连续导出 Microsoft Defender for Cloud 数据

项目
03/08/2024

Microsoft Defender for Cloud 生成详细的安全警报和建议。若要分析这些警报和建议中的信息，可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。可以在生成警报和建议时流式传输警报和建议，也可以定义计划来发送所有新数据的定期快照。

设置连续导出时，可以完全自定义要导出的信息以及该信息导出到的位置。例如，可以对其进行配置，以便：

将所有高严重性警报发送到 Azure 事件中心。
将运行 SQL Server 的计算机的漏洞评估扫描中的所有中等或较高严重性结果发送到特定的 Log Analytics 工作区。
将生成的特定建议即时传递到事件中心或 Log Analytics 工作区。
每当控件的分数变化 0.01 或更大时，订阅的安全分数就会发送到 Log Analytics 工作区。

本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。

提示

Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。在“手动导出警报和建议”中了解详细信息。

可用性

方面	详细信息
版本状态：	正式发布版 (GA)
定价：	免费
所需角色和权限：	资源组的安全管理员或所有者。对目标资源的写入权限。如果使用 Azure Policy DeployIfNotExist 策略，则必须具有允许分配策略的权限。若要将数据导出到事件中心，必须对事件中心策略具有写入权限。导出到 Log Analytics 工作区：如果它具有 SecurityCenterFree 解决方案，则必须至少具有工作区解决方案的读取权限：`Microsoft.OperationsManagement/solutions/read`。如果它没有 SecurityCenterFree 解决方案，则必须具有工作区解决方案的写入权限：`Microsoft.OperationsManagement/solutions/action`。详细了解 Azure Monitor 和 Log Analytics 工作区解决方案。
云：	由世纪互联运营的 Microsoft Azure

可以导出哪些数据类型？

可以使用连续导出在以下数据类型发生更改时导出它们：

安全警报。
安全建议。
安全检测结果。

这些内容可被视为“子级”建议，并且属于特定“父级”建议。例如：
- 应在计算机上安装系统更新的建议为每个未处理系统更新提供了一条子建议。
- 计算机应已解决漏洞结果建议包含一个有关漏洞扫描程序所识别的每个漏洞的“子”建议。
  
  注意
  
  如果通过使用 REST API 配置连续导出，请始终在结果中加入父级。
按订阅或按控制安全评分。
合规性数据。

设置连续导出

可以使用 REST API 或在 Azure 门户中的 Microsoft Defender for Cloud 页面上设置连续导出，也可以使用提供的 Azure Policy 模板进行大规模导出。

在 Azure 门户中的 Defender for Cloud 页面上设置连续导出

若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出，请执行以下操作：

在 Defender for Cloud 资源菜单上，选择“环境设置”。
选择要为其配置数据导出的订阅。
在资源菜单的“设置”下，选择“连续导出”。

将显示导出选项。每个可用的导出目标（事件中心或 Log Analytics 工作区）都有一个选项卡。
选择要导出的数据类型，并从每种类型的筛选器中进行选择（例如，仅导出严重程度高的警报）。
选择适当的导出频率：
- 流式处理。更新资源的运行状况状态时，会发送评估（如果没有更新，则不发送任何数据）。
- 快照。每周发送一次每个订阅的所选数据类型的当前状态快照。若要识别快照数据，请查看字段 IsSnapshot。
如果选择包含其中一项建议，可以将漏洞评估结果包含在其中：
若要包含这些建议的调查结果，请将“包括安全调查结果”设置为“是”。
在“导出目标”下，选择要保存数据的位置。数据可以保存在不同订阅的目标中（例如，保存在中央事件中心实例或在中央 Log Analytics 工作区中）。

还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区。
选择“保存”。

注意

Log Analytics 仅支持大小不超过 32 KB 的记录。达到数据限制后，警报会显示消息“已超出数据限制”。

使用提供的策略大规模设置连续导出

自动执行组织的监视和事件响应过程可以帮助你缩短调查和缓解安全事件所花的时间。

若要在组织中部署连续导出配置，请使用提供的 Azure Policy DeployIfNotExist 策略来创建和配置连续导出过程。

要实施这些策略，请执行以下操作：

在下表中，选择要应用的策略：

目标	策略	策略 ID
连续导出到事件中心	将导出部署到 Microsoft Defender for Cloud 警报和建议的事件中心	cdfcce10-4578-4ecd-9703-530938e4abcb
将内容连续导出到 Log Analytics 工作区	将导出部署到 Microsoft Defender for Cloud 警报和建议的 Log Analytics 工作区	ffb6f416-7bd2-4488-8828-56585fef2be9

提示

还可以通过搜索 Azure Policy 来查找策略：

打开 Azure Policy。
在 Azure Policy 菜单中，选择“定义”并按名称搜索策略。

在 Azure Policy 的相关页上，选择“分配”。
选择每个选项卡并设置参数以满足你的要求：
1. 在“基础信息”选项卡上，设置策略的范围。若要使用集中式管理，请将策略分配给包含使用连续导出配置的订阅的管理组。
2. 在“参数”选项卡上，设置资源组和数据类型详细信息。
  
  提示
  
  每个参数都有一个工具提示，用于说明可用的选项。
  
  Azure Policy 参数选项卡 (1) 提供对配置选项的访问权限，这些选项类似于可在 Defender for Cloud 连续导出页 (2) 上访问的选项。
3. （可选）若要将此分配应用于现有订阅，请选择“修正”选项卡，然后选择用于创建修正任务的选项。
查看“摘要”页，并选择“创建”。

导出到 Log Analytics 工作区

如果你要分析 Log Analytics 工作区中的 Microsoft Defender for Cloud 数据或将 Azure 警报与 Defender for Cloud 警报一起使用，请设置连续导出到 Log Analytics 工作区。

Log Analytics 表和架构

安全警报和建议将分别存储在 SecurityAlert 和 SecurityRecommendation 表中。

包含这些表的 Log Analytics 解决方案的名称取决于是否启用了增强的安全性功能：Security（“安全和审核”解决方案）或“SecurityCenterFree”。

提示

若要查看目标工作区中的数据，必须启用解决方案“安全和审核”或“SecurityCenterFree”之一。

Screenshot that shows the SecurityAlert table in Log Analytics.

若要查看导出的数据类型的事件架构，请参阅 Log Analytics 表架构。

将数据导出到另一租户的事件中心或 Log Analytics 工作区

如果使用 Azure Policy 分配配置，则无法配置要导出到另一租户中的 Log Analytics 工作区的数据。此过程仅在使用 REST API 分配配置时有效，并且 Azure 门户中不支持该配置（因为它需要多租户上下文）。尽管可以使用 Azure Lighthouse 作为身份验证方法，Azure Lighthouse 不会使用 Azure Policy 解决此问题。

在将数据收集到租户中时，可以从一个中心位置分析数据。

将数据导出到另一租户的事件中心或 Log Analytics 工作区：

在具有事件中心或 Log Analytics 工作区的租户中，邀请托管连续导出配置的租户中的用户，或者可以为源和目标租户配置 Azure Lighthouse。
如果在 Microsoft Entra ID 中使用企业到企业 (B2B) 来宾用户访问，请确保用户接受邀请，以来宾身份访问租户。
如果使用 Log Analytics 工作区，请为工作区租户中的用户分配以下角色之一：所有者、参与者、Log Analytics 参与者、Sentinel 参与者或监视参与者。
创建请求并将其提交到 Azure REST API，以配置所需的资源。必须在本地（工作区）租户和远程（连续导出）租户的上下文中管理持有者令牌。

连续导出到防火墙后的事件中心

你可以将连续导出启用为受信任的服务，以便可以将数据发送到启用了 Azure 防火墙的事件中心。

若要授权访问作为受信任服务的连续导出，请执行以下操作：

登录 Azure 门户。
转到“Microsoft Defender for Cloud”>“环境设置”。
选择相关的资源。
选择“连续导出”。
选择“作为受信任服务的导出”。

必须将相关角色分配添加到目标事件中心。

若要在目标事件中心上添加相关的角色分配，请执行以下操作：

转到所选的事件中心。
在资源菜单中，选择“访问控制(IAM)”>“添加角色分配”。
选择“Azure 事件中心数据发送方”。
选择“成员”选项卡。
选择“+ 选择成员”。
搜索并选择“Azure 安全资源提供程序”。
选择“查看 + 分配”。

在 Azure Monitor 中查看导出的警报和建议

还可以选择在 Azure Monitor 中查看导出的安全警报和/或建议。

Azure Monitor 为各种 Azure 警报（包括诊断日志、指标警报以及基于 Log Analytics 工作区查询的自定义警报）提供统一的警报体验。

若要在 Azure Monitor 中查看来自 Defender for Cloud 的警报和建议，请基于 Log Analytics 查询（日志警报规则）配置警报规则：

从 Azure Monitor 的“警报”页上，选择“新建警报规则”。
在“创建规则”窗格中，设置新规则的方式与在 Azure Monitor 中配置日志警报规则的方式相同：
- 对于“资源”，请选择要向其中导出安全警报和建议的 Log Analytics 工作区。
- 对于“条件”，请选择“自定义日志搜索” 。在出现的页中，配置查询、回溯周期和频率周期。在搜索查询中，可以输入“SecurityAlert”或“SecurityRecommendation”来查询在启用“连续导出到 Log Analytics”功能后，Defender for Cloud 连续导出到的数据类型。
- （可选）创建要触发的操作组。操作组可以根据环境中的事件自动发送电子邮件、创建 ITSM 票证、运行 Webhook 等。

Defender for Cloud 警报或建议（取决于配置的连续导出规则以及在 Azure Monitor 警报规则中定义的条件）会出现在 Azure Monitor 警报中，并且会自动触发操作组（如果已提供）。

手动导出警报和建议

若要下载列出警报或建议的 CSV 文件，请转到“安全警报”页或“建议”页，然后选择“下载 CSV 报表”按钮。

提示

由于 Azure Resource Graph 限制，报表的文件大小限制为 13000 行。如果看到与导出数据过多相关的错误，请尝试通过选择导出较小组的订阅来限制输出。

注意

这些报表包含当前所选订阅中的资源的警报和建议。

本文介绍了如何配置建议和警报的连续导出。另外还介绍了如何将警报数据下载为 CSV 文件。

若要查看相关内容：

详细了解工作流自动化模板。
请参阅 Azure 事件中心文档。
详细了解 Microsoft Sentinel。
请查看 Azure Monitor 文档。
请了解如何导出数据类型架构。
查看连续导出的常见问题。