在 Azure 门户中设置连续导出

Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息,可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。 可以在生成警报和建议时流式传输警报和建议,也可以定义计划来发送所有新数据的定期快照。

本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。

提示

Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件

先决条件

所需角色和权限:

  • 资源组的安全管理员或所有者
  • 对目标资源的写入权限。
  • 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
  • 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
  • 导出到 Log Analytics 工作区:
    • 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:Microsoft.OperationsManagement/solutions/read

    • 如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:Microsoft.OperationsManagement/solutions/action

      详细了解 Azure Monitor 和 Log Analytics 工作区解决方案

在 Azure 门户中设置连续导出

可以使用 REST API 或在 Azure 门户中的 Microsoft Defender for Cloud 页面上设置连续导出,也可以使用提供的 Azure Policy 模板进行大规模导出。

若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出,请执行以下操作

  1. 在 Defender for Cloud 资源菜单上,选择“环境设置”。

  2. 选择要为其配置数据导出的订阅。

  3. 在资源菜单的“设置”下,选择“连续导出”

    显示 Microsoft Defender for Cloud 中的导出选项的屏幕截图。

    将显示导出选项。 每个可用的导出目标(事件中心或 Log Analytics 工作区)都有一个选项卡。

  4. 选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。

  5. 选择适当的导出频率:

    • 流式处理。 更新资源的运行状况状态时,会发送评估(如果没有更新,则不发送任何数据)。
    • 快照。 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据,请查看字段 IsSnapshot

    如果选择包含其中一项建议,可以将漏洞评估结果包含在其中:

    若要包含这些建议的调查结果,请将“包括安全调查结果”设置为“是”。

    显示连续导出配置中的“包括安全发现”切换的屏幕截图。

  6. 在“导出目标”下,选择要保存数据的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或在中央 Log Analytics 工作区中)。

    还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区

  7. 选择“保存”。

注意

Log Analytics 仅支持大小不超过 32 KB 的记录。 达到数据限制后,警报会显示消息“已超出数据限制”。

本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。

若要查看相关内容: