在 Azure 入口網站 中設定連續匯出

適用於雲端的 Microsoft Defender 會產生詳細的安全性警示和建議。 若要分析這些警示和建議中的資訊，您可以將它們匯出至 Azure 監視器中的 Log Analytics、Azure 事件中樞，或匯出至其他安全性資訊和事件管理 （SIEM）、安全性協調流程自動化回應 （SOAR） 或 IT 傳統部署模型解決方案。 您可以在產生警示和建議時進行串流處理，或定義排程以傳送所有新數據的定期快照集。

本文說明如何設定連續匯出至 Log Analytics 工作區或 Azure 中的事件中樞。

提示

適用於雲端的 Defender 也提供一次性、手動匯出至逗號分隔值 （CSV） 檔案的選項。 瞭解如何 下載 CSV 檔案。

必要條件

• 您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。

• 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。

必要的角色和權限：

• 資源群組的安全性 管理員 或擁有者
• 目標資源的寫入許可權。
• 如果您使用 Azure 原則 DeployIfNotExist 原則，您必須擁有可讓您指派原則的許可權。
• 若要將數據匯出至事件中樞，您必須具有事件中樞原則的寫入許可權。
• 若要匯出至 Log Analytics 工作區：

  • 如果它有 SecurityCenterFree 解決方案，您必須至少具有工作區解決方案的讀取許可權： Microsoft.OperationsManagement/solutions/read。

  • 如果沒有 SecurityCenterFree 解決方案，您必須擁有工作區解決方案的寫入許可權：Microsoft.OperationsManagement/solutions/action。

    深入瞭解 Azure 監視器和 Log Analytics 工作區解決方案。

在 Azure 入口網站 中設定連續匯出

您可以使用 REST API，或使用提供的 Azure 原則 範本，在 Azure 入口網站 的 適用於雲端的 Microsoft Defender 頁面上設定連續匯出。

若要使用 Azure 入口網站 設定對 Log Analytics 的持續匯出或 Azure 事件中樞：

1. 在 [適用於雲端的 Defender 資源] 功能表上，選取 [環境設定]。

2. 選取您要為其設定數據導出的訂用帳戶。

3. 在 [資源] 功能表的 [設定] 下，選取 [連續匯出]。

   

   匯出選項隨即出現。 每個可用的導出目標都有一個索引標籤，可以是事件中樞或Log Analytics工作區。

4. 選取您想要匯出的數據類型，然後從每個類型的篩選中選擇（例如，只匯出高嚴重性警示）。

5. 選取匯出頻率：

   • 串流。 當資源的健康情況狀態更新時，會傳送評量（如果未發生任何更新，則不會傳送任何數據）。
   • 快照集。 每個訂用帳戶每周傳送一次之所選數據類型目前狀態的快照集。 若要識別快照集數據，請尋找字段 IsSnapshot。

   如果您的選取專案包含下列其中一項建議，您可以使用這些建議來包含弱點評估結果：

   • SQL 資料庫應已解決發現的弱點
   • 機器上的 SQL Server 應已解決發現的弱點
   • 容器登錄映像應已解決弱點結果（由 Qualys 提供電源）
   • 計算機應已解決弱點結果
   • 您應在機器上安裝系統更新

   若要包含這些建議的結果，請將 [包含安全性結果] 設定為 [是]。

   

6. 在 [匯出目標] 下，選擇您想要儲存資料的位置。 數據可以儲存在不同的訂用帳戶的目標中（例如，在中央事件中樞實例或中央 Log Analytics 工作區中）。

   您也可以將數據傳送至 不同租使用者中的事件中樞或 Log Analytics 工作區

7. 選取 [儲存]。

注意

Log Analytics 僅支援大小上限為 32 KB 的記錄。 達到數據限制時，警示會顯示已超過數據限制的訊息。

相關內容

在本文中，您已瞭解如何設定建議和警示的持續匯出。 您也瞭解如何將警示數據下載為 CSV 檔案。

若要查看相關內容：

• 深入瞭解 工作流程自動化範本。
• 請參閱 Azure 事件中樞 檔。
• 深入瞭解 Microsoft Sentinel。
• 檢閱 Azure 監視器檔。
• 瞭解如何 匯出數據類型架構。
• 查看 有關連續導出的 常見問題。