连续导出 Microsoft Defender for Cloud 数据

Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息,可以将这些信息导出到 Azure Log Analytics、事件中心或其他 SIEM、SOAR 或 IT 服务管理解决方案。 可以在生成警报和建议时流式传输警报和建议,也可以定义计划来发送所有新数据的定期快照。

使用连续导出,可以完全自定义要导出的内容,以及该内容的导出位置。 例如,可以对其进行配置,以便:

  • 将所有高严重性警报发送到 Azure 事件中心
  • 将 SQL 服务器的漏洞评估扫描中的所有中等或较高严重性结果发送到特定的 Log Analytics 工作区
  • 将生成的特定建议即时传递到事件中心或 Log Analytics 工作区
  • 每当控件的分数变化 0.01 或更大时,订阅的安全分数就会发送到 Log Analytics 工作区

本文介绍如何配置连续导出到 Log Analytics 工作区或 Azure 事件中心。

提示

Defender for Cloud 还提供用于一次性手动导出到 CSV 的选项。 在手动一次性导出警报和建议中了解详细信息。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
所需角色和权限:
  • 资源组的安全管理员或所有者
  • 对目标资源的写入权限。
  • 如果使用的是下面所述的 Azure Policy“DeployIfNotExist”策略,则还需要分配策略的权限
  • 若要将数据导出到事件中心,需要对事件中心策略具有写入权限。
  • 导出到 Log Analytics 工作区:
    • 如果具有 SecurityCenterFree 解决方案,则至少需要工作区解决方案读取权限:Microsoft.OperationsManagement/solutions/read
    • 如果没有 SecurityCenterFree 解决方案,则需要工作区解决方案写入权限:Microsoft.OperationsManagement/solutions/action
    • 详细了解 Azure Monitor 和 Log Analytics 工作区解决方案
云: Azure 中国

可以导出哪些数据类型?

连续导出可以在以下数据类型发生更改时导出它们:

  • 安全警报。
  • 安全建议。
  • 安全检测结果。 这些内容可被视为“子级”建议,并且属于特定“父级”建议。 例如:

    注意

    如果使用 REST API 配置连续导出,请始终连同检测结果一起包含父建议。

  • 按订阅或按控制安全评分。
  • 合规性数据。

设置连续导出

可以通过 Azure 门户中的 Microsoft Defender for Cloud 页面、REST API 或提供的 Azure Policy 模板大规模配置连续导出。 选择下面相应的选项卡,以获取每项的详细信息。

通过 Azure 门户中 Defender for Cloud 页面配置连续导出

无论是设置连续导出到 Log Analytics 工作区还是到 Azure 事件中心,都需要执行以下步骤。

  1. 在 Defender for Cloud 的菜单中,打开“环境设置”。

  2. 选择要为其配置数据导出的特定订阅。

  3. 从该订阅的“设置”页的侧栏中,选择“连续导出”。

    Microsoft Defender for Cloud 中的导出选项。

    可以在这里看到导出选项。 每个可用的导出目标(事件中心或 Log Analytics 工作区)都有一个选项卡。

  4. 选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。

  5. 选择适当的导出频率:

    • 流式处理 - 更新资源的运行状况状态时,将发送评估结果(如果没有更新,则不发送任何数据)。
    • 快照 - 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据,请查看字段 IsSnapshot

    如果选择包含其中一项建议,可以将漏洞评估结果与它们包括在一起:

    若要将结果与这些建议包括在一起,请启用“包括安全结果”选项。

    在连续导出配置中包含安全检测结果切换开关。

  6. 从“导出目标”区域中,选择要将数据保存到其中的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或中央 Log Analytics 工作区中)。

    还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区

  7. 选择“保存”。

注意

Log Analytics 支持大小最多为 32KB 的记录。 达到数据限制后,你将看到一条警报,告知你 Data limit has been exceeded

导出到 Log Analytics 工作区

如果你要分析 Log Analytics 工作区中的 Microsoft Defender for Cloud 数据或将 Azure 警报与 Defender for Cloud 警报一起使用,请设置连续导出到 Log Analytics 工作区。

Log Analytics 表和架构

安全警报和建议将分别存储在 SecurityAlert 和 SecurityRecommendation 表中 。

包含这些表的 Log Analytics 解决方案的名称取决于是否启用了增强的安全性功能:Security(“安全和审核”)或“SecurityCenterFree”。

提示

若要查看目标工作区中的数据,必须启用解决方案“安全和审核”或“SecurityCenterFree”中的一个 。

Log Analytics 中的 *SecurityAlert* 表。

若要查看导出的数据类型的事件架构,请访问 Log Analytics 表架构

将数据导出到另一租户的 Azure 事件中心或 Log Analytics 工作区

可以将数据导出到另一租户的 Azure 事件中心或 Log Analytics 工作区。 将数据收集到租户中时,可以从一个中心位置分析数据。

将数据导出到另一租户的 Azure 事件中心或 Log Analytics 工作区:

  1. 在具有 Azure 事件中心或 Log Analytics 工作区的租户中,邀请托管连续导出配置的租户中的用户
  2. 对于 Log Analytics 工作区:在用户接受邀请加入租户后,为工作区租户分配以下某项角色:所有者、参与者、Log Analytics 参与者、Sentinel 参与者、监视参与者
  3. 配置连续导出配置,然后选择事件中心或分析工作区以将数据发送到其中。

还可以通过 REST API 配置以其他租户为目标的导出。 有关详细信息,请参阅自动化 REST API

在 Azure Monitor 中查看导出的警报和建议

还可以选择在 Azure Monitor 中查看导出的安全警报和/或建议。

Azure Monitor 为各种 Azure 警报(包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报)提供统一的警报体验。

若要在 Azure Monitor 中查看来自 Defender for Cloud 的警报和建议,请基于 Log Analytics 查询(日志警报)配置警报规则:

  1. 从 Azure Monitor 的“警报”页上,选择“新建警报规则” 。

    Azure Monitor 的“警报”页。

  2. 在“创建规则”页中,配置新规则(与在 Azure Monitor 中配置日志警报规则的方式相同):

    • 对于“资源”,请选择要向其中导出安全警报和建议的 Log Analytics 工作区。

    • 对于“条件”,请选择“自定义日志搜索” 。 在出现的页中,配置查询、回溯周期和频率周期。 在搜索查询中,可以键入“SecurityAlert”或“SecurityRecommendation”来查询在启用“连续导出到 Log Analytics”功能后,Defender for Cloud 连续导出到的数据类型 。

    • (可选)配置要触发的操作组。 操作组可以触发电子邮件发送、ITSM 票证、Webhook 等。 Azure Monitor 警报规则。

现在你将在 Azure Monitor 警报中看到新的 Microsoft Defender for Cloud 警报或建议(取决于配置的连续导出规则以及在 Azure Monitor 警报规则中定义的条件),并且会自动触发操作组(如果已提供)。

手动一次性导出警报和建议

若要下载警报或建议的 CSV 报表,请打开“安全警报”或“建议”页,然后选择“下载 CSV 报表”按钮。

提示

由于 Azure Resource Graph 限制,报表的文件大小限制为 1.3 万行。 如果看到与导出数据过多相关的错误,请尝试通过选择导出较小组的订阅来限制输出。

将警报数据下载为 CSV 文件。

注意

这些报表包含当前所选订阅中的资源的警报和建议。

常见问题解答 - 连续导出

导出数据时涉及哪些费用?

启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用,具体取决于你的配置。

仅当为资源启用了 Defender 计划时,才会提供许多警报。 预览导出的数据中收到的警报的一种好办法是查看 Azure 门户的 Defender for Cloud 页面中显示的警报。

详细了解 Log Analytics 工作区定价

详细了解 Azure 事件中心定价

导出是否包含所有资源的当前状态数据?

错误。 连续导出用于流式传输事件:

  • 不会导出在启用导出之前收到的警报。
  • 当资源的合规性状态发生更改时就会发送建议。 例如,当某个资源的状态从正常变为不正常时。 因此,与警报一样,将不会导出针对自启用导出以来未更改状态的资源的建议。
  • 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
  • 合规性状态在资源的合规性状态更改时发送。

为什么建议以不同的时间间隔发送?

不同的建议有不同的合规性评估时间间隔,从几分钟到几天不等。 因此,建议在导出中显示的时间会有所不同。

连续导出是否支持所有业务连续性或灾难恢复 (BCDR) 场景?

持续导出有助于为目标资源遇到中断或其他灾难时的 BCDR 方案做好准备。 然而,组织有责任防止数据丢失,方法是根据 Azure 事件中心、Log Analytics 工作区以及 Logic APP 的指南建立备份。

有关详细信息,请参阅 Azure 事件中心 - 异地灾难恢复

将数据导出到 Azure 事件中心时所需的最低 SAS 策略权限是什么?

“发送”是所需的最低 SAS 策略权限。 有关分步说明,请参阅本文中的步骤 1. 创建具有发送权限的事件中心命名空间和事件中心

后续步骤

本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。

如需相关资料,请参阅以下文档: