Delen via

Gegevensverbindingen gebruiken

  • Artikel

In dit artikel wordt de functie voor gegevensverbindingen in Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM) besproken.

Overzicht

Defender EASM biedt nu gegevensverbindingen waarmee u uw kwetsbaarheid voor aanvallen naadloos kunt integreren in andere Microsoft-oplossingen om bestaande werkstromen aan te vullen met nieuwe inzichten. U moet gegevens van Defender EASM ophalen in de andere beveiligingshulpprogramma's die u gebruikt voor hersteldoeleinden om het beste gebruik te maken van uw kwetsbaarheidsgegevens voor aanvallen.

De gegevensconnector verzendt Defender EASM-assetgegevens naar twee verschillende platforms: Log Analytics en Azure Data Explorer. U moet Defender EASM-gegevens exporteren naar een van beide hulpprogramma's. Gegevensverbindingen zijn onderhevig aan het prijsmodel voor elk respectieve platform.

Log Analytics biedt beveiligingsinformatie en gebeurtenisbeheer en beveiligingsindeling, automatisering en responsmogelijkheden. Defender EASM-asset- of inzichtengegevens kunnen worden gebruikt in Log Analytics om bestaande werkstromen te verrijken met andere beveiligingsgegevens. Deze informatie kan de firewall- en configuratiegegevens, bedreigingsinformatie en nalevingsgegevens aanvullen om inzicht te krijgen in uw externe infrastructuur op het open internet.

U kunt:

  • Beveiligingsincidenten maken of verrijken.
  • Onderzoeksplaybooks bouwen.
  • Machine learning-algoritmen trainen.
  • Herstelacties activeren.

Azure Data Explorer is een big data-analyseplatform waarmee u grote hoeveelheden gegevens uit verschillende bronnen kunt analyseren met flexibele aanpassingsmogelijkheden. Defender EASM-asset- en inzichtengegevens kunnen worden geïntegreerd voor het gebruik van visualisatie-, query-, opname- en beheermogelijkheden binnen het platform.

Of u nu aangepaste rapporten maakt met Power BI of op assets zoekt die overeenkomen met nauwkeurige KQL-query's, door Defender EASM-gegevens te exporteren naar Azure Data Explorer, kunt u uw kwetsbaarheidsgegevens gebruiken met eindeloos aanpassingspotentieel.

Opties voor gegevensinhoud

Defender EASM-gegevensverbindingen bieden u de mogelijkheid om twee verschillende soorten aanvalsgegevens te integreren in het hulpprogramma van uw keuze. U kunt ervoor kiezen om assetgegevens te migreren, inzichten over kwetsbaarheid voor aanvallen of beide gegevenstypen te migreren. Assetgegevens bieden gedetailleerde details over uw volledige inventaris. Inzichten in aanvalsoppervlakken bieden onmiddellijk bruikbare inzichten op basis van Defender EASM-dashboards.

Om de infrastructuur die het belangrijkst is voor uw organisatie nauwkeurig weer te geven, bevatten beide inhoudsopties alleen assets in de status Goedgekeurd inventaris.

Assetgegevens: de optie Assetgegevens verzendt gegevens over al uw inventarisassets naar het hulpprogramma van uw keuze. Deze optie is het meest geschikt voor use cases waarbij de gedetailleerde onderliggende metagegevens essentieel zijn voor uw Defender EASM-integratie. Voorbeelden hiervan zijn Microsoft Sentinel of aangepaste rapportage in Azure Data Explorer. U kunt context op hoog niveau exporteren voor elke asset in voorraad en gedetailleerde details die specifiek zijn voor het specifieke assettype.

Deze optie biedt geen vooraf gedefinieerde inzichten over de assets. In plaats daarvan biedt het een uitgebreide hoeveelheid gegevens, zodat u de aangepaste inzichten kunt vinden die u het belangrijkst vindt.

Inzichten over aanvalsoppervlakken: Inzichten in aanvalsoppervlakken bieden een bruikbare set resultaten op basis van de belangrijkste inzichten die worden geleverd via dashboards in Defender EASM. Deze optie biedt minder gedetailleerde metagegevens voor elke asset. Het categoriseert assets op basis van de bijbehorende inzichten en biedt de context op hoog niveau die nodig is om verder te onderzoeken. Deze optie is ideaal als u deze vooraf vastgestelde inzichten wilt integreren in aangepaste rapportagewerkstromen met gegevens uit andere hulpprogramma's.

Configuratieoverzichten

In deze sectie vindt u algemene informatie over de configuratie.

Toegang tot gegevensverbindingen

Selecteer gegevensverbindingen in het meest linkse deelvenster van uw Defender EASM-resourcevenster onder Beheren. Op deze pagina worden de gegevensconnectors weergegeven voor zowel Log Analytics als Azure Data Explorer. De lijst bevat alle huidige verbindingen en biedt de mogelijkheid om verbindingen toe te voegen, te bewerken of te verwijderen.

Schermopname van de pagina Gegevensverbindingen.

Verbindingsvereisten

Als u een gegevensverbinding wilt maken, moet u eerst controleren of u de vereiste stappen hebt uitgevoerd om Defender EASM-machtigingen te verlenen aan het hulpprogramma van uw keuze. Met dit proces kan de toepassing uw geëxporteerde gegevens opnemen. Het biedt ook de verificatiereferenties die nodig zijn om de verbinding te configureren.

Notitie

Defender EASM-gegevensverbindingen bieden geen ondersteuning voor privékoppelingen of netwerken.

Log Analytics-machtigingen configureren

  1. Open de Log Analytics-werkruimte die uw Defender EASM-gegevens opneemt of maak een nieuwe werkruimte.

  2. Selecteer Agents in het meest linkse deelvenster onder Instellingen.

    Schermopname van Log Analytics-agents.

  3. Vouw de sectie met instructies voor de Log Analytics-agent uit om uw werkruimte-id en primaire sleutel weer te geven. Deze waarden worden gebruikt om uw gegevensverbinding in te stellen.

Het gebruik van deze gegevensverbinding is onderhevig aan de prijsstructuur van Log Analytics. Zie prijzen voor Azure Monitor voor meer informatie.

Machtigingen voor Azure Data Explorer configureren

Zorg ervoor dat de Service-principal van de Defender EASM-API toegang heeft tot de juiste rollen in de database waar u de kwetsbaarheidsgegevens voor aanvallen wilt exporteren. Zorg er eerst voor dat uw Defender EASM-resource is gemaakt in de juiste tenant, omdat met deze actie de EASM-API-principal wordt ingericht.

  1. Open het Azure Data Explorer-cluster dat uw Defender EASM-gegevens opneemt of een nieuw cluster maakt.

  2. Selecteer Databases in het meest linkse deelvenster onder Gegevens.

  3. Selecteer Database toevoegen om een database te maken die uw Defender EASM-gegevens bevat.

    Schermopname van De Azure Data Explorer-database toevoegen.

  4. Geef uw database een naam, configureer bewaar- en cacheperioden en selecteer Maken.

    Schermopname van het maken van een nieuwe database.

  5. Nadat uw Defender EASM-database is gemaakt, selecteert u de naam van de database om de detailpagina te openen. Selecteer Machtigingen in het meest linkse deelvenster onder Overzicht. Als u Defender EASM-gegevens wilt exporteren naar Azure Data Explorer, moet u twee nieuwe machtigingen maken voor de EASM-API: gebruiker en ingestor.

    Schermopname van Azure Data Explorer-machtigingen.

  6. Selecteer Een gebruiker toevoegen en maken. Zoek naar EASM-API, selecteer de waarde en kies Selecteren.

  7. Selecteer Toevoegen om een ingestor te maken. Volg dezelfde stappen die eerder zijn beschreven om de EASM-API toe te voegen als ingestor.

  8. Uw database is nu klaar om verbinding te maken met Defender EASM. U hebt de clusternaam, databasenaam en regio nodig wanneer u uw gegevensverbinding configureert.

Een gegevensverbinding toevoegen

U kunt uw Defender EASM-gegevens verbinden met Log Analytics of Azure Data Explorer. Hiervoor selecteert u Verbinding toevoegen voor het juiste hulpprogramma op de pagina Gegevensverbindingen .

Aan de rechterkant van de pagina Gegevensverbindingen wordt een configuratievenster geopend. De volgende velden zijn vereist voor elk van de respectieve hulpprogramma's.

Log Analytics

  • Naam: Voer een naam in voor deze gegevensverbinding.

  • Werkruimte-id: Voer de werkruimte-id in voor het Log Analytics-exemplaar waar u Defender EASM-gegevens wilt exporteren.

  • API-sleutel: voer de API-sleutel in voor het Log Analytics-exemplaar.

  • Inhoud: Selecteer deze optie voor het integreren van assetgegevens, inzichten in aanvalsoppervlakken of beide gegevenssets.

  • Frequentie: Selecteer de frequentie die de Defender EASM-verbinding gebruikt om bijgewerkte gegevens naar het hulpprogramma van uw keuze te verzenden. Beschikbare opties zijn dagelijks, wekelijks en maandelijks.

    Schermopname van het scherm Gegevensverbinding toevoegen voor Log Analytics.

Azure Data Explorer

  • Naam: Voer een naam in voor deze gegevensverbinding.

  • Clusternaam: Voer de naam in van het Azure Data Explorer-cluster waar u Defender EASM-gegevens wilt exporteren.

  • Regio: Voer de regio van het Azure Data Explorer-cluster in.

  • Databasenaam: Voer de naam van de gewenste database in.

  • Inhoud: Selecteer deze optie voor het integreren van assetgegevens, inzichten in aanvalsoppervlakken of beide gegevenssets.

  • Frequentie: Selecteer de frequentie die de Defender EASM-verbinding gebruikt om bijgewerkte gegevens naar het hulpprogramma van uw keuze te verzenden. Beschikbare opties zijn dagelijks, wekelijks en maandelijks.

    Schermopname van het scherm Gegevensverbinding toevoegen voor Azure Data Explorer.

    Nadat alle velden zijn geconfigureerd, selecteert u Toevoegen om de gegevensverbinding te maken. Op dit moment wordt op de pagina Gegevensverbindingen een banner weergegeven die aangeeft dat de resource is gemaakt. In 30 minuten beginnen gegevens te vullen. Nadat verbindingen zijn gemaakt, worden deze weergegeven onder het toepasselijke hulpprogramma op de hoofdpagina gegevensverbindingen .

Een gegevensverbinding bewerken of verwijderen

U kunt een gegevensverbinding bewerken of verwijderen. U ziet bijvoorbeeld dat een verbinding wordt vermeld als Verbinding verbroken. In dit geval moet u de configuratiegegevens opnieuw invoeren om het probleem op te lossen.

Een gegevensverbinding bewerken of verwijderen:

  1. Selecteer de juiste verbinding in de lijst op de hoofdpagina gegevensverbindingen .

    Schermopname van niet-verbonden gegevensverbindingen.

  2. Er wordt een pagina geopend met meer gegevens over de verbinding. Hier worden de configuraties weergegeven die u hebt gekozen bij het maken van de verbinding en eventuele foutberichten. U ziet ook de volgende gegevens:

    • Terugkerend op: de dag van de week of maand die Defender EASM bijgewerkte gegevens naar het verbonden hulpprogramma verzendt.

    • Gemaakt: de datum en tijd waarop de gegevensverbinding is gemaakt.

    • Bijgewerkt: de datum en tijd waarop de gegevensverbinding voor het laatst is bijgewerkt.

      Schermopname van testverbindingen.

  3. Op deze pagina kunt u opnieuw verbinding maken, bewerken of uw gegevensverbinding verwijderen.

    • Opnieuw verbinding maken: probeert de gegevensverbinding te valideren zonder wijzigingen in de configuratie. Deze optie is het beste als u de verificatiereferenties hebt gevalideerd die worden gebruikt voor de gegevensverbinding.
    • Bewerken: Hiermee kunt u de configuratie voor de gegevensverbinding wijzigen.
    • Verwijderen: Hiermee verwijdert u de gegevensverbinding.