在 Azure Monitor 中查看导出的数据
设置 Microsoft Defender for Cloud 安全警报和建议的连续导出后,可以在 Azure Monitor 中查看数据。 本文介绍如何在 Log Analytics 或 Azure 事件中心查看数据。
先决条件
在 Azure Monitor 中查看导出的警报和建议
Azure Monitor 为各种 Azure 警报(包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报)提供统一的警报体验。
若要在 Azure Monitor 中查看来自 Defender for Cloud 的警报和建议,请配置基于 Log Analytics 查询的警报规则(日志警报规则)。
若要配置警报规则,请执行以下步骤:
登录 Azure 门户。
搜索并选择“Monitor”。
选择“警报”。
选择“创建警报规则”。
设置新规则的方式与在 Azure Monitor 中配置日志警报规则的方式相同:
对于“资源”,请选择要向其中导出安全警报和建议的 Log Analytics 工作区。
对于“条件”,请选择“自定义日志搜索” 。 在出现的页中,配置查询、回溯周期和频率周期。 在搜索查询中,可以输入“SecurityAlert”或“SecurityRecommendation”来查询在启用“连续导出到 Log Analytics”功能后,Defender for Cloud 连续导出到的数据类型。
(可选)创建要触发的操作组。 操作组可以根据环境中的事件自动发送电子邮件、创建 ITSM 票证、运行 Webhook 等。
Defender for Cloud 警报或建议(取决于配置的连续导出规则以及在 Azure Monitor 警报规则中定义的条件)会出现在 Azure Monitor 警报中,并且会自动触发操作组(如果已提供)。