funkcí služby Azure Monitor.

Při nastavování průběžného exportu můžete plně přizpůsobit, které informace se mají exportovat a kam se mají informace vyexportovat. Můžete ho například nakonfigurovat tak, aby:

• Všechny výstrahy s vysokou závažností se odesílají do centra událostí Azure.
• Všechna zjištění střední nebo vyšší závažnosti z kontrol posouzení ohrožení zabezpečení počítačů s SQL Serverem se odesílají do konkrétního pracovního prostoru služby Log Analytics.
• Konkrétní doporučení se doručují do centra událostí nebo do pracovního prostoru služby Log Analytics při každém vygenerování.
• Skóre zabezpečení pro předplatné se odešle do pracovního prostoru služby Log Analytics vždy, když se skóre ovládacího prvku změní o 0,01 nebo více.

Jaké datové typy je možné exportovat?

Průběžný export můžete použít k exportu následujících datových typů při každé změně:

• Doporučení k zabezpečení
  • Závažnost doporučení
  • Zjištění zabezpečení.
• Skóre zabezpečení.
  • Ovládací prvky.
• Výstrahy zabezpečení
• Dodržování právních předpisů.
• Cesty útoku

Závažnost doporučení, zjištění zabezpečení a kontrolní mechanismy jsou podkategorie , které patří do nadřazené kategorie. Příklad:

• Doporučení Aktualizace systému by se měly nainstalovat na vaše počítače (využívající Update Center) a aktualizace systému by měly být nainstalované na vašich počítačích. Každý z nich má jedno dílčí doporučení na nevyrovnanou aktualizaci systému.
• Počítače doporučení by měly mít vyřešená zjištění ohrožení zabezpečení, obsahuje dílčí doporučení pro každou chybu zabezpečení, kterou skener ohrožení zabezpečení identifikuje.

Poznámka:

Pokud konfigurujete průběžný export pomocí rozhraní REST API, vždy zahrňte nadřazenou položku se zjištěními.

Export dat do centra událostí nebo pracovního prostoru služby Log Analytics v jiném tenantovi

Pokud k přiřazení konfigurace použijete Azure Policy, nemůžete nakonfigurovat export dat do pracovního prostoru služby Log Analytics v jiném tenantovi. Tento proces funguje jenom v případě, že k přiřazení konfigurace použijete rozhraní REST API a konfigurace se na webu Azure Portal nepodporuje (protože vyžaduje víceklientské kontexty). Azure Lighthouse tento problém se službou Azure Policy nevyřeší , i když jako metodu ověřování můžete použít Azure Lighthouse.

Při shromažďování dat v tenantovi můžete analyzovat data z jednoho centrálního umístění.

Export dat do centra událostí nebo pracovního prostoru služby Log Analytics v jiném tenantovi:

• V tenantovi, který má centrum událostí nebo pracovní prostor služby Log Analytics, pozvěte uživatele z tenanta, který je hostitelem konfigurace průběžného exportu, nebo můžete nakonfigurovat Azure Lighthouse pro zdrojového a cílového tenanta.

• Pokud používáte přístup uživatele typu host b2B (business-to-business) v Microsoft Entra ID, ujistěte se, že uživatel přijme pozvánku pro přístup k tenantovi jako hosta.

• Pokud používáte pracovní prostor služby Log Analytics, přiřaďte uživateli v tenantovi pracovního prostoru jednu z těchto rolí: Vlastník, Přispěvatel, Přispěvatel Log Analytics, Přispěvatel služby Sentinel nebo Přispěvatel monitorování.

• Vytvořte a odešlete požadavek do rozhraní Azure REST API pro konfiguraci požadovaných prostředků. Nosné tokeny musíte spravovat v kontextu místního tenanta (pracovního prostoru) i vzdáleného tenanta (průběžného exportu).

Export do pracovního prostoru služby Log Analytics

Pokud chcete analyzovat data Microsoft Defenderu pro cloud v pracovním prostoru služby Log Analytics nebo používat upozornění Azure společně s upozorněními Defenderu pro cloud, nastavte průběžný export do pracovního prostoru služby Log Analytics.

Tabulky a schémata Log Analytics

Výstrahy zabezpečení a doporučení se ukládají v tabulkách SecurityAlert a SecurityRecommendation .

Název řešení Log Analytics, které obsahuje tyto tabulky, závisí na tom, jestli jste povolili vylepšené funkce zabezpečení: Zabezpečení (řešení zabezpečení a audit) nebo SecurityCenterFree.

Tip

Pokud chcete zobrazit data v cílovém pracovním prostoru, musíte povolit jedno z těchto řešení: Zabezpečení a audit nebo SecurityCenterFree.

Pokud chcete zobrazit schémata událostí exportovaných datových typů, podívejte se na schémata tabulek Log Analytics.

Související obsah

• Nastavení průběžného exportu na webu Azure Portal
• Nastavení průběžného exportu pomocí rozhraní REST API
• Nastavení průběžného exportu pomocí Azure Policy