Esportare continuamente i dati di Microsoft Defender per Cloud

Microsoft Defender for Cloud genera avvisi e consigli dettagliati sulla sicurezza. È possibile visualizzarli nel portale o tramite strumenti a livello di codice. Potrebbe anche essere necessario esportare alcune o tutte queste informazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.

È possibile personalizzare completamente ciò che verrà esportato e in cui verrà eseguita l'esportazione continua. Ad esempio, è possibile configurarla in modo che:

  • Tutti gli avvisi di gravità elevata vengono inviati a un hub eventi di Azure
  • Tutti i risultati di gravità media o superiore delle analisi di valutazione delle vulnerabilità dei server di SQL vengono inviati a un'area di lavoro Log Analytics specifica
  • Le raccomandazioni specifiche vengono recapitate a un'area di lavoro hub eventi o Log Analytics ogni volta che vengono generate
  • Il punteggio sicuro per una sottoscrizione viene inviato a un'area di lavoro Log Analytics ogni volta che il punteggio per un controllo cambia entro 0.01 o più

Anche se la funzionalità viene chiamata continua, è disponibile anche un'opzione per esportare snapshot settimanali.

Questo articolo descrive come configurare l'esportazione continua nelle aree di lavoro di Log Analytics o Hub eventi di Azure.

Nota

Se è necessario integrare Defender for Cloud con un siem, vedere Trasmettere avvisi a una soluzione SIEM, SOAR o IT Service Management.

Suggerimento

Defender for Cloud offre anche l'opzione per eseguire un'esportazione manuale una sola volta in CSV. Altre informazioni in Esportazione manuale degli avvisi e delle raccomandazioni.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Livello gratuito
Autorizzazioni e ruoli obbligatori:
  • Amministratore della sicurezza o Proprietario nel gruppo di risorse
  • Autorizzazioni di scrittura per la risorsa di destinazione.
  • Se si usano i criteri di Criteri di Azure 'DeployIfNotExist' descritti di seguito sono necessarie anche le autorizzazioni per l'assegnazione dei criteri
  • Per esportare i dati in Hub eventi, è necessaria l'autorizzazione Write per i criteri dell'hub eventi.
  • Per esportare in un'area di lavoro Log Analytics:
    • se ha la soluzione SecurityCenterFree, sarà necessario un minimo di autorizzazioni di lettura per la soluzione dell'area di lavoro: Microsoft.OperationsManagement/solutions/read
    • se non dispone della soluzione SecurityCenterFree, sono necessarie autorizzazioni di scrittura per la soluzione dell'area di lavoro: Microsoft.OperationsManagement/solutions/action
    • Altre informazioni sulle soluzioni dell'area di lavoro di Monitoraggio di Azure e Log Analytics
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Quali tipi di dati possono essere esportati?

L'esportazione continua può esportare i tipi di dati seguenti ogni volta che cambiano:

Configurare un'esportazione continua

È possibile configurare l'esportazione continua dalle pagine di Microsoft Defender for Cloud in portale di Azure, tramite l'API REST o su larga scala usando i modelli di Criteri di Azure forniti. Selezionare la scheda appropriata seguente per informazioni dettagliate su ogni oggetto.

Configurare l'esportazione continua dalle pagine Defender for Cloud in portale di Azure

I passaggi seguenti sono necessari se si configura un'esportazione continua nell'area di lavoro Log Analytics o Hub eventi di Azure.

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare la sottoscrizione specifica per cui si vuole configurare l'esportazione dei dati.

  3. Nella barra laterale della pagina delle impostazioni per tale sottoscrizione selezionare Esportazione continua.

    Export options in Microsoft Defender for Cloud.

    Qui vengono visualizzate le opzioni di esportazione. È disponibile una scheda per ogni destinazione di esportazione disponibile.

  4. Selezionare il tipo di dati che si desidera esportare e scegliere tra i filtri in ogni tipo (ad esempio, esportare solo avvisi di gravità elevata).

  5. Selezionare la frequenza di esportazione appropriata:

    • Streaming : le valutazioni verranno inviate quando viene aggiornato lo stato di integrità di una risorsa (se non si verificano aggiornamenti, non verranno inviati dati).
    • Snapshot : uno snapshot dello stato corrente dei tipi di dati selezionati verrà inviato una volta alla settimana per sottoscrizione. Per identificare i dati dello snapshot, cercare il campo IsSnapshot.
  6. Facoltativamente, se la selezione include uno di questi consigli, è possibile includere i risultati della valutazione della vulnerabilità insieme a essi:

    Per includere i risultati con queste raccomandazioni, abilitare l'opzione includi risultati della sicurezza .

    Include security findings toggle in continuous export configuration.

  7. Nell'area "Esporta destinazione" scegliere dove si desidera salvare i dati. I dati possono essere salvati in una destinazione in una sottoscrizione diversa, ad esempio in un'istanza di Hub eventi centrale o in un'area di lavoro di Log Analytics centrale.

  8. Selezionare Salva.

Informazioni sull'esportazione in un'area di lavoro Log Analytics

Per analizzare i dati di Microsoft Defender for Cloud all'interno di un'area di lavoro Log Analytics o usare avvisi di Azure insieme agli avvisi defender for Cloud, configurare l'esportazione continua nell'area di lavoro Log Analytics.

Tabelle e schemi di Log Analytics

Gli avvisi e le raccomandazioni per la sicurezza vengono archiviati rispettivamente nelle tabelle SecurityAlert e SecurityRecommendation .

Il nome della soluzione Log Analytics contenente queste tabelle dipende dal fatto che siano state abilitate le funzionalità di sicurezza avanzate: Sicurezza ('Security and Audit') o SecurityCenterFree.

Suggerimento

Per visualizzare i dati nell'area di lavoro di destinazione, è necessario abilitare una di queste soluzioni Security and Audit o SecurityCenterFree.

The SecurityAlert table in Log Analytics.

Per visualizzare gli schemi degli eventi dei tipi di dati esportati, visitare gli schemi della tabella Log Analytics.

Visualizzare avvisi e raccomandazioni esportati in Monitoraggio di Azure

È anche possibile scegliere di visualizzare avvisi di sicurezza e/o consigli esportati in Monitoraggio di Azure.

Monitoraggio di Azure offre un'esperienza unificata di avviso per un'ampia gamma di avvisi di Azure, tra cui log di diagnostica, avvisi metrici e avvisi personalizzati basati sulle query dell'area di lavoro Log Analytics.

Per visualizzare avvisi e raccomandazioni da Defender for Cloud in Monitoraggio di Azure, configurare una regola di avviso basata sulle query di Log Analytics (Avviso log):

  1. Nella pagina Avvisi di Monitoraggio di Azure selezionare Nuova regola di avviso.

    Azure Monitor's alerts page.

  2. Nella pagina crea regola configurare la nuova regola (nello stesso modo in cui si configura una regola di avviso di log in Monitoraggio di Azure):

    • Per Risorsa selezionare l'area di lavoro Log Analytics in cui sono stati esportati avvisi e raccomandazioni per la sicurezza.

    • Per Condizione selezionare Ricerca log personalizzata. Nella pagina visualizzata configurare la query, il periodo di lookback e il periodo di frequenza. Nella query di ricerca è possibile digitare SecurityAlert o SecurityRecommendation per eseguire query sui tipi di dati che Defender for Cloud esporta continuamente in come abilitare l'esportazione continua in Log Analytics.

    • Facoltativamente, configurare il gruppo di azioni che si vuole attivare. I gruppi di azioni possono attivare l'invio di messaggi di posta elettronica, i ticket ITSM, i webhook e altro ancora. Azure Monitor alert rule.

Verranno ora visualizzati nuovi avvisi o consigli di Microsoft Defender for Cloud (a seconda delle regole di esportazione continua configurate e della condizione definita nella regola di avviso di Monitoraggio di Azure) negli avvisi di Monitoraggio di Azure, con l'attivazione automatica di un gruppo di azioni (se specificato).

Esportazione manuale di avvisi e raccomandazioni

Per scaricare un report CSV per avvisi o raccomandazioni, aprire la pagina Avvisi di sicurezza o Consigli e selezionare il pulsante Scarica report CSV.

Suggerimento

A causa delle limitazioni Resource Graph di Azure, i report sono limitati a una dimensione di file di 13K righe. Se vengono visualizzati errori relativi a troppi dati da esportare, provare a limitare l'output selezionando un set più piccolo di sottoscrizioni da esportare.

Download alerts data as a CSV file.

Nota

Questi report contengono avvisi e raccomandazioni per le risorse dalle sottoscrizioni attualmente selezionate.

Domande frequenti - Esportazione continua

Quali sono i costi coinvolti nell'esportazione dei dati?

Non è previsto alcun costo per l'abilitazione di un'esportazione continua. I costi potrebbero essere sostenuti per l'inserimento e la conservazione dei dati nell'area di lavoro Log Analytics, a seconda della configurazione.

Altre informazioni sui prezzi delle aree di lavoro Log Analytics.

Altre informazioni sui prezzi dell'hub eventi di Azure.

L'esportazione include dati sullo stato corrente di tutte le risorse?

No. L'esportazione continua viene creata per lo streaming di eventi:

  • Gli avvisi ricevuti prima dell'esportazione abilitata non verranno esportati.
  • Consigli vengono inviati ogni volta che cambia lo stato di conformità di una risorsa. Ad esempio, quando una risorsa diventa integra e non integra. Pertanto, come per gli avvisi, le raccomandazioni per le risorse che non sono state modificate perché l'esportazione abilitata non verrà esportata.
  • Il punteggio di sicurezza per controllo di sicurezza o sottoscrizione viene inviato quando il punteggio di un controllo di sicurezza cambia per 0,01 o più.
  • Lo stato di conformità alle normative viene inviato quando lo stato della conformità della risorsa cambia.

Perché i consigli vengono inviati a intervalli diversi?

I diversi consigli hanno intervalli di valutazione della conformità diversi, che possono variare da pochi minuti a ogni pochi giorni. Di conseguenza, le raccomandazioni differiscono nel tempo necessario per visualizzarle nelle esportazioni.

L'esportazione continua supporta gli scenari di continuità aziendale o ripristino di emergenza ??

Quando si prepara l'ambiente per scenari BCDR, in cui la risorsa di destinazione sta riscontrando un'interruzione o un'altra emergenza, è responsabilità dell'organizzazione prevenire la perdita di dati creando backup in base alle linee guida da Hub eventi di Azure, area di lavoro Log Analytics e App per la logica.

Altre informazioni in Hub eventi di Azure - Ripristino di emergenza geografico.

L'esportazione continua è disponibile gratuitamente?

Sì. Si noti che molti avvisi vengono forniti solo quando sono state abilitate le protezioni avanzate. Un buon modo per visualizzare in anteprima gli avvisi che si otterranno nei dati esportati consiste nel visualizzare gli avvisi visualizzati nelle pagine di Defender for Cloud nel portale di Azure.

Passaggi successivi

In questo articolo si è appreso come configurare le esportazioni continue dei consigli e degli avvisi. Si è anche appreso come scaricare i dati degli avvisi come file CSV.

Per materiale correlato, vedere la documentazione seguente: