Folyamatos exportálás beállítása az Azure Policy használatával
A Felhőhöz készült Microsoft Defender biztonsági riasztások és javaslatok folyamatos exportálásával elemezheti az adatokat a Log Analyticsben vagy az Azure Event Hubsban. A folyamatos exportálást Felhőhöz készült Defender nagy méretekben, a megadott Azure Policy-sablonok használatával állíthatja be.
Tipp.
Felhőhöz készült Defender egyszeri, manuális exportálást is lehetővé tesz egy vesszővel tagolt értékeket (CSV) használó fájlba. Megtudhatja, hogyan tölthet le CSV-fájlokat.
Előfeltételek
Ehhez Microsoft Azure-előfizetésre van szükség. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes előfizetésre.
Engedélyeznie kell Felhőhöz készült Microsoft Defender az Azure-előfizetésében.
Szükséges szerepkörök és engedélyek:
Az erőforráscsoport biztonsági Rendszergazda vagy tulajdonosa
Írási engedélyek a célerőforráshoz.
Ha az Azure Policy DeployIfNotExist szabályzatokat használja, olyan engedélyekkel kell rendelkeznie, amelyek lehetővé teszik a szabályzatok hozzárendelését.
Ha adatokat szeretne exportálni az Event Hubsba, írási engedélyekkel kell rendelkeznie az Event Hubs-házirendben.
Log Analytics-munkaterületre való exportálás:
- Ha rendelkezik a SecurityCenterFree megoldással, legalább olvasási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Microsoft.OperationsManagement/solutions/read. - Ha nem rendelkezik SecurityCenterFree-megoldásokkal, írási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Microsoft.OperationsManagement/solutions/action.
További információ az Azure Monitor és a Log Analytics munkaterületi megoldásairól.
- Ha rendelkezik a SecurityCenterFree megoldással, legalább olvasási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Folyamatos exportálás beállítása nagy méretekben az Azure Policy használatával
A szervezet monitorozási és incidenskezelési folyamatainak automatizálásával csökkentheti a biztonsági incidensek kivizsgálásához és enyhítéséhez szükséges időt.
A folyamatos exportálási konfigurációk szervezeten belüli üzembe helyezéséhez használja a megadott Azure Policy-szabályzatokat DeployIfNotExist a folyamatos exportálási eljárások létrehozásához és konfigurálásához.
A szabályzatok implementálása:
Válasszon ki egy alkalmazni kívánt szabályzatot:
Cél Szabályzat Szabályzat azonosítója Folyamatos exportálás az Event Hubsba Exportálás üzembe helyezése az Event Hubsba Felhőhöz készült Microsoft Defender riasztásokhoz és javaslatokhoz cdfcce10-4578-4ecd-9703-530938e4abcb Folyamatos exportálás a Log Analytics-munkaterületre A Microsoft Defender for Cloud-riasztások és -javaslatok Log Analytics-munkaterületre való exportálásának üzembe helyezése ffb6f416-7bd2-4488-8828-56585fef2be9 Válassza a Hozzárendelés lehetőséget.
Válassza ki az egyes lapokat, és állítsa be a paramétereket a követelményeknek megfelelően:
Az Alapszintű beállítások lapon állítsa be a szabályzat hatókörét. A központosított felügyelet használatához rendelje hozzá a szabályzatot ahhoz a felügyeleti csoporthoz, amely a folyamatos exportálási konfigurációt használó előfizetéseket tartalmazza.
A Paraméterek lapon adja meg az erőforráscsoport nevét, helyét és eseményközpontjának adatait.
Ha ezt a hozzárendelést meglévő előfizetésekre szeretné alkalmazni, válassza a Szervizelés lapot, majd válassza ki a szervizelési feladat létrehozásához szükséges lehetőséget.
Tekintse át az összefoglaló lapot, majd válassza a Létrehozás lehetőséget.