在 Azure 门户中设置连续导出
Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息,可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。 可以在生成警报和建议时流式传输警报和建议,也可以定义计划来发送所有新数据的定期快照。
本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。
提示
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
所需角色和权限:
- 资源组的安全管理员或所有者
- 对目标资源的写入权限。
- 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
- 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
- 导出到 Log Analytics 工作区:
如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
Microsoft.OperationsManagement/solutions/read
。如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action
。
可以使用 REST API 或在 Azure 门户中的 Microsoft Defender for Cloud 页面上设置连续导出,也可以使用提供的 Azure Policy 模板进行大规模导出。
若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出,请执行以下操作:
在 Defender for Cloud 资源菜单上,选择“环境设置”。
选择要为其配置数据导出的订阅。
在资源菜单的“设置”下,选择“连续导出”。
将显示导出选项。 每个可用的导出目标(事件中心或 Log Analytics 工作区)都有一个选项卡。
选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。
选择适当的导出频率:
- 流式处理。 更新资源的运行状况状态时,会发送评估(如果没有更新,则不发送任何数据)。
- 快照。 每周发送一次每个订阅的所选数据类型的当前状态快照。 若要识别快照数据,请查看字段 IsSnapshot。
如果选择包含其中一项建议,可以将漏洞评估结果包含在其中:
若要包含这些建议的调查结果,请将“包括安全调查结果”设置为“是”。
在“导出目标”下,选择要保存数据的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或在中央 Log Analytics 工作区中)。
还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区
选择“保存”。
备注
Log Analytics 仅支持大小不超过 32 KB 的记录。 达到数据限制后,警报会显示消息“已超出数据限制”。
本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。
若要查看相关内容:
- 详细了解工作流自动化模板。
- 请参阅 Azure 事件中心文档。
- 详细了解 Microsoft Sentinel。
- 请查看 Azure Monitor 文档。
- 请了解如何导出数据类型架构。
- 查看连续导出的常见问题。