Exibir dados exportados no Azure Monitor
Depois de configurar a exportação contínua de alertas e recomendações de segurança do Microsoft Defender para Nuvem, você poderá exibir os dados no Azure Monitor. Este artigo descreve como exibir os dados no Log Analytics ou nos Hubs de Eventos do Azure.
Pré-requisitos
- Configure a exportação contínua no portal do Azure, configure a exportação contínua com o Azure Policy ou configure a exportação contínua com a API REST.
Exibir as recomendações e os alertas exportados no Azure Monitor
O Azure Monitor fornece uma experiência de alerta unificada para vários alertas do Azure, incluindo um log de diagnóstico, alertas de métrica e alertas personalizados com base em consultas de workspace do Log Analytics.
Para exibir recomendações e alertas do Defender para Nuvem no Azure Monitor, configure uma regra de alerta com base em consultas do Log Analytics (uma regra de alerta de log).
Para configurar uma regra de alerta:
Entre no portal do Azure.
Pesquise e selecione Monitor.
Selecione Alertas.
Selecione Nova regra de alerta.
Configure a nova regra da mesma maneira que configuraria uma regra de alerta de log no Azure Monitor:
Em Recurso, selecione o workspace do Log Analytics para o qual você exportou as recomendações e alertas de segurança.
Em Condição, selecione Pesquisa de logs personalizada. Na página que aparece, configure a consulta, o período retroativo e o período de frequência. Na consulta de pesquisa, insira SecurityAlert ou SecurityRecommendation, para consultar os tipos de dados que o Defender para Nuvem exporta continuamente ao habilitar o recurso de exportação contínua para o Log Analytics.
Opcionalmente, crie um grupo de ações para disparar. Os grupos de ações podem automatizar o envio de um email, a criação de um tíquete de ITSM, a execução de um webhook e muito mais, com base em um evento no ambiente.
Você visualizará novas recomendações ou alertas do Defender para Nuvem, dependendo de suas regras de exportação contínua configuradas e da condição que você definiu na regra de alerta do Azure Monitor, nos alertas do Azure Monitor, com o disparo automático de um grupo de ações (se fornecido).