Подключение данных оповещений защитника Azure из центра безопасности AzureConnect Azure Defender alert data from Azure Security Center

Используйте соединитель оповещений защитника Azure для приема оповещений защитника Azure из центра безопасности Azure и потоковой передачи их в Azure Sentinel.Use the Azure Defender alert connector to ingest Azure Defender alerts from Azure Security Center and stream them into Azure Sentinel.

Предварительные требованияPrerequisites

  • Пользователь должен иметь роль "читатель безопасности" в подписке на журналы, которые вы выполняете в вашем потоке.Your user must have the Security Reader role in the subscription of the logs you stream.

  • Вам потребуется включить защитник Azure в центре безопасности Azure.You will need to enable Azure Defender within Azure Security Center. (Уровень "Стандартный" больше не существует и больше не является требованием к лицензии.)(Standard tier no longer exists, and is no longer a license requirement.)

Подключение к защитнику AzureConnect to Azure Defender

  1. В пункте Azure Sentinel выберите соединители данных в меню навигации.In Azure Sentinel, select Data connectors from the navigation menu.

  2. В коллекции соединителей данных выберите оповещения защитника Azure от ASC (может по-прежнему называться "Центр безопасности Azure") и нажмите кнопку открыть страницу соединителя .From the data connectors gallery, select Azure Defender alerts from ASC (may still be called Azure Security Center), and click the Open connector page button.

  3. В разделе Конфигурациящелкните Подключиться рядом с каждой подпиской, оповещения о которых необходимо передать в Azure Sentinel.Under Configuration, click Connect next to each subscription whose alerts you want to stream into Azure Sentinel. Кнопка подключить будет доступна, только если у вас есть необходимые разрешения.The Connect button will be available only if you have the required permissions.

  4. Вы можете выбрать, должны ли оповещения в защитнике Azure автоматически создавать инциденты в Azure Sentinel.You can select whether you want the alerts from Azure Defender to automatically generate incidents in Azure Sentinel. В разделе Создание инцидентоввыберите включено , чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений.Under Create incidents, select Enabled to turn on the default analytics rule that automatically creates incidents from alerts. Затем можно изменить это правило в разделе аналитикана вкладке активные правила .You can then edit this rule under Analytics, in the Active rules tab.

  5. Чтобы использовать соответствующую схему в Log Analytics оповещений защитника Azure, выполните поиск по запросу секуритялерт.To use the relevant schema in Log Analytics for the Azure Defender alerts, search for SecurityAlert.

Дальнейшие шагиNext steps

В этом документе вы узнали, как подключить защитник Azure к Azure Sentinel.In this document, you learned how to connect Azure Defender to Azure Sentinel. Ознакомьтесь с дополнительными сведениями об Azure Sentinel в соответствующих статьях.To learn more about Azure Sentinel, see the following articles: