连续导出安全中心数据

Azure 安全中心会生成详细的安全警报和建议。 可以通过门户或编程工具查看它们。 你可能还需要部分或全部导出此信息,以使用环境中的其他监视工具进行跟踪。

“连续导出”使你可以完全自定义将要导出的内容,以及要导出到的位置 。 例如,可以对其进行配置,以便:

  • 将所有高严重性警报发送到 Azure 事件中心
  • 将 SQL 服务器的漏洞评估扫描中的所有中等或较高严重性结果发送到特定的 Log Analytics 工作区
  • 将生成的特定建议即时传递到事件中心或 Log Analytics 工作区
  • 每当控件的分数变化 0.01 或更大时,订阅的安全分数就会发送到 Log Analytics 工作区

即使此功能称为“连续”,也可以选择每周导出一次安全分数或合规性数据的快照。

本文介绍如何配置到 Log Analytics 工作区或 Azure 事件中心的连续导出。

备注

如果需要将安全中心与 SIEM 集成,请参阅将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案

提示

安全中心还提供了用于执行一次性手动导出到 CSV 的选项。 在手动一次性导出警报和建议中了解详细信息。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
所需角色和权限:
  • 资源组的安全管理员或所有者
  • 对目标资源的写入权限。
  • 如果使用的是下面所述的 Azure Policy“DeployIfNotExist”策略,则还需要分配策略的权限
  • 若要将数据导出到事件中心,需要对事件中心策略具有写入权限。
  • 导出到 Log Analytics 工作区:
    • 如果具有 SecurityCenterFree 解决方案,则至少需要工作区解决方案读取权限:Microsoft.OperationsManagement/solutions/read
    • 如果没有 SecurityCenterFree 解决方案,则需要工作区解决方案写入权限:Microsoft.OperationsManagement/solutions/action
    • 详细了解 Azure Monitor 和 Log Analytics 工作区解决方案
云: 中国云

可以导出哪些数据类型?

连续导出可以在以下数据类型发生更改时导出它们:

  • 安全警报。
  • 安全建议。
  • 安全检测结果。 这些检测结果可将视为“子”建议,属于“父”建议。 例如:
    • 建议“应在计算机上安装系统更新”将为每个未处理的系统更新提供一个“子”建议。
    • 建议“应修正虚拟机中的漏洞”将为漏洞扫描程序识别到的每个漏洞提供一个“子”建议。

    备注

    如果使用 REST API 配置连续导出,请始终连同检测结果一起包含父建议。

  • 按订阅或按控制安全评分。
  • 合规性数据。

设置连续导出

可以通过安全中心 REST API 在 Azure 门户的“安全中心”页中配置连续导出,或使用提供的 Azure Policy 模板进行大规模配置。 选择下面相应的选项卡,以获取每项的详细信息。

在 Azure 门户的“安全中心”页中配置连续导出

无论是设置连续导出到 Log Analytics 工作区的操作还是连续导出到 Azure 事件中心的操作,都需要执行以下步骤。

  1. 从安全中心的侧栏中,选择“定价和设置”。

  2. 选择要为其配置数据导出的特定订阅。

  3. 从该订阅的设置页的侧栏中,选择“连续导出”。

    Azure 安全中心内的导出选项。

    可以在这里看到导出选项。 每个可用的导出目标有一个选项卡。

  4. 选择要导出的数据类型,并从每种类型的筛选器中进行选择(例如,仅导出严重程度高的警报)。

  5. 选择适当的导出频率:

    • 流式处理 - 更新资源的运行状况时,将发送评估结果(如果没有更新,则不发送任何数据)。
    • 快照 - 每周发送一次每个订阅的所有法规合规性评估的当前状态快照。 这是一个预览功能,用于提供安全评分和法规合规性数据的每周快照。 若要识别快照数据,请查看字段 IsSnapshot
  6. (可选)如果你的选择包含这些建议中的一个,可以将漏洞评估结果与它们包括在一起:

    • SQL 数据库应已解决漏洞结果
    • 计算机上的 SQL 服务器应已解决漏洞结果
    • 应修正 Azure 容器注册表映像中的漏洞(由 Qualys 提供技术支持)
    • 应修正虚拟机中的漏洞
    • 应在计算机上安装系统更新

    若要将结果与这些建议包括在一起,请启用“包括安全结果”选项。

    在连续导出配置中包含安全检测结果切换开关。

  7. 从“导出目标”区域中,选择要将数据保存到其中的位置。 数据可以保存在不同订阅的目标中(例如,保存在中央事件中心实例或中央 Log Analytics 工作区中)。

  8. 选择“保存”。

有关导出到 Log Analytics 工作区的信息

如果要分析 Log Analytics 工作区中的 Azure 安全中心数据,或将 Azure 警报与安全中心警报一起使用,请设置连续导出到 Log Analytics 工作区。

Log Analytics 表和架构

安全警报和建议将分别存储在 SecurityAlert 和 SecurityRecommendation 表中 。

包含这些表的 Log Analytics 解决方案的名称取决于是否启用了 Azure Defender:Security(“安全和审核”)或 SecurityCenterFree。

提示

若要查看目标工作区中的数据,必须启用解决方案“安全和审核”或“SecurityCenterFree”中的一个 。

Log Analytics 中的 SecurityAlert 表。

若要查看导出的数据类型的事件架构,请访问 Log Analytics 表架构

在 Azure Monitor 中查看导出的警报和建议

还可以选择在 Azure Monitor 中查看导出的安全警报和/或建议。

Azure Monitor 为各种 Azure 警报(包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报)提供统一的警报体验。

若要在 Azure Monitor 中查看来自安全中心的警报和建议,请根据 Log Analytics 查询(日志警报)配置警报规则:

  1. 从 Azure Monitor 的“警报”页上,选择“新建警报规则” 。

    Azure Monitor 的“警报”页。

  2. 在“创建规则”页中,配置新规则(与在 Azure Monitor 中配置日志警报规则的方式相同):

    • 对于“资源”,请选择要向其中导出安全警报和建议的 Log Analytics 工作区。

    • 对于“条件”,请选择“自定义日志搜索” 。 在出现的页中,配置查询、回溯周期和频率周期。 在搜索查询中,可以键入 SecurityAlert 或 SecurityRecommendation 以查询在启用“连续导出到 Log Analytics”功能时安全中心持续导出的数据类型 。

    • (可选)配置要触发的操作组。 操作组可以触发电子邮件发送、ITSM 票证、Webhook 等。 Azure Monitor 警报规则。

现将在 Azure Monitor 警报中看到新的 Azure 安全中心警报或建议(取决于所配置的连续导出规则和在 Azure Monitor 警报规则中定义的条件),并自动触发操作组(如果已提供)。

手动一次性导出警报和建议

若要下载警报或建议的 CSV 报表,请打开“安全警报”或“建议”页,然后选择“下载 CSV 报表”按钮。

将警报数据下载为 CSV 文件。

备注

这些报表包含当前所选订阅中的资源的警报和建议。

常见问题解答 - 连续导出

导出数据时涉及哪些费用?

启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用,具体取决于你的配置。

详细了解 Log Analytics 工作区定价

详细了解 Azure 事件中心定价

导出是否包含所有资源的当前状态数据?

错误。 连续导出用于流式传输事件:

  • 不会导出在启用导出之前收到的警报。
  • 当资源的合规性状态发生更改时就会发送建议。 例如,当某个资源的状态从正常变为不正常时。 因此,与警报一样,将不会导出针对自启用导出以来未更改状态的资源的建议。
  • 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
  • 合规性状态在资源的合规性状态更改时发送。

为什么建议以不同的时间间隔发送?

不同的建议有不同的合规性评估时间间隔,从几分钟到几天不等。 因此,建议出现在导出中所需的时间会有所不同。

连续导出是否支持所有业务连续性或灾难恢复 (BCDR) 场景?

针对目标资源正遇到故障或其他灾难的 BCDR 场景准备环境时,组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份,防止数据丢失。

Azure 安全中心是否可以免费使用连续导出?

是! 请注意,许多安全中心警报只有在启用了 Azure Defender 之后才会提供。 预览将在导出数据中获取的警报的一种好方法是,查看 Azure 门户的“安全中心”页中显示的警报。

后续步骤

本文介绍了如何配置建议和警报的连续导出。 另外还介绍了如何将警报数据下载为 CSV 文件。

如需相关资料,请参阅以下文档: