Nastavení průběžného exportu pomocí Azure Policy
Průběžný export výstrah a doporučení zabezpečení v programu Microsoft Defender pro cloud vám může pomoct analyzovat data v Log Analytics nebo ve službě Azure Event Hubs. Průběžný export můžete ve službě Defender for Cloud nastavit ve velkém měřítku pomocí poskytnutých šablon Azure Policy.
Tip
Defender for Cloud také nabízí možnost jednorázového ručního exportu do souboru hodnot oddělených čárkami (CSV). Přečtěte si, jak stáhnout soubor CSV.
Požadavky
Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Požadované role a oprávnění:
Správce zabezpečení nebo vlastník skupiny prostředků
Oprávnění k zápisu pro cílový prostředek
Pokud používáte zásady Azure Policy DeployIfNotExist, musíte mít oprávnění, která umožňují přiřazovat zásady.
Pokud chcete exportovat data do služby Event Hubs, musíte mít oprávnění k zápisu do zásad služby Event Hubs.
Export do pracovního prostoru služby Log Analytics:
- Pokud má řešení SecurityCenterFree, musíte mít minimálně oprávnění ke čtení pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/read. - Pokud řešení SecurityCenterFree nemá, musíte mít oprávnění k zápisu pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/action.
Přečtěte si další informace o řešeních pracovních prostorů služby Azure Monitor a Log Analytics.
- Pokud má řešení SecurityCenterFree, musíte mít minimálně oprávnění ke čtení pro řešení pracovního prostoru:
Nastavení průběžného exportu ve velkém měřítku pomocí Azure Policy
Automatizace procesů monitorování a reakce na incidenty vaší organizace vám může pomoct zkrátit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.
Pokud chcete nasadit konfigurace průběžného exportu v celé organizaci, použijte poskytnuté zásady Azure Policy DeployIfNotExist k vytvoření a konfiguraci procedur průběžného exportu.
Implementace těchto zásad:
Vyberte zásadu, která se má použít:
Goal Zásady ID zásady Průběžný export do služby Event Hubs Nasazení exportu do služby Event Hubs pro Microsoft Defender pro upozornění a doporučení pro cloud cdfcce10-4578-4ecd-9703-530938e4abcb Průběžný export do pracovního prostoru služby Log Analytics Nasazení exportu do pracovního prostoru služby Log Analytics pro upozornění a doporučení Microsoft Defenderu pro cloud ffb6f416-7bd2-4488-8828-56585fef2be9 Vyberte Přiřadit.
Vyberte jednotlivé karty a nastavte parametry tak, aby splňovaly vaše požadavky:
Na kartě Základy nastavte obor pro zásadu. Pokud chcete použít centralizovanou správu, přiřaďte zásadu skupině pro správu, která obsahuje předplatná, která používají konfiguraci průběžného exportu.
Na kartě Parametry nastavte název skupiny prostředků, umístění a podrobnosti centra událostí.
Pokud chcete toto přiřazení použít u stávajících předplatných, vyberte kartu Náprava a pak vyberte možnost pro vytvoření úlohy nápravy.
Zkontrolujte stránku souhrnu a pak vyberte Vytvořit.