Sdílet prostřednictvím

Použití datových připojení

  • Článek

Tento článek popisuje funkci datových připojení v Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM).

Přehled

EASM v programu Defender teď nabízí datová připojení, která vám pomůžou bezproblémově integrovat data útoku do jiných řešení Microsoftu a doplnit stávající pracovní postupy o nové přehledy. Data z defenderu EASM musíte získat do dalších nástrojů zabezpečení, které používáte pro účely nápravy, aby bylo možné co nejlépe využít data o prostoru útoku.

Datový konektor odesílá data prostředků EASM defenderu do dvou různých platforem: Log Analytics a Azure Data Explorer. Data EASM Defenderu musíte exportovat do některého z těchto nástrojů. Datová připojení podléhají cenovému modelu pro každou příslušnou platformu.

Log Analytics poskytuje informace o zabezpečení a správu událostí a orchestraci zabezpečení, automatizaci a možnosti reakce. Informace o prostředcích nebo přehledech EASM defenderu je možné použít v Log Analytics k obohacení stávajících pracovních postupů o další data zabezpečení. Tyto informace můžou doplnit informace o bráně firewall a konfiguraci, analýzu hrozeb a data dodržování předpisů, aby poskytovaly přehled o vaší externí infrastruktuře na otevřeném internetu.

Můžete provádět následující akce:

  • Vytváření nebo rozšiřování incidentů zabezpečení
  • Sestavte playbooky pro šetření.
  • Trénujte algoritmy strojového učení.
  • Aktivační akce nápravy.

Azure Data Explorer je platforma pro analýzu velkých objemů dat, která pomáhá analyzovat velké objemy dat z různých zdrojů s flexibilními možnostmi přizpůsobení. Data přehledů a prostředků EASM defenderu je možné integrovat s využitím vizualizací, dotazů, příjmu dat a správy v rámci platformy.

Bez ohledu na to, jestli vytváříte vlastní sestavy pomocí Power BI nebo proaktivního vyhledávání prostředků, které odpovídají přesným dotazům KQL, export dat EASM Defenderu do Azure Data Exploreru umožňuje používat data prostoru pro útoky s nekonečným potenciálem přizpůsobení.

Možnosti datového obsahu

Datová připojení EASM defenderu nabízejí možnost integrovat dva různé druhy dat útoku do vámi zvoleného nástroje. Můžete se rozhodnout migrovat data prostředků, získat přehledy o útoku nebo oba datové typy. Data aktiv poskytují podrobné podrobnosti o celém inventáři. Přehledy prostorů pro útoky poskytují okamžitě použitelné přehledy na základě řídicích panelů EASM v programu Defender.

Aby bylo možné přesně prezentovat infrastrukturu, která je pro vaši organizaci nejdůležitější, obě možnosti obsahu zahrnují pouze prostředky ve stavu schváleného inventáře.

Data majetku: Možnost Data majetku odesílá data o všech prostředcích inventáře do nástroje podle vašeho výběru. Tato možnost je nejvhodnější pro případy použití, kdy podrobná podkladová metadata jsou klíčem k integraci eaSM v defenderu. Mezi příklady patří Microsoft Sentinel nebo přizpůsobené vytváření sestav v Azure Data Exploreru. Kontext vysoké úrovně můžete exportovat pro každý prostředek v inventáři a podrobné podrobnosti specifické pro konkrétní typ prostředku.

Tato možnost neposkytuje žádné předem určené přehledy o prostředcích. Místo toho nabízí rozsáhlé množství dat, abyste mohli najít přizpůsobené přehledy, které vás zajímají nejvíce.

Přehledy možností útoku: Přehledy prostorů pro útoky poskytují sadu výsledků s možností akce na základě klíčových přehledů doručovaných prostřednictvím řídicích panelů v EASM v programu Defender. Tato možnost poskytuje méně podrobná metadata pro každý prostředek. Kategorizuje prostředky na základě odpovídajících přehledů a poskytuje základní kontext potřebný k dalšímu zkoumání. Tato možnost je ideální, pokud chcete tyto předem určené přehledy integrovat do vlastních pracovních postupů vytváření sestav s daty z jiných nástrojů.

Přehledy konfigurace

Tato část obsahuje obecné informace o konfiguraci.

Přístup k datovým připojením

V levém podokně v podokně prostředků EASM v programu Defender vyberte v části Spravovat datová připojení. Tato stránka zobrazuje datové konektory pro Log Analytics i Azure Data Explorer. Zobrazí seznam všech aktuálních připojení a poskytuje možnost přidávat, upravovat nebo odebírat připojení.

Snímek obrazovky se stránkou Datová připojení

Požadavky na připojení

Pokud chcete úspěšně vytvořit datové připojení, musíte nejprve ověřit, že jste dokončili požadované kroky k udělení oprávnění EASM defenderu EASM nástroji podle vašeho výběru. Tento proces umožňuje aplikaci ingestovat exportovaná data. Poskytuje také přihlašovací údaje pro ověřování potřebné ke konfiguraci připojení.

Poznámka:

Datová připojení EASM v programu Defender nepodporují privátní propojení ani sítě.

Konfigurace oprávnění Log Analytics

  1. Otevřete pracovní prostor služby Log Analytics, který bude ingestovat data EASM v programu Defender nebo vytvořit nový pracovní prostor.

  2. V levém podokně v části Nastavení vyberte Agenti.

    Snímek obrazovky znázorňující agenty Log Analytics

  3. Rozbalte část s pokyny pro agenta Log Analytics a zobrazte ID vašeho pracovního prostoru a primární klíč. Tyto hodnoty slouží k nastavení datového připojení.

Použití tohoto datového připojení podléhá cenové struktuře Log Analytics. Další informace najdete v tématu o cenách služby Azure Monitor.

Konfigurace oprávnění Azure Data Exploreru

Ujistěte se, že instanční objekt rozhraní API EASM Defenderu má přístup ke správným rolím v databázi, ve které chcete exportovat data prostoru útoku. Nejprve se ujistěte, že se prostředek EASM defenderu vytvořil v příslušném tenantovi, protože tato akce zřídí objekt zabezpečení rozhraní API EASM.

  1. Otevřete cluster Azure Data Exploreru, který bude ingestovat data EASM v programu Defender nebo vytvořit nový cluster.

  2. V levém podokně v části Data vyberte Databáze.

  3. Výběrem možnosti Přidat databázi vytvořte databázi pro uložení dat EASM v programu Defender.

    Snímek obrazovky znázorňující přidání databáze v Azure Data Exploreru

  4. Pojmenujte databázi, nakonfigurujte dobu uchovávání a ukládání do mezipaměti a vyberte Vytvořit.

    Snímek obrazovky znázorňující vytvoření nové databáze

  5. Po vytvoření databáze EASM Defenderu vyberte název databáze a otevřete stránku s podrobnostmi. V levém podokně v části Přehled vyberte Oprávnění. Pokud chcete úspěšně exportovat data EASM Defenderu do Azure Data Exploreru, musíte pro rozhraní API EASM vytvořit dvě nová oprávnění: uživatel a ingestor.

    Snímek obrazovky znázorňující oprávnění Azure Data Exploreru

  6. Vyberte Přidat a vytvořte uživatele. Vyhledejte rozhraní API EASM, vyberte hodnotu a zvolte Vybrat.

  7. Vyberte Přidat a vytvořte ingestor. Podle stejných kroků, které jsme popsali dříve, přidejte rozhraní API EASM jako ingestor.

  8. Vaše databáze je teď připravená k připojení k EASM v programu Defender. Při konfiguraci datového připojení potřebujete název clusteru, název databáze a oblast.

Přidání datového připojení

Data EASM Defenderu můžete připojit k Log Analytics nebo Azure Data Exploreru. Uděláte to tak, že na stránce Datová připojení vyberete Přidat připojení pro příslušný nástroj.

Na pravé straně stránky Datová připojení se otevře podokno konfigurace. Pro každý příslušný nástroj jsou vyžadována následující pole.

Log Analytics

  • Název: Zadejte název tohoto datového připojení.

  • ID pracovního prostoru: Zadejte ID pracovního prostoru pro instanci Log Analytics, do které chcete exportovat data EASM Defenderu.

  • Klíč rozhraní API: Zadejte klíč rozhraní API pro instanci Log Analytics.

  • Obsah: Vyberte, jestli chcete integrovat data prostředků, přehledy o útoku nebo obě datové sady.

  • Frekvence: Vyberte frekvenci, kterou připojení EASM defenderu používá k odesílání aktualizovaných dat do nástroje podle vašeho výběru. Dostupné možnosti jsou denní, týdenní a měsíční.

    Snímek obrazovky znázorňující obrazovku Přidat datové připojení pro Log Analytics

Průzkumník dat Azure

  • Název: Zadejte název tohoto datového připojení.

  • Název clusteru: Zadejte název clusteru Azure Data Exploreru, do kterého chcete exportovat data EASM Defenderu.

  • Oblast: Zadejte oblast clusteru Azure Data Exploreru.

  • Název databáze: Zadejte název požadované databáze.

  • Obsah: Vyberte, jestli chcete integrovat data prostředků, přehledy o útoku nebo obě datové sady.

  • Frekvence: Vyberte frekvenci, kterou připojení EASM defenderu používá k odesílání aktualizovaných dat do nástroje podle vašeho výběru. Dostupné možnosti jsou denní, týdenní a měsíční.

    Snímek obrazovky znázorňující obrazovku Přidat datové připojení pro Azure Data Explorer

    Po nakonfigurování všech polí vyberte Přidat a vytvořte datové připojení. V tomto okamžiku se na stránce Datová připojení zobrazí banner, který indikuje, že prostředek byl úspěšně vytvořen. Za 30 minut se začnou naplnit data. Po vytvoření připojení jsou uvedená v příslušném nástroji na hlavní stránce Datová připojení .

Úprava nebo odstranění datového připojení

Datové připojení můžete upravit nebo odstranit. Můžete si například všimnout, že připojení je uvedené jako Odpojeno. V takovém případě je potřeba znovu zadat podrobnosti o konfiguraci, abyste problém vyřešili.

Úprava nebo odstranění datového připojení:

  1. V seznamu na hlavní stránce Datová připojení vyberte příslušné připojení.

    Snímek obrazovky znázorňující odpojená datová připojení

  2. Otevře se stránka s dalšími daty o připojení. Zobrazí se konfigurace, které jste zvolili při vytváření připojení, a všechny chybové zprávy. Zobrazí se také následující data:

    • Opakované dne: Den v týdnu nebo měsíc, který Defender EASM odesílá aktualizovaná data do připojeného nástroje.

    • Vytvořeno: Datum a čas vytvoření datového připojení.

    • Aktualizováno: Datum a čas poslední aktualizace datového připojení.

      Snímek obrazovky znázorňující testovací připojení

  3. Na této stránce můžete datové připojení znovu připojit, upravit nebo odstranit.

    • Znovu se připojit: Pokusí se ověřit datové připojení bez jakýchkoli změn konfigurace. Tato možnost je nejlepší, pokud jste ověřili ověřovací přihlašovací údaje používané pro datové připojení.
    • Upravit: Umožňuje změnit konfiguraci datového připojení.
    • Odstranění: Odstraní datové připojení.