Terus mengekspor data Microsoft Defender for Cloud

Microsoft Defender for Cloud menghasilkan pemberitahuan dan rekomendasi keamanan mendetail. Anda dapat melihatnya di portal atau melalui alat terprogram. Anda mungkin juga perlu mengekspor beberapa atau semua informasi ini untuk melacak dengan alat pemantauan lain di lingkungan Anda.

Anda menyesuaikan sepenuhnya apa yang akan diekspor, dan ke mana arahnya bersama ekspor berkelanjutan. Misalnya, Anda dapat mengonfigurasikannya sehingga:

• Semua peringatan tingkat keparahan tinggi dikirim ke Azure Event Hub
• Semua temuan tingkat keparahan menengah atau lebih tinggi dari pemindaian penilaian kerentanan server SQL Anda dikirim ke ruang kerja Log Analytics tertentu
• Rekomendasi khusus dikirimkan ke ruang kerja Event Hub atau Log Analytics setiap kali dibuat
• Skor aman untuk langganan dikirim ke ruang kerja Log Analytics setiap kali skor untuk kontrol berubah sebesar 0,01 atau lebih

Meskipun fitur tersebut disebut berkelanjutan, ada juga opsi untuk mengekspor salinan bayangan mingguan.

Artikel ini menjelaskan cara mengonfigurasikan ekspor berkelanjutan ke ruang kerja Log Analytics atau Azure Event Hubs.

Catatan

Jika Anda perlu mengintegrasikan Defender for Cloud dengan SIEM, lihat Streaming pemberitahuan ke solusi SIEM, SOAR, atau Manajemen Layanan TI.

Tip

Defender for Cloud juga menawarkan opsi untuk melakukan ekspor manual satu kali ke CSV. Pelajari selengkapnya di Manual ekspor satu kali pemberitahuan dan rekomendasi.

Ketersediaan

Aspek	Detail
Status rilis:	Ketersediaan umum (GA)
Harga:	Gratis
Peran dan izin akses yang diperlukan:	Peran admin keamanan atau Pemilik pada grup sumber daya Tulis izin untuk sumberdaya target. Jika Anda menggunakan kebijakan 'DeployIfNotExist' Azure Policy yang dijelaskan di bawah ini, Anda juga memerlukan izin untuk menetapkan kebijakan Untuk mengekspor data ke Event Hub, Anda memerlukan izin Tulis pada Kebijakan Hub Acara. Untuk mengekspor ke ruang kerja Log Analytics: jika memiliki solusi SecurityCenterFree, Anda akan memerlukan minimal izin baca untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/read jika tidak memiliki solusi SecurityCenterFree, Anda akan memerlukan izin tulis untuk solusi ruang kerja: Microsoft.OperationsManagement/solutions/action Pelajari selengkapnya tentang solusi ruang kerja Azure Monitor dan Log Analytics
Cloud:	Cloud komersial National (Azure Government, Azure Tiongkok)

Jenis data apa yang dapat diekspor?

Ekspor berkelanjutan dapat mengekspor jenis data berikut setiap kali berubah:

• Pemberitahuan keamanan.
• Rekomendasi keamanan.
• Temuan keamanan. Ini dapat dianggap sebagai rekomendasi 'sub' dan termasuk dalam rekomendasi 'induk'. Contohnya:
  • Rekomendasi Pembaruan sistem harus diinstal pada mesin Anda (didukung oleh Pusat Pembaruan) dan Pembaruan sistem harus diinstal pada mesin Anda yang masing-masing memiliki satu rekomendasi 'sub' pada setiap pembaruan sistem yang tertunda.
  • Rekomendasi Mesin harus menyelesaikan temuan kerentanan memiliki rekomendasi 'sub' untuk setiap kerentanan yang diidentifikasi oleh pemindai kerentanan.

  Catatan

  Jika Anda mengonfigurasikan ekspor berkelanjutan dengan REST API, selalu sertakan induk dengan temuan tersebut.

• Skor aman per langganan atau per kontrol.
• Data kepatuhan peraturan.

Menyiapkan ekspor berkelanjutan

Anda dapat mengonfigurasi ekspor berkelanjutan dari halaman Microsoft Defender for Cloud di portal Microsoft Azure, melalui REST API, atau dalam skala besar menggunakan templat Azure Policy yang disediakan. Pilih tab yang sesuai di bawah ini untuk detail masing-masing.

Menggunakan portal Microsoft Azure

Konfigurasikan ekspor berkelanjutan dari halaman Defender for Cloud di portal Microsoft Azure

Langkah-langkah di bawah ini diperlukan apakah Anda menyiapkan ekspor berkelanjutan ke ruang kerja Log Analytics atau Azure Event Hubs.

