在 Azure 门户中设置连续导出
Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息,可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。 可以在生成警报和建议时流式传输警报和建议,也可以定义计划来发送所有新数据的定期快照。
本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。
提示
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
先决条件
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
所需角色和权限:
- 资源组的安全管理员或所有者
- 对目标资源的写入权限。
- 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
- 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
- 导出到 Log Analytics 工作区:
如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
Microsoft.OperationsManagement/solutions/read
。如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action
。
在 Azure 门户中设置连续导出
可以使用 REST API 或在 Azure 门户中的 Microsoft Defender for Cloud 页面上设置连续导出,也可以使用提供的 Azure Policy 模板进行大规模导出。
若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出,请执行以下操作:
在 Defender for Cloud 资源菜单上,选择“环境设置”。
选择要为其配置数据导出的订阅。
在资源菜单的“设置”下,选择“连续导出”。
将显示导出选项。 每个可用的导出目标(事件中心或 Log Analytics 工作区)都有一个选项卡。
选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。
选择适当的导出频率:
- 流式处理。 更新资源的运行状况状态时,会发送评估(如果没有更新,则不发送任何数据)。
- 快照。 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据,请查看字段 IsSnapshot。
如果选择包含其中一项建议,可以将漏洞评估结果包含在其中:
若要包含这些建议的调查结果,请将“包括安全调查结果”设置为“是”。
在“导出目标”下,选择要保存数据的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或在中央 Log Analytics 工作区中)。
还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区
选择“保存”。
注意
Log Analytics 仅支持大小不超过 32 KB 的记录。 达到数据限制后,警报会显示消息“已超出数据限制”。
相关内容
本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。
若要查看相关内容:
- 详细了解工作流自动化模板。
- 请参阅 Azure 事件中心文档。
- 详细了解 Microsoft Sentinel。
- 请查看 Azure Monitor 文档。
- 请了解如何导出数据类型架构。
- 查看连续导出的常见问题。