Configuración de la exportación continua en Azure Portal

Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información que contienen estas alertas y recomendaciones, puede exportarlas a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de modelo de implementación de Administración de eventos e información de seguridad (SIEM), de respuesta automatizada de orquestación de seguridad (SOAR) o clásica de TI. Puede transmitir las alertas y recomendaciones a medida que se generan o definir una programación para enviar instantáneas periódicas de todos los datos nuevos.

En este artículo se describe cómo configurar la exportación continua a un área de trabajo de Log Analytics o a un centro de eventos de Azure.

Sugerencia

Defender for Cloud también ofrece la opción de realizar una exportación manual puntual a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo CSV.

Requisitos previos

• Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.

• Debe haber habilitado Defender for Cloud en la suscripción de Azure.

Roles y permisos necesarios:

• Administrador de seguridad o propietario del grupo de recursos
• Permisos de escritura para el recurso de destino.
• Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
• Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
• Para exportar a un área de trabajo de Log Analytics:

  • Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/read.

  • Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo: Microsoft.OperationsManagement/solutions/action.

    Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics.

Configuración de la exportación continua en Azure Portal

Puede configurar la exportación continua en las páginas de Microsoft Defender for Cloud en Azure Portal, mediante la API de REST o a gran escala usando las plantillas de Azure Policy proporcionadas.

Para configurar una exportación continua a Log Analytics o Azure Event Hubs mediante Azure Portal, siga estos pasos:

1. En el menú de recursos de Defender for Cloud, seleccione Configuracióm del entorno.

2. Seleccione la suscripción para la que quiere configurar la exportación de datos.

3. En el menú de recursos en Configuración, seleccione Exportación continua.

   

   Aparecen las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea un centro de eventos o un área de trabajo de Log Analytics.

4. Seleccione el tipo de datos que quiere exportar y elija el filtro por el tipo (por ejemplo, exportar solo alertas de gravedad alta).

5. Seleccione la frecuencia de exportación:

   • Streaming. Se envían evaluaciones cuando se actualiza el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se envían datos).
   • Instantáneas. Una instantánea del estado actual de los tipos de datos seleccionados que se envían una vez a la semana por suscripción. Para identificar los datos de la instantánea, busque el campo IsSnapshot.

   Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

   • Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.
   • Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
   • Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys])
   • Machines should have vulnerability findings resolved (Las máquinas deben tener resueltos los hallazgos de vulnerabilidades)
   • Se deben instalar actualizaciones del sistema en las máquinas

   Para incluir los resultados con estas recomendaciones, establezca Incluir resultados de seguridad en Sí.

   

6. En Exportar destino, elija dónde desea guardar los datos. Los datos se pueden guardar en el destino de otra suscripción (por ejemplo, en una instancia central de Event Hubs o en un área de trabajo central de Log Analytics).

   También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics de otro inquilino.

7. Seleccione Guardar.

Nota:

Log Analytics solo admite registros con un tamaño de hasta 32 KB. Cuando se alcanza este límite, una alerta muestra el mensaje Se ha superado el límite de datos.

Contenido relacionado

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para ver contenido relacionado:

• Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
• Consulte la documentación de Azure Event Hubs.
• Obtenga más información sobre Microsoft Sentinel.
• Revise la documentación de Azure Monitor.
• Descubra cómo exportar esquemas de tipos de datos.
• Consulte preguntas comunes sobre la exportación continua.