1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

2. Pilih langganan tertentu yang ingin Anda konfigurasikan ekspor datanya.

3. Dari bar samping halaman pengaturan untuk langganan tersebut, pilih Ekspor Berkelanjutan.

   

   Di sini Anda melihat opsi ekspor. Ada tab untuk setiap target ekspor yang tersedia.

4. Pilih jenis data yang ingin Anda ekspor dan pilih dari filter pada setiap jenis (misalnya, ekspor hanya pemberitahuan tingkat keparahan tinggi).

5. Pilih frekuensi ekspor yang sesuai:

   • Streaming – penilaian akan dikirim ketika status kesehatan sumber daya diperbarui (jika tidak ada pembaruan, tidak ada data yang akan dikirim).
   • Salinan bayangan – salinan bayangan status terkini dari jenis data yang dipilih akan dikirim seminggu sekali per langganan. Untuk mengidentifikasi data rekam jepret, cari IsSnapshot bidang.

6. Secara opsional, jika pilihan Anda menyertakan salah satu rekomendasi ini, Anda dapat menyertakan temuan penilaian kerentanan bersama-sama dengan mereka:

   • Database SQL harus memiliki temuan kerentanan yang diselesaikan
   • Server SQL di komputer harus mengatasi temuan kerentanan
   • Gambar registri kontainer harus menyelesaikan temuan kerentanan (didukung oleh Qualys)
   • Mesin harus menyelesaikan temuan kerentanan
   • Pembaruan sistem harus dipasang di komputer Anda

   Untuk menyertakan temuan dengan rekomendasi ini, aktifkan opsi sertakan temuan keamanan.

   

7. Dari area "Ekspor target", pilih tempat yang Anda inginkan untuk menyimpan data. Data dapat disimpan dalam target pada langganan yang berbeda (misalnya pada instans Central Event Hub atau ruang kerja Log Analytics pusat).

8. Pilih Simpan.

Catatan

Analitik log mendukung rekaman berukuran hingga 32KB. Saat batas data tercapai, Anda akan melihat peringatan yang memberitahukan bahwa Data limit has been exceeded.

Menggunakan REST API

Mengonfigurasikan ekspor berkelanjutan menggunakan REST API

Ekspor berkelanjutan dapat dikonfigurasi dan dikelola melalui automations API Microsoft Defender for Cloud. Gunakan API ini untuk membuat atau memperbarui aturan untuk mengekspor ke salah satu tujuan berikut:

• Azure Event Hub
• Ruang kerja Analitik Log
• Azure Logic Apps

API menyediakan fungsionalitas tambahan yang tidak tersedia dari portal Azure, misalnya:

• Volume yang lebih besar - Anda dapat membuat beberapa konfigurasi ekspor pada satu langganan dengan API. Laman Ekspor Berkelanjutan di UI portal Defender for Cloud hanya mendukung satu konfigurasi ekspor per langganan.

• Fitur tambahan - API menawarkan parameter tambahan yang tidak ditampilkan di UI. Misalnya, Anda dapat menambahkan tag ke sumber daya otomatisasi serta menentukan ekspor Anda berdasarkan kumpulan properti pemberitahuan dan rekomendasi yang lebih luas daripada yang ditawarkan di laman Ekspor Berkelanjutan di UI portal Defender for Cloud.

• Lingkup yang lebih terfokus - API memberikan tingkat yang lebih terperinci untuk cakupan konfigurasi ekspor Anda. Saat menentukan ekspor dengan API, Anda dapat melakukannya di level grup sumber daya. Jika Anda menggunakan laman Ekspor Berkelanjutan di UI portal Defender for Cloud, Anda harus menentukannya di tingkat langganan.

  Tip

  Jika Anda telah menyiapkan beberapa konfigurasi ekspor menggunakan API, atau jika Anda telah menggunakan parameter khusus API, fitur tambahan tersebut tidak akan ditampilkan di Defender for Cloud UI. Sebagai gantinya, akan ada spanduk yang memberi tahu Anda bahwa konfigurasi lain ada.

Pelajari lebih lanjut tentang API otomatisasi dalam dokumentasi REST API.

Menyebarkan dalam skala besar dengan Azure Policy

Mengonfigurasikan ekspor berkelanjutan dalam skala besar menggunakan kebijakan yang disediakan

Melakukan otomatisasi proses pemantauan dan respon atas insiden organisasi Anda akan sangat meningkatkan efisiensi waktu yang diperlukan untuk menyelidiki dan mengatasi insiden keamanan.

Untuk menerapkan konfigurasi ekspor berkelanjutan di seluruh organisasi Anda, gunakan kebijakan 'DeployIfNotExist' Azure Policy yang dijelaskan di bawah ini untuk membuat dan mengonfigurasikan prosedur ekspor berkelanjutan.

Untuk menerapkan kebijakan ini

1. Dari tabel di bawah ini, pilih kebijakan yang ingin Anda terapkan:

   Tujuan	Kebijakan	ID Kebijakan
   Ekspor berkelanjutan ke Pusat Aktivitas	Menyebarkan ekspor ke Event Hub untuk pemberitahuan dan rekomendasi Microsoft Defender for Cloud	cdfcce10-4578-4ecd-9703-530938e4abcb
   Ekspor berkelanjutan ke ruang kerja Log Analytics	Menyebarkan ekspor ke ruang kerja Log Analytics untuk pemberitahuan dan rekomendasi Microsoft Defender for Cloud	ffb6f416-7bd2-4488-8828-56585fef2be9

   Tip

   Anda juga dapat menemukan ini dengan mencari Azure Policy:

   1. Buka Azure Policy.
   2. Dari menu Azure Policy, pilih Definisi dan cari berdasarkan nama.

2. Dari halaman Azure Policy yang relevan, pilih Tetapkan.

3. Buka setiap tab dan atur parameter sesuai keinginan:

   1. Di tab Dasar, atur lingkup untuk kebijakan tersebut. Untuk menggunakan manajemen terpusat, tetapkan kebijakan ke Grup Manajemen yang berisi langganan yang akan menggunakan konfigurasi automasi alur kerja.
   2. Di tab Parameter, atur grup sumber daya dan detail jenis data.

      Tip

      Setiap parameter memiliki tipsalat yang menjelaskan opsi yang tersedia untuk Anda.

      Tab parameter Azure Policy (1) menyediakan akses ke opsi konfigurasi serupa sebagai halaman ekspor berkelanjutan Defender for Cloud (2).

   3. Secara opsional, untuk menerapkan tugas ini ke langganan yang sudah ada, buka tab Remediasi dan pilih opsi untuk membuat tugas remediasi.

4. Tinjau halaman ringkasan dan pilih Buat.

Informasi tentang mengekspor ke ruang kerja Log Analytics

Jika Anda ingin menganalisis data Microsoft Defender for Cloud di dalam ruang kerja Log Analytics atau menggunakan pemberitahuan Azure bersama dengan pemberitahuan Defender for Cloud, siapkan ekspor berkelanjutan ke ruang kerja Log Analytics Anda.

Tabel dan skema Log Analytics

Pemberitahuan dan rekomendasi keamanan disimpan dalam tabel SecurityAlert dan SecurityRecommendation masing-masing.

Nama solusi Log Analytics yang berisi tabel ini bergantung pada apakah Anda telah mengaktifkan fitur keamanan yang ditingkatkan: Keamanan ('Keamanan dan Audit') atau SecurityCenterFree.

Tip

Untuk melihat data di ruang kerja tujuan, Anda harus mengaktifkan salah satu solusi ini Keamanan dan Audit atau SecurityCenterFree.

Untuk melihat skema kejadian dari jenis data yang diekspor, kunjungi skema tabel Log Analytics.

Menampilkan pemberitahuan dan rekomendasi yang diekspor di Azure Monitor

Anda mungkin juga memilih untuk melihat Pemberitahuan Keamanan dan/atau rekomendasi yang diekspor di Azure Monitor.

Azure Monitor menyediakan pengalaman pemberitahuan terpadu untuk berbagai pemberitahuan Azure termasuk Log Diagnostik, Pemberitahuan metrik, dan pemberitahuan kustom berdasarkan kueri ruang kerja Log Analytics.

Untuk melihat pemberitahuan dan rekomendasi dari Defender for Cloud di Azure Monitor, konfigurasikan aturan Pemberitahuan berdasarkan kueri Log Analytics (Pemberitahuan Log):

1. Dari halaman Azure Monitor Pemberitahuan, pilih Aturan pemberitahuan baru.

   

2. Di halaman buat aturan, konfigurasikan aturan baru Anda (dengan cara yang sama Anda mengonfigurasikan aturan pemberitahuan log di Azure Monitor):

   • Untuk Sumber Daya, pilih ruang kerja Log Analytics tempat Anda mengekspor pemberitahuan dan rekomendasi keamanan.

   • Untuk Kondisi, pilih Pencarian log kustom. Di halaman yang muncul, konfigurasikan kueri, periode pencarian, dan periode frekuensi. Dalam kueri pencarian, Anda dapat mengetik SecurityAlert atau SecurityRecommendation untuk meminta jenis data yang terus-menerus diekspor Defender for Cloud saat Anda mengaktifkan fitur Ekspor berkelanjutan ke Log Analytics.

   • Secara opsional, konfigurasikan Grup Tindakan yang ingin Anda picu. Grup tindakan dapat memicu pengiriman email, tiket ITSM, WebHooks, dan banyak lagi.

Sekarang Anda akan melihat pemberitahuan atau rekomendasi Microsoft Defender for Cloud baru (bergantung pada aturan ekspor berkelanjutan yang dikonfigurasi dan kondisi yang Anda tetapkan di aturan pemberitahuan Azure Monitor) di pemberitahuan Azure Monitor, dengan pemicu otomatis grup tindakan (jika disediakan).

Pelajari selengkapnya di pemberitahuan dan rekomendasi

Untuk mengunduh laporan CSV untuk pemberitahuan atau rekomendasi, buka halaman Pemberitahuan keamanan atau Rekomendasi dan pilih tombol Unduh laporan CSV.

Tip

Karena keterbatasan Azure Resource Graph, laporan terbatas pada ukuran file 13 ribu baris. Jika Anda melihat kesalahan yang terkait dengan terlalu banyak data yang diekspor, coba batasi output dengan memilih serangkaian langganan yang lebih kecil untuk diekspor.

Catatan

Laporan ini berisi pemberitahuan dan rekomendasi untuk sumber daya dari langganan yang saat ini dipilih.

Tanya Jawab Umum - Ekspor berkelanjutan

Berapa biaya yang terlibat dalam mengekspor data?

Tidak ada biaya untuk mengaktifkan ekspor berkelanjutan. Biaya mungkin timbul dari penyerapan dan retensi data di ruang kerja Log Analytics, bergantung pada konfigurasi Anda di sana.

Pelajari selengkapnya tentang harga ruang kerja Log Analytics.

Pelajari selengkapnya tentang harga Azure Event Hub.

Apakah ekspor menyertakan data tentang status semua sumber daya saat ini?

Nomor. Ekspor berkelanjutan dibangun untuk streaming peristiwa:

• Pemberitahuan yang diterima sebelum Anda mengaktifkan ekspor tidak akan diekspor.
• Rekomendasi dikirim setiap kali status kepatuhan sumber daya berubah. Misalnya, ketika sumber daya berubah dari sehat menjadi tidak sehat. Oleh karena itu, seperti halnya peringatan, rekomendasi untuk sumber daya yang belum berubah status sejak Anda mengaktifkan ekspor tidak akan diekspor.
• Skor aman per kontrol keamanan atau langganan dikirim saat skor kontrol keamanan berubah sebesar 0,01 atau lebih.
• Status kepatuhan terhadap peraturan dikirim ketika status kepatuhan sumber daya berubah.

Mengapa rekomendasi dikirim pada interval yang berbeda?

Rekomendasi yang berbeda memiliki interval evaluasi kepatuhan yang berbeda, yang dapat bervariasi dari beberapa menit hingga setiap beberapa hari. Akibatnya, rekomendasi akan berbeda dalam jumlah waktu yang diperlukan agar mereka muncul dalam ekspor Anda.

Apakah automasi alur kerja mendukung skenario kelangsungan bisnis atau pemulihan bencana (BCDR)?

Saat mempersiapkan lingkungan Anda untuk skenario BCDR, ketika sumber daya target mengalami penghentian atau bencana lainnya, organisasi ini bertanggung jawab untuk mencegah kehilangan data dengan membuat cadangan sesuai dengan pedoman dari Azure Event Hubs, ruang kerja Log Analytics, dan Aplikasi Logika.

Pelajari lebih lanjut di Azure Event Hubs - Pemulihan geo-bencana.

Apakah ekspor berkelanjutan tersedia secara gratis?

Ya! Perhatikan bahwa banyak pemberitahuan hanya diberikan saat Anda mengaktifkan perlindungan lanjutan. Cara yang baik untuk melihat pratinjau pemberitahuan yang akan Anda dapatkan dalam data yang diekspor adalah dengan melihat pemberitahuan yang ditampilkan di halaman Defender for Cloud di portal Microsoft Azure.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara mengonfigurasikan ekspor berkelanjutan dari rekomendasi dan peringatan Anda. Anda juga mempelajari cara mengunduh data pemberitahuan sebagai file CSV.

Untuk materi terkait, lihat dokumentasi berikut ini:

• Pelajari selengkapnya tentang templat otomatisasi alur kerja.
• Dokumentasi Azure Event Hubs
• Dokumentasi Microsoft Sentinel
• Dokumentasi Azure Monitor
• Mengekspor skema jenis data