在 Azure Monitor 中查看导出的数据

设置 Microsoft Defender for Cloud 安全警报和建议的连续导出后,可以在 Azure Monitor 中查看数据。 本文介绍如何在 Log Analytics 或 Azure 事件中心查看数据。

先决条件

在 Azure Monitor 中查看导出的警报和建议

Azure Monitor 为各种 Azure 警报(包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报)提供统一的警报体验。

若要在 Azure Monitor 中查看来自 Defender for Cloud 的警报和建议,请配置基于 Log Analytics 查询的警报规则(日志警报规则)。

若要配置警报规则,请执行以下步骤

  1. 登录 Azure 门户

  2. 搜索并选择“Monitor”。

  3. 选择“警报”。

  4. 选择“创建警报规则”。

    屏幕截图显示了 Azure Monitor 警报页面。

  5. 设置新规则的方式与在 Azure Monitor 中配置日志警报规则的方式相同:

    • 对于“资源”,请选择要向其中导出安全警报和建议的 Log Analytics 工作区。

    • 对于“条件”,请选择“自定义日志搜索” 。 在出现的页中,配置查询、回溯周期和频率周期。 在搜索查询中,可以输入“SecurityAlert”或“SecurityRecommendation”来查询在启用“连续导出到 Log Analytics”功能后,Defender for Cloud 连续导出到的数据类型

    • (可选)创建要触发的操作组。 操作组可以根据环境中的事件自动发送电子邮件、创建 ITSM 票证、运行 Webhook 等。

Defender for Cloud 警报或建议(取决于配置的连续导出规则以及在 Azure Monitor 警报规则中定义的条件)会出现在 Azure Monitor 警报中,并且会自动触发操作组(如果已提供)。

下一步