Adatok folyamatos exportálása Felhőhöz készült Microsoft Defender

Felhőhöz készült Microsoft Defender részletes biztonsági riasztásokat és javaslatokat hoz létre. Megtekintheti őket a portálon vagy programozott eszközökkel. Előfordulhat, hogy ezeket az információkat exportálnia kell a környezet más monitorozási eszközeivel való nyomon követés céljából.

Teljes mértékben testre szabhatja , hogy mi lesz exportálva, és hová kerül a folyamatos exportálással. Konfigurálhatja például úgy, hogy:

  • A rendszer minden nagy súlyosságú riasztást elküld egy Azure-eseményközpontba
  • Az SQL-kiszolgálók biztonságirés-felmérési vizsgálatainak közepes vagy magasabb súlyossági megállapításait egy adott Log Analytics-munkaterületre küldi a rendszer
  • Az eseményközpontba vagy a Log Analytics-munkaterületre adott javaslatok érkeznek a létrehozásukkor
  • Az előfizetés biztonsági pontszáma akkor kerül egy Log Analytics-munkaterületre, ha egy vezérlő pontszáma 0,01-es vagy újabb értékre változik

Annak ellenére, hogy a funkciót folyamatosnak nevezik, lehetősége van heti pillanatképek exportálására is.

Ez a cikk a Log Analytics-munkaterületekre vagy Azure Event Hubs való folyamatos exportálás konfigurálását ismerteti.

Megjegyzés

Ha integrálnia kell Felhőhöz készült Defender egy SIEM-sel, tekintse meg a Stream-riasztásokat egy SIEM-, SOAR- vagy IT-szolgáltatásfelügyeleti megoldásba.

Tipp

Felhőhöz készült Defender egyszeri, manuális exportálást is lehetővé tesz a CSV-be. További információ a riasztások és javaslatok manuális, egyszeri exportálásáról.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: Ingyenes
Szükséges szerepkörök és engedélyek:
  • Biztonsági rendszergazda vagy tulajdonos az erőforráscsoportban
  • Írási engedélyek a célerőforráshoz.
  • Ha az alább ismertetett Azure Policy "DeployIfNotExist" szabályzatokat használja, a szabályzatok hozzárendeléséhez is engedélyekre lesz szüksége
  • Az adatok Event Hubba való exportálásához írási engedéllyel kell rendelkeznie az Eseményközpont házirendjéhez.
  • Log Analytics-munkaterületre való exportálás:
    • Ha rendelkezik SecurityCenterFree megoldással, legalább olvasási engedélyre lesz szüksége a munkaterületi megoldáshoz: Microsoft.OperationsManagement/solutions/read
    • Ha nem rendelkezik SecurityCenterFree megoldásokkal, írási engedélyekre lesz szüksége a munkaterületi megoldáshoz: Microsoft.OperationsManagement/solutions/action
    • További információ az Azure Monitor- és Log Analytics-munkaterületi megoldásokról
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, Azure China 21Vianet)

Milyen adattípusokat lehet exportálni?

A folyamatos exportálás a következő adattípusokat exportálhatja, amikor módosulnak:

Folyamatos exportálás beállítása

Konfigurálhatja a folyamatos exportálást a Azure Portal Felhőhöz készült Microsoft Defender lapjairól a REST API-n keresztül, vagy nagy méretekben a megadott Azure Policy sablonokkal. Kattintson az alábbi megfelelő fülre az egyes részletekért.

Folyamatos exportálás konfigurálása a Azure Portal Felhőhöz készült Defender lapjairól

Az alábbi lépésekre akkor van szükség, ha folyamatos exportálást állít be a Log Analytics-munkaterületre vagy Azure Event Hubs.

  1. Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

  2. Válassza ki azt az előfizetést, amelyhez konfigurálni szeretné az adatexportálást.

  3. Az előfizetés beállítási oldalának oldalsávján válassza a Folyamatos exportálás lehetőséget.

    Export options in Microsoft Defender for Cloud.

    Itt láthatja az exportálási beállításokat. Minden elérhető exportálási célhoz tartozik egy lap.

  4. Válassza ki az exportálni kívánt adattípust, és válasszon az egyes típusok szűrői közül (például csak nagy súlyosságú riasztások exportálása).

  5. Válassza ki a megfelelő exportálási gyakoriságot:

    • Streamelés – a rendszer értékeléseket küld az erőforrás állapotának frissítésekor (ha nem történik frissítés, nem küld adatokat).
    • Pillanatképek – előfizetésenként hetente egyszer küldünk pillanatképet a kiválasztott adattípusok aktuális állapotáról. A pillanatképadatok azonosításához keresse meg a mezőt IsSnapshot.
  6. Ha a kijelölés tartalmazza az alábbi javaslatok egyikét, a biztonságirés-felmérés eredményeit is belefoglalhatja a következőkkel együtt:

    Ha a megállapításokat bele szeretné foglalni ezekbe a javaslatokba, engedélyezze a biztonsági megállapítások belefoglalását .

    Include security findings toggle in continuous export configuration.

  7. A "Cél exportálása" területen válassza ki, hogy hová szeretné menteni az adatokat. Az adatok menthetők egy másik előfizetésben (például egy központi eseményközpont-példányon vagy egy központi Log Analytics-munkaterületen).

  8. Kattintson a Mentés gombra.

Megjegyzés

A Log Analytics legfeljebb 32 KB méretű rekordokat támogat. Az adatkorlát elérésekor megjelenik egy riasztás, amely közli, hogy a Data limit has been exceeded.

Információk a Log Analytics-munkaterületre való exportálásról

Ha Felhőhöz készült Microsoft Defender adatokat szeretne elemezni egy Log Analytics-munkaterületen belül, vagy azure-riasztásokat szeretne használni Felhőhöz készült Defender riasztásokkal együtt, állítson be folyamatos exportálást a Log Analytics-munkaterületre.

Log Analytics-táblák és -sémák

A biztonsági riasztások és javaslatok tárolása a SecurityAlert és a SecurityRecommendation táblában történik.

A táblákat tartalmazó Log Analytics-megoldás neve attól függ, hogy engedélyezte-e a továbbfejlesztett biztonsági funkciókat: Security (Biztonság és naplózás) vagy SecurityCenterFree.

Tipp

A cél-munkaterületen lévő adatok megtekintéséhez engedélyeznie kell az alábbi megoldások egyikét: Security and Audit vagy SecurityCenterFree.

The SecurityAlert table in Log Analytics.

Az exportált adattípusok eseménysémáinak megtekintéséhez tekintse meg a Log Analytics-tábla sémáit.

Exportált riasztások és javaslatok megtekintése az Azure Monitorban

Dönthet úgy is, hogy megtekinti az exportált biztonsági riasztásokat és/vagy javaslatokat az Azure Monitorban.

Az Azure Monitor egységes riasztási felületet biztosít számos Különböző Azure-riasztáshoz, beleértve a diagnosztikai naplókat, a metrikariasztásokat és a Log Analytics-munkaterület lekérdezéseien alapuló egyéni riasztásokat.

Az Azure Monitor Felhőhöz készült Defender riasztásainak és javaslatainak megtekintéséhez konfiguráljon egy riasztási szabályt a Log Analytics-lekérdezések (Naplóriasztás) alapján:

  1. Az Azure Monitor Riasztások lapján válassza az Új riasztási szabály lehetőséget.

    Azure Monitor's alerts page.

  2. A szabály létrehozása lapon konfigurálja az új szabályt (ugyanúgy, mint az Azure Monitor naplóriasztási szabályát):

    • Erőforrás esetén válassza ki azt a Log Analytics-munkaterületet, amelybe biztonsági riasztásokat és javaslatokat exportált.

    • Feltételként válassza az Egyéni naplókeresés lehetőséget. A megjelenő lapon konfigurálja a lekérdezést, a visszatekintési időszakot és a gyakorisági időszakot. A keresési lekérdezésben beírhatja a SecurityAlert vagy a SecurityRecommendation parancsot azoknak az adattípusoknak a lekérdezéséhez, amelyekbe folyamatosan exportálni Felhőhöz készült Defender a Folyamatos exportálás Log Analyticsbe funkció engedélyezésekor.

    • Igény szerint konfigurálja azt a műveletcsoportot , amelyet aktiválni szeretne. A műveletcsoportok kiválthatják az e-mailek küldését, az ITSM-jegyeket, a WebHookokat és egyebeket. Azure Monitor alert rule.

Mostantól új Felhőhöz készült Microsoft Defender riasztásokat vagy javaslatokat fog látni (a konfigurált folyamatos exportálási szabályoktól és az Azure Monitor-riasztási szabályban meghatározott feltételtől függően) az Azure Monitor-riasztásokban, és automatikusan aktivál egy műveletcsoportot (ha van ilyen).

Riasztások és javaslatok manuális, egyszeri exportálása

Ha CSV-jelentést szeretne letölteni riasztásokhoz vagy javaslatokhoz, nyissa meg a Biztonsági riasztások vagy Javaslatok lapot, és válassza a CSV-jelentés letöltése gombot.

Tipp

Az Azure Resource Graph korlátozásai miatt a jelentések fájlmérete 13 000 sor. Ha túl sok exportált adattal kapcsolatos hibákat lát, próbálja meg korlátozni a kimenetet az exportálni kívánt előfizetések egy kisebb halmazának kiválasztásával.

Download alerts data as a CSV file.

Megjegyzés

Ezek a jelentések riasztásokat és javaslatokat tartalmaznak az aktuálisan kiválasztott előfizetésekből származó erőforrásokra vonatkozóan.

Gyakori kérdések – Folyamatos exportálás

Milyen költségekkel jár az adatok exportálása?

A folyamatos exportálás engedélyezésének nincs költsége. Az adatok Log Analytics-munkaterületen való betöltéséhez és megőrzéséhez kapcsolódó költségek merülhetnek fel az ottani konfigurációtól függően.

További információk a Log Analytics-munkaterület díjszabásáról.

További tudnivalók az Azure Event Hub díjszabásáról.

Az exportálás tartalmazza az összes erőforrás aktuális állapotára vonatkozó adatokat?

Nem. A folyamatos exportálás az események streamelésének céljából készült:

  • Az exportálás engedélyezése előtt kapott riasztások nem lesznek exportálva.
  • Javaslatok akkor küldi el a rendszer, ha egy erőforrás megfelelőségi állapota megváltozik. Ha például egy erőforrás kifogástalan állapotúról nem megfelelő állapotúra vált. Ezért a riasztásokhoz hasonlóan az olyan erőforrásokra vonatkozó javaslatok sem lesznek exportálva, amelyek az exportálás engedélyezése óta nem változtak.
  • Biztonsági vezérlőnként vagy előfizetésenként a biztonsági pontszám akkor lesz elküldve, ha egy biztonsági vezérlő pontszáma 0,01-es vagy újabb értékre változik.
  • A rendszer akkor küldi el a jogszabályi megfelelőségi állapotot , ha az erőforrás megfelelőségi állapota megváltozik.

A javaslatok elküldése miért különböző időközönként történik?

A különböző javaslatok különböző megfelelőségi értékelési időközökkel rendelkeznek, amelyek néhány perctől néhány naponta változhatnak. Következésképpen a javaslatok annyiban különböznek, amennyi időbe telik, mire azok megjelennek az exportálásokban.

Támogatja a folyamatos exportálás az üzletmenet-folytonossági vagy vészhelyreállítási (BCDR) forgatókönyveket?

Amikor a környezetet BCDR-forgatókönyvekre készíti elő, ahol a célerőforrás kimaradás vagy egyéb katasztrófa történik, a szervezet felelőssége, hogy megakadályozza az adatvesztést azáltal, hogy biztonsági másolatokat hoz létre a Azure Event Hubs, a Log Analytics-munkaterület és a Logic App irányelveinek megfelelően.

További információ a Azure Event Hubs – Geo-vészhelyreállításról.

Ingyenesen elérhető a folyamatos exportálás?

Igen! Vegye figyelembe, hogy számos riasztás csak akkor érhető el, ha engedélyezte a speciális védelmet. Az exportált adatokban megjelenő riasztások előnézetének megtekintésére jó módszer, ha Felhőhöz készült Defender Azure Portal oldalain megjelenő riasztásokat látja.

Következő lépések

Ebben a cikkben megtanulta, hogyan konfigurálhatja a javaslatok és riasztások folyamatos exportálását. Azt is megtanulta, hogyan töltheti le a riasztási adatokat CSV-fájlként.

A kapcsolódó anyagokért tekintse meg a következő dokumentációt: