Configuración de la exportación continua con Azure Policy
La exportación continua de alertas y recomendaciones de seguridad de Microsoft Defender for Cloud puede ayudarle a analizar los datos en Log Analytics o Azure Event Hubs. Puede configurar la exportación continua en Defender for Cloud a gran escala mediante las plantillas de Azure Policy proporcionadas.
Sugerencia
Defender for Cloud también ofrece la opción de realizar una exportación manual puntual a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo .csv.
Requisitos previos
Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
Debe haber habilitado Defender for Cloud en la suscripción de Azure.
Roles y permisos necesarios:
Administrador de seguridad o propietario del grupo de recursos
Permisos de escritura para el recurso de destino.
Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
Para exportar a un área de trabajo de Log Analytics:
- Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/read. - Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/action.
Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics.
- Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Configuración de la exportación continua a gran escala con Azure Policy
La automatización de los procesos de supervisión y respuesta a incidentes de la organización puede ayudar a reducir el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Para implementar las configuraciones de la exportación continua en la organización, use las directivas DeployIfNotExist de Azure Policy proporcionadas para crear y configurar los procedimientos de exportación continua.
Para implementar estas directivas:
Seleccione una directiva para aplicar:
Goal Directiva Id. de directiva Exportación continua a Event Hubs Implementación de la exportación a Event Hubs para recomendaciones y alertas de Microsoft Defender for Cloud cdfcce10-4578-4ecd-9703-530938e4abcb Exportación continua a las áreas de trabajo de Log Analytics Implementación de la exportación al área de trabajo de Log Analytics para recomendaciones y alertas de Microsoft Defender for Cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Seleccione Asignar.
Seleccione cada pestaña y establezca que se ajusten a sus requisitos:
En la pestaña Aspectos básicos, establezca el ámbito de la directiva. Para usar la administración centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que usan la configuración de exportación continua.
En la pestaña Parámetros, establezca el nombre del grupo de recursos, la ubicación y los detalles del centro de eventos.
Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña Corrección y seleccione la opción para crear una tarea de corrección.
Revise la página de resumen y, luego, seleccione Crear.