Compartir vía


Exportación de alertas y recomendaciones con exportación continua

Microsoft Defender for Cloud proporciona exportación continua de datos de seguridad. Esta característica permite transmitir datos de seguridad a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de modelo de implementación de Administración de eventos e información de seguridad (SIEM), de respuesta automatizada de orquestación de seguridad (SOAR) o clásica de TI. Puede analizar y visualizar los datos mediante registros de Azure Monitor y otras características de Azure Monitor.

Al configurar la exportación continua, puede personalizar completamente qué información exportar y adónde va. Por ejemplo, puede configurarla para que:

  • Todas las alertas de gravedad alta se envían a una instancia de Azure Event Hubs.
  • Todos los resultados de gravedad media o superior de los análisis de evaluación de vulnerabilidades de los equipos que ejecutan SQL Server se envían a un área de trabajo específica de Log Analytics.
  • Cuando se generan recomendaciones específicas, se entregan en un centro de eventos o área de trabajo de Log Analytics.
  • La puntuación segura de una suscripción se envía a un área de trabajo de Log Analytics cada vez que la puntuación de un control cambia en 0,01 o más.

¿Qué tipos de datos se pueden exportar?

Puede usar la exportación continua para exportar los siguientes tipos de datos siempre que cambien:

  • Recomendaciones de seguridad.
    • Gravedad de la recomendación.
    • Conclusiones de seguridad.
  • Puntuación de seguridad.
    • Controles.
  • Alertas de seguridad.
  • Cumplimiento normativo.
  • Rutas de acceso de ataque

La gravedad de la recomendación, los resultados de seguridad y los controles son sub categorías que pertenecen a una categoría principal. Por ejemplo:

Nota:

Si va a configurar una exportación continua con la API de REST, incluya siempre la principal con los resultados.

Exportación de datos a un centro de eventos o a un área de trabajo de Log Analytics en otro inquilino

Nopuede configurar los datos que se exportarán a un área de trabajo de Log Analytics en otro inquilino si usa Azure Policy para asignar la configuración. Este proceso solo funciona cuando se usa la API de REST para asignar la configuración y la configuración no se admite en Azure Portal (porque requiere un contexto multiinquilino). Azure Lighthouse no resuelve este problema con Azure Policy, aunque puede usarlo como método de autenticación.

Al recopilar datos en un inquilino, puede analizarlos desde una ubicación central.

Para exportar datos a un centro de eventos o a un área de trabajo de Log Analytics en otro inquilino, siga estos pasos:

  • En el inquilino que tiene el entro de eventos o el área de trabajo de Log Analytics, invite a un usuario del inquilino que hospeda la configuración de exportación continua, o bien configure Azure Lighthouse para el inquilino de origen y destino.

  • Si usa acceso de usuario invitado de negocio a negocio (B2B) en Microsoft Entra ID, asegúrese de que el usuario acepta la invitación para acceder al inquilino como invitado.

  • Si usa un área de trabajo de Log Analytics, asigne al usuario del inquilino del área de trabajo uno de estos roles: Propietario, Colaborador, Colaborador de Log Analytics, Colaborador de Sentinel o Colaborador de supervisión.

  • Cree y envíe la solicitud a la API de REST de Azure para configurar los recursos necesarios. Deberá administrar los tokens de portador tanto en el contexto del inquilino local (área de trabajo) como en el inquilino remoto (exportación continua).

Exportación a un área de trabajo de Log Analytics

Si quiere analizar datos de Microsoft Defender for Cloud dentro de un área de trabajo de Log Analytics o usar alertas de Azure junto con alertas de Defender for Cloud, configure la exportación continua al área de trabajo de Log Analytics.

Tablas y esquemas de Log Analytics

Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y SecurityRecommendation respectivamente.

El nombre de la solución de Log Analytics que contiene estas tablas depende de si ha habilitado las características de seguridad mejorada: Seguridad ("Security and Audit") o SecurityCenterFree.

Sugerencia

Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o SecurityCenterFree.

Captura de pantalla que muestra la tabla SecurityAlert en Log Analytics.

Para ver los esquemas de eventos de los tipos de datos exportados, consulte Esquemas de tabla de Log Analytics.