Riasztások és javaslatok exportálása folyamatos exportálással

Felhőhöz készült Microsoft Defender biztosítja a biztonsági adatok folyamatos exportálását. Ez a funkció lehetővé teszi a biztonsági adatok streamelését az Azure Monitor Log Analytics szolgáltatásba, az Azure Event Hubsba, vagy egy másik biztonsági információ- és eseménykezelési (SIEM), biztonsági vezénylési automatikus válasz (SOAR) vagy klasszikus informatikai üzemi modell megoldásba. Az adatokat az Azure Monitor-naplók és más Azure Monitor-funkciók segítségével elemezheti és vizualizálhatja.

A folyamatos exportálás beállításakor teljes mértékben testre szabhatja, hogy milyen adatokat exportáljon, és hová kerülnek az adatok. Konfigurálhatja például úgy, hogy:

• A rendszer minden nagy súlyosságú riasztást egy Azure-eseményközpontba küld.
• Az SQL Servert futtató számítógépek biztonságirés-felméréseinek közepes vagy nagyobb súlyosságú megállapításai egy adott Log Analytics-munkaterületre kerülnek.
• A rendszer minden alkalommal konkrét javaslatokat küld egy eseményközpontnak vagy Log Analytics-munkaterületnek, amikor azok létrejönnek.
• Az előfizetések biztonsági pontszáma akkor lesz elküldve egy Log Analytics-munkaterületre, ha egy vezérlő pontszáma 0,01-es vagy újabb értékre változik.

Milyen adattípusok exportálhatók?

A folyamatos exportálással a következő adattípusokat exportálhatja, amikor módosulnak:

• Biztonsági javaslatok.
  • Javaslatok súlyossága.
  • Biztonsági megállapítások.
• Biztonságos pontszám.
  • Vezérlők.
• Biztonsági riasztások.
• Jogszabályi megfelelőség.
• Támadási útvonalak

A javaslatok súlyossága, a biztonsági megállapítások és a vezérlők olyan alkategóriák , amelyek egy szülőkategóriához tartoznak. Példa:

• A javasolt rendszerfrissítéseket telepíteni kell a gépekre (az Update Center segítségével), és a rendszerfrissítéseket telepíteni kell a gépekre , és minden rendszerfrissítéshez egy-egy aljavaslat tartozik.
• A biztonságirés-ellenőrző által azonosított biztonsági résekre vonatkozó javaslat a számítógépeken feloldott biztonságirés-megállapításokkal rendelkezik.

Feljegyzés

Ha a REST API használatával konfigurálja a folyamatos exportálást, mindig adja meg a szülőt a megállapításokkal.

Adatok exportálása egy másik bérlő eseményközpontjába vagy Log Analytics-munkaterületére

Ha az Azure Policy használatával rendeli hozzá a konfigurációt, nem konfigurálhatja az adatokat egy másik bérlő Log Analytics-munkaterületére való exportálásra. Ez a folyamat csak akkor működik, ha a REST API-val rendeli hozzá a konfigurációt, és a konfiguráció nem támogatott az Azure Portalon (mivel több-bérlős környezetet igényel). Az Azure Lighthouse nem oldja meg ezt a problémát az Azure Policyval, bár hitelesítési módszerként használhatja az Azure Lighthouse-t.

Amikor adatokat gyűjt egy bérlőben, elemezheti az adatokat egy központi helyről.

Adatok exportálása egy másik bérlő eseményközpontjába vagy Log Analytics-munkaterületére:

• Az eseményközpontot vagy Log Analytics-munkaterületet tartalmazó bérlőben hívjon meg egy felhasználót a folyamatos exportálási konfigurációt üzemeltető bérlőtől, vagy konfigurálhatja az Azure Lighthouse-t a forrás- és célbérlőhöz.

• Ha vállalati (B2B) vendégfelhasználói hozzáférést használ a Microsoft Entra-azonosítóban, győződjön meg arról, hogy a felhasználó elfogadja a meghívást a bérlő vendégként való elérésére.

• Ha Log Analytics-munkaterületet használ, rendelje hozzá a felhasználót a munkaterület bérlőjéhez a következő szerepkörök egyikével: Tulajdonos, Közreműködő, Log Analytics-közreműködő, Sentinel-közreműködő vagy Figyelési közreműködő.

• Hozza létre és küldje el a kérést az Azure REST API-nak a szükséges erőforrások konfigurálásához. A tulajdonosi jogkivonatokat a helyi (munkaterületi) bérlő és a távoli (folyamatos exportálás) bérlő kontextusában is kezelnie kell.

Exportálás Log Analytics-munkaterületre

Ha Felhőhöz készült Microsoft Defender adatokat szeretne elemezni egy Log Analytics-munkaterületen, vagy azure-riasztásokat szeretne használni Felhőhöz készült Defender riasztásokkal együtt, állítsa be a Folyamatos exportálást a Log Analytics-munkaterületre.

Log Analytics-táblák és sémák

A biztonsági riasztások és javaslatok a SecurityAlert és a SecurityRecommendation táblákban vannak tárolva.

A táblákat tartalmazó Log Analytics-megoldás neve attól függ, hogy engedélyezte-e a továbbfejlesztett biztonsági funkciókat: Security (a Biztonsági és naplózási megoldás) vagy a SecurityCenterFree szolgáltatást.

Tipp.

A cél munkaterületen lévő adatok megtekintéséhez engedélyeznie kell a következő megoldások egyikét: Security and Audit or SecurityCenterFree.

Az exportált adattípusok eseménysémáinak megtekintéséhez tekintse meg a Log Analytics táblázatsémáit.

Kapcsolódó tartalom

• Folyamatos exportálás beállítása az Azure Portalon
• Folyamatos exportálás beállítása a REST API-val
• Folyamatos exportálás beállítása az Azure Policy használatával