Wyświetlanie wyeksportowanych danych w usłudze Azure Monitor
Po skonfigurowaniu ciągłego eksportu Microsoft Defender dla Chmury alertów zabezpieczeń i zaleceń można wyświetlić dane w usłudze Azure Monitor. W tym artykule opisano sposób wyświetlania danych w usłudze Log Analytics lub w usłudze Azure Event Hubs.
Wymagania wstępne
- Skonfiguruj eksport ciągły w witrynie Azure Portal lub skonfiguruj eksport ciągły przy użyciu usługi Azure Policy lub skonfiguruj eksport ciągły przy użyciu interfejsu API REST.
Wyświetlanie wyeksportowanych alertów i zaleceń w usłudze Azure Monitor
Usługa Azure Monitor udostępnia ujednolicone środowisko alertów dla różnych alertów platformy Azure, w tym dziennik diagnostyczny, alerty metryk i alerty niestandardowe oparte na zapytaniach obszaru roboczego usługi Log Analytics.
Aby wyświetlić alerty i zalecenia z Defender dla Chmury w usłudze Azure Monitor, skonfiguruj regułę alertu opartą na zapytaniach usługi Log Analytics (reguła alertu dziennika).
Aby skonfigurować regułę alertu:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Monitoruj.
Wybierz pozycję Alerty.
Wybierz przycisk Nowa reguła alertu.
Skonfiguruj nową regułę tak samo jak w przypadku konfigurowania reguły alertu dziennika w usłudze Azure Monitor:
W obszarze Zasób wybierz obszar roboczy usługi Log Analytics, do którego wyeksportowano alerty zabezpieczeń i zalecenia.
W polu Warunek wybierz pozycję Wyszukiwanie w dzienniku niestandardowym. Na wyświetlonej stronie skonfiguruj zapytanie, okres wyszukiwania i okres częstotliwości. W zapytaniu wyszukiwania można wprowadzić wartość SecurityAlert lub SecurityRecommendation w celu wykonywania zapytań dotyczących typów danych, które Defender dla Chmury stale eksportować do funkcji ciągłego eksportowania do usługi Log Analytics.
Opcjonalnie utwórz grupę akcji do wyzwolenia. Grupy akcji mogą zautomatyzować wysyłanie wiadomości e-mail, tworzenie biletu ITSM, uruchamianie elementu webhook i nie tylko na podstawie zdarzenia w danym środowisku.
Wyświetlane Defender dla Chmury alerty lub zalecenia (w zależności od skonfigurowanych reguł eksportu ciągłego i warunku zdefiniowanego w regule alertu usługi Azure Monitor) w alertach usługi Azure Monitor z automatycznym wyzwalaniem grupy akcji (jeśli podano).