在 Azure 门户中设置连续导出

Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息，可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。 可以在生成警报和建议时流式传输警报和建议，也可以定义计划来发送所有新数据的定期快照。

本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。

先决条件

• 需要一个 Azure 订阅。 如果没有 Azure 订阅，可以注册试用版订阅。

• 必须在 Azure 订阅上启用 Microsoft Defender for Cloud。

所需角色和权限：

• 资源组的安全管理员或所有者
• 对目标资源的写入权限。
• 如果使用 Azure Policy DeployIfNotExist 策略，则必须具有允许分配策略的权限。
• 若要将数据导出到事件中心，必须对事件中心策略具有写入权限。
• 导出到 Log Analytics 工作区：

  • 如果它具有 SecurityCenterFree 解决方案，则必须至少具有工作区解决方案的读取权限：Microsoft.OperationsManagement/solutions/read。

  • 如果它没有 SecurityCenterFree 解决方案，则必须具有工作区解决方案的写入权限：Microsoft.OperationsManagement/solutions/action。

    详细了解 Azure Monitor 和 Log Analytics 工作区解决方案。

在 Azure 门户中设置连续导出

可以使用 REST API 或在 Azure 门户中的 Microsoft Defender for Cloud 页面上设置连续导出，也可以使用提供的 Azure Policy 模板进行大规模导出。

若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出，请执行以下操作：

1. 在 Defender for Cloud 资源菜单上，选择“环境设置”。

2. 选择要为其配置数据导出的订阅。

3. 在资源菜单的“设置”下，选择“连续导出”。

   

   将显示导出选项。 每个可用的导出目标（事件中心或 Log Analytics 工作区）都有一个选项卡。

4. 选择要导出的数据类型，并从每种类型的筛选器中进行选择（例如，仅导出严重程度高的警报）。

5. 选择适当的导出频率：

   • 流式处理。 更新资源的运行状况状态时，会发送评估（如果没有更新，则不发送任何数据）。
   • 快照。 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据，请查看字段 IsSnapshot。

   如果选择包含其中一项建议，可以将漏洞评估结果包含在其中：

   • SQL 数据库应已解决漏洞结果
   • 计算机上的 SQL Server 应已解决漏洞结果
   • 容器注册表映像应已解决漏洞结果（由 Qualys 提供技术支持）
   • 计算机应已解决漏洞结果
   • 应在计算机上安装系统更新

   若要包含这些建议的调查结果，请将“包括安全调查结果”设置为“是”。

   

6. 在“导出目标”下，选择要保存数据的位置。 数据可以保存在不同订阅的目标中（例如，保存在中央事件中心实例或在中央 Log Analytics 工作区中）。

   还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区

7. 选择“保存”。

相关内容

本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。

若要查看相关内容：

• 详细了解工作流自动化模板。
• 请参阅 Azure 事件中心文档。
• 详细了解 Microsoft Sentinel。
• 请查看 Azure Monitor 文档。
• 请了解如何导出数据类型架构。
• 查看连续导出的常见问题。