Configurar a exportação contínua com o Azure Policy
A exportação contínua de alertas e recomendações de segurança do Microsoft Defender para Nuvem pode ajudar a analisar os dados no Log Analytics ou nos Hubs de Eventos do Azure. Você pode configurar a exportação contínua no Defender para Nuvem em escala usando modelos fornecidos do Azure Policy.
Dica
O Defender para Nuvem também oferece a opção de fazer uma exportação manual única para um arquivo CSV (valores separados por vírgula). Saiba como baixar um arquivo CSV.
Pré-requisitos
É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
Funções e permissões necessárias:
Administrador de Segurança ou Proprietário do grupo de recursos
Permissões de gravação para o recurso de destino.
Caso use as políticas DeployIfNotExist do Azure Policy, você deverá ter permissões que permitem atribuir políticas.
Para exportar dados para os Hubs de Eventos, você deverá ter permissões de gravação na política dos Hubs de Eventos.
Para exportar para um workspace do Log Analytics:
- Se tiver a solução SecurityCenterFree, é necessário ter no mínimo permissões de leitura para a solução de workspace:
Microsoft.OperationsManagement/solutions/read. - Se não tiver a solução SecurityCenterFree, é necessário ter permissões de gravação para a solução de workspace:
Microsoft.OperationsManagement/solutions/action.
Saiba mais sobre as Soluções de workspace do Log Analytics e do Azure Monitor.
- Se tiver a solução SecurityCenterFree, é necessário ter no mínimo permissões de leitura para a solução de workspace:
Configurar a exportação contínua em escala com o Azure Policy
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode ajudar você a reduzir o tempo necessário para investigar e atenuar incidentes de segurança.
Para implantar as configurações de exportação contínua em sua organização, use as políticas DeployIfNotExist no Azure Policy, fornecidas para criar e configurar procedimentos de exportação contínua.
Para implementar essas políticas:
Selecione uma política a ser aplicada:
Goal Política ID da Política Exportação contínua para o hub de eventos Implantar a exportação nos Hubs de Eventos para alertas e recomendações do Microsoft Defender para Nuvem cdfcce10-4578-4ecd-9703-530938e4abcb Exportação contínua para o workspace do Log Analytics Implantar exportação no workspace do Log Analytics para alertas e recomendações do Microsoft Defender para Nuvem ffb6f416-7bd2-4488-8828-56585fef2be9 Selecione Atribuir.
Selecione cada guia e defina os parâmetros para atender aos seus requisitos:
Na guia Noções básicas, defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao grupo de gerenciamento que contém as assinaturas que usam a configuração de exportação contínua.
Na guia Parâmetros, defina o nome do grupo de recursos, o local e os detalhes do Hub de Eventos.
Opcionalmente, para aplicar essa atribuição a assinaturas existentes, selecione a guia Correção e, em seguida, selecione a opção para criar uma tarefa de correção.
Revise a página de resumo e selecione Criar.