你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
连续导出 Microsoft Defender for Cloud 数据
Microsoft Defender for Cloud 生成详细的安全警报和建议。 可以通过门户或编程工具查看它们。 你可能还需要部分或全部导出此信息,以使用环境中的其他监视工具进行跟踪。
可以完全自定义要导出的内容,以及该内容使用连续导出时的导出位置。 例如,可以对其进行配置,以便:
- 将所有高严重性警报发送到 Azure 事件中心
- 将 SQL 服务器的漏洞评估扫描中的所有中等或较高严重性结果发送到特定的 Log Analytics 工作区
- 将生成的特定建议即时传递到事件中心或 Log Analytics 工作区
- 每当控件的分数变化 0.01 或更大时,订阅的安全分数就会发送到 Log Analytics 工作区
即使此功能称为连续功能,也有一个用于导出每周快照的选项。
本文介绍如何配置到 Log Analytics 工作区或 Azure 事件中心的连续导出。
注意
如果需要将 Defender for Cloud 与 SIEM 集成,请参阅将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案。
提示
Defender for Cloud 还提供用于一次性手动导出到 CSV 的选项。 在手动一次性导出警报和建议中了解详细信息。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 定价: | 免费 |
| 所需角色和权限: |
|
| 云: |  商用云 国家(Azure 政府、Azure 中国世纪互联) |
可以导出哪些数据类型?
连续导出可以在以下数据类型发生更改时导出它们:
- 安全警报。
- 安全建议。
- 安全检测结果。 这些检测结果可将视为“子”建议,属于“父”建议。 例如:
- 应在计算机上安装系统更新(由更新中心提供技术支持)建议和应在计算机上安装系统更新建议各包含一个针对未完成的系统更新的“子”建议。
- 计算机应已解决漏洞结果建议包含一个有关漏洞扫描程序所识别的每个漏洞的“子”建议。
注意
如果使用 REST API 配置连续导出,请始终在结果中加入父级。
- 按订阅或按控制安全评分。
- 合规性数据。
设置连续导出
可以通过 Azure 门户中的 Microsoft Defender for Cloud 页面、REST API 或提供的 Azure Policy 模板大规模配置连续导出。 选择下面相应的选项卡,以获取每项的详细信息。
通过 Azure 门户中 Defender for Cloud 页面配置连续导出
无论是设置连续导出到 Log Analytics 工作区的操作还是连续导出到 Azure 事件中心的操作,都需要执行以下步骤。
在 Defender for Cloud 的菜单中,打开“环境设置”。
选择要为其配置数据导出的特定订阅。
从该订阅的设置页的侧栏中,选择“连续导出”。
可以在这里看到导出选项。 每个可用的导出目标有一个选项卡。
选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。
选择适当的导出频率:
- 流式处理 - 更新资源的运行状况状态时,将发送评估(如果没有更新,则不发送任何数据)。
- 快照 - 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据,请查看字段
IsSnapshot。
(可选)如果你的选择包含这些建议中的一个,可以将漏洞评估结果与它们包括在一起:
若要将结果与这些建议包括在一起,请启用“包括安全结果”选项。
从“导出目标”区域中,选择要将数据保存到其中的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或中央 Log Analytics 工作区中)。
选择“保存”。
注意
Log Analytics 支持大小最多为 32KB 的记录。 达到数据限制后,你将看到一条警报,告知你 Data limit has been exceeded。
有关导出到 Log Analytics 工作区的信息
如果你要分析 Log Analytics 工作区中的 Microsoft Defender for Cloud 数据或将 Azure 警报与 Defender for Cloud 警报一起使用,请设置连续导出到 Log Analytics 工作区。
Log Analytics 表和架构
安全警报和建议将分别存储在 SecurityAlert 和 SecurityRecommendation 表中 。
包含这些表的 Log Analytics 解决方案的名称取决于是否启用了增强的安全性功能:Security(“安全和审核”)或“SecurityCenterFree”。
提示
若要查看目标工作区中的数据,必须启用解决方案“安全和审核”或“SecurityCenterFree”中的一个 。
若要查看导出的数据类型的事件架构,请访问 Log Analytics 表架构。
在 Azure Monitor 中查看导出的警报和建议
还可以选择在 Azure Monitor 中查看导出的安全警报和/或建议。
Azure Monitor 为各种 Azure 警报(包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报)提供统一的警报体验。
若要在 Azure Monitor 中查看来自 Defender for Cloud 的警报和建议,请基于 Log Analytics 查询(日志警报)配置警报规则:
从 Azure Monitor 的“警报”页上,选择“新建警报规则” 。
在“创建规则”页中,配置新规则(与在 Azure Monitor 中配置日志警报规则的方式相同):
对于“资源”,请选择要向其中导出安全警报和建议的 Log Analytics 工作区。
对于“条件”,请选择“自定义日志搜索” 。 在出现的页中,配置查询、回溯周期和频率周期。 在搜索查询中,可以键入“SecurityAlert”或“SecurityRecommendation”来查询在启用“连续导出到 Log Analytics”功能后,Defender for Cloud 连续导出到的数据类型 。
(可选)配置要触发的操作组。 操作组可以触发电子邮件发送、ITSM 票证、Webhook 等。
现在你将在 Azure Monitor 警报中看到新的 Microsoft Defender for Cloud 警报或建议(取决于配置的连续导出规则以及在 Azure Monitor 警报规则中定义的条件),并且会自动触发操作组(如果已提供)。
手动一次性导出警报和建议
若要下载警报或建议的 CSV 报表,请打开“安全警报”或“建议”页,然后选择“下载 CSV 报表”按钮。
提示
由于 Azure Resource Graph 限制,报表的文件大小限制为 1.3 万行。 如果看到与导出数据过多相关的错误,请尝试通过选择导出较小组的订阅来限制输出。
注意
这些报表包含当前所选订阅中的资源的警报和建议。
常见问题解答 - 连续导出
导出数据时涉及哪些费用?
启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用,具体取决于你的配置。
详细了解 Log Analytics 工作区定价。
详细了解 Azure 事件中心定价。
导出是否包含所有资源的当前状态数据?
错误。 连续导出用于流式传输事件:
- 不会导出在启用导出之前收到的警报。
- 当资源的合规性状态发生更改时就会发送建议。 例如,当某个资源的状态从正常变为不正常时。 因此,与警报一样,将不会导出针对自启用导出以来未更改状态的资源的建议。
- 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
- 合规性状态在资源的合规性状态更改时发送。
为什么建议以不同的时间间隔发送?
不同的建议有不同的合规性评估时间间隔,从几分钟到几天不等。 因此,建议出现在导出中所需的时间会有所不同。
连续导出是否支持所有业务连续性或灾难恢复 (BCDR) 场景?
针对目标资源正遇到故障或其他灾难的 BCDR 场景准备环境时,组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份,防止数据丢失。
有关详细信息,请参阅 Azure 事件中心 - 异地灾难恢复。
连续导出是免费的吗?
是! 请注意,有许多警报只在启用了高级保护时才会提供。 预览导出的数据中收到的警报的一种好办法是查看 Azure 门户的 Defender for Cloud 页面中显示的警报。
后续步骤
本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。
如需相关资料,请参阅以下文档: