Partilhar via

Usar conexões de dados

  • Artigo

Este artigo descreve o recurso de conexões de dados no Microsoft Defender External Attack Surface Management (Defender EASM).

Descrição geral

O Defender EASM agora oferece conexões de dados para ajudá-lo a integrar perfeitamente seus dados de superfície de ataque em outras soluções da Microsoft para complementar os fluxos de trabalho existentes com novos insights. Você deve obter dados do Defender EASM para as outras ferramentas de segurança que você usa para fins de correção para fazer o melhor uso de seus dados de superfície de ataque.

O conector de dados envia dados de ativos EASM do Defender para duas plataformas diferentes: Log Analytics e Azure Data Explorer. Você precisa exportar dados EASM do Defender para qualquer uma das ferramentas. As conexões de dados estão sujeitas ao modelo de preços para cada plataforma respetiva.

O Log Analytics fornece informações de segurança e gerenciamento de eventos e recursos de orquestração, automação e resposta de segurança. As informações de ativos ou insights do Defender EASM podem ser usadas no Log Analytics para enriquecer os fluxos de trabalho existentes com outros dados de segurança. Essas informações podem complementar informações de firewall e configuração, inteligência de ameaças e dados de conformidade para fornecer visibilidade de sua infraestrutura externa na Internet aberta.

Pode:

  • Crie ou enriqueça incidentes de segurança.
  • Crie manuais de investigação.
  • Treine algoritmos de aprendizado de máquina.
  • Acionar ações de correção.

O Azure Data Explorer é uma plataforma de análise de big data que ajuda você a analisar grandes volumes de dados de várias fontes com recursos flexíveis de personalização. Os dados de ativos e insights do Defender EASM podem ser integrados para usar recursos de visualização, consulta, ingestão e gerenciamento dentro da plataforma.

Quer esteja a criar relatórios personalizados com o Power BI ou a procurar ativos que correspondam a consultas KQL precisas, exportar dados EASM do Defender para o Azure Data Explorer permite-lhe utilizar os dados da superfície de ataque com um potencial de personalização infinito.

Opções de conteúdo de dados

As conexões de dados EASM do Defender oferecem a capacidade de integrar dois tipos diferentes de dados de superfície de ataque na ferramenta de sua escolha. Você pode optar por migrar dados de ativos, insights de superfície de ataque ou ambos os tipos de dados. Os dados de ativos fornecem detalhes granulares sobre todo o seu inventário. As informações da superfície de ataque fornecem informações imediatamente acionáveis com base nos painéis EASM do Defender.

Para apresentar com precisão a infraestrutura mais importante para sua organização, ambas as opções de conteúdo incluem apenas ativos no estado de inventário Aprovado .

Dados de ativos: a opção Dados de ativos envia dados sobre todos os seus ativos de inventário para a ferramenta de sua escolha. Esta opção é melhor para casos de uso em que os metadados subjacentes granulares são fundamentais para sua integração com o EASM do Defender. Os exemplos incluem o Microsoft Sentinel ou relatórios personalizados no Azure Data Explorer. Você pode exportar contexto de alto nível em cada ativo no inventário e detalhes granulares específicos para o tipo de ativo específico.

Esta opção não fornece informações predeterminadas sobre os ativos. Em vez disso, ele oferece uma grande quantidade de dados para que você possa encontrar os insights personalizados que mais lhe interessam.

Insights da superfície de ataque: os insights da superfície de ataque fornecem um conjunto acionável de resultados com base nos principais insights fornecidos por meio de painéis no EASM do Defender. Esta opção fornece metadados menos granulares em cada ativo. Ele categoriza os ativos com base nos insights correspondentes e fornece o contexto de alto nível necessário para investigar mais. Essa opção é ideal se você quiser integrar esses insights predeterminados em fluxos de trabalho de relatórios personalizados com dados de outras ferramentas.

Visão geral da configuração

Esta seção apresenta informações gerais sobre configuração.

Conexões de dados de acesso

No painel mais à esquerda do painel de recursos EASM do Defender, em Gerenciar, selecione Conexões de Dados. Esta página exibe os conectores de dados para o Log Analytics e o Azure Data Explorer. Ele lista todas as conexões atuais e fornece a opção de adicionar, editar ou remover conexões.

Captura de tela que mostra a página Conexões de dados.

Pré-requisitos de conexão

Para criar uma conexão de dados com êxito, você deve primeiro garantir que concluiu as etapas necessárias para conceder permissão EASM ao Defender para a ferramenta de sua escolha. Esse processo permite que o aplicativo ingira os dados exportados. Ele também fornece as credenciais de autenticação necessárias para configurar a conexão.

Nota

As conexões de dados EASM do Defender não suportam links ou redes privadas.

Configurar permissões do Log Analytics

  1. Abra o espaço de trabalho do Log Analytics que ingerirá seus dados EASM do Defender ou crie um novo espaço de trabalho.

  2. No painel mais à esquerda, em Configurações, selecione Agentes.

    Captura de tela que mostra os agentes do Log Analytics.

  3. Expanda a seção de instruções do agente do Log Analytics para exibir o ID do espaço de trabalho e a chave primária. Esses valores são usados para configurar sua conexão de dados.

O uso dessa conexão de dados está sujeito à estrutura de preços do Log Analytics. Para obter mais informações, consulte Preços do Azure Monitor.

Configurar permissões do Azure Data Explorer

Certifique-se de que a entidade de serviço da API EASM do Defender tenha acesso às funções corretas no banco de dados para o qual você deseja exportar os dados da superfície de ataque. Primeiro, certifique-se de que seu recurso EASM do Defender foi criado no locatário apropriado, pois essa ação provisiona a entidade de segurança da API do EASM.

  1. Abra o cluster do Azure Data Explorer que ingerirá seus dados EASM do Defender ou criará um novo cluster.

  2. No painel mais à esquerda, em Dados, selecione Bancos de dados.

  3. Selecione Adicionar banco de dados para criar um banco de dados para abrigar seus dados EASM do Defender.

    Captura de tela que mostra o Azure Data Explorer Adicionar banco de dados.

  4. Nomeie seu banco de dados, configure períodos de retenção e cache e selecione Criar.

    Captura de tela que mostra a criação de um novo banco de dados.

  5. Depois que o banco de dados EASM do Defender for criado, selecione o nome do banco de dados para abrir a página de detalhes. No painel mais à esquerda, em Visão geral, selecione Permissões. Para exportar com êxito os dados do Defender EASM para o Azure Data Explorer, você deve criar duas novas permissões para a API do EASM: user e ingestor.

    Captura de ecrã que mostra as permissões do Azure Data Explorer.

  6. Selecione Adicionar e criar um usuário. Procure por API EASM, selecione o valor e escolha Selecionar.

  7. Selecione Adicionar para criar um ingestor. Siga as mesmas etapas descritas anteriormente para adicionar a API EASM como um ingestor.

  8. Seu banco de dados agora está pronto para se conectar ao Defender EASM. Você precisa do nome do cluster, do nome do banco de dados e da região ao configurar sua conexão de dados.

Adicionar uma ligação de dados

Você pode conectar seus dados EASM do Defender ao Log Analytics ou ao Azure Data Explorer. Para fazer isso, selecione Adicionar conexão para a ferramenta apropriada na página Conexões de Dados .

Um painel de configuração é aberto no lado direito da página Conexões de Dados . Os seguintes campos são obrigatórios para cada ferramenta respetiva.

Log Analytics

  • Nome: insira um nome para esta conexão de dados.

  • ID do espaço de trabalho: insira o ID do espaço de trabalho para a instância do Log Analytics para a qual você deseja exportar dados EASM do Defender.

  • Chave da API: insira a chave da API para a instância do Log Analytics.

  • Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou ambos os conjuntos de dados.

  • Frequência: Selecione a frequência que a conexão EASM do Defender usa para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diárias, semanais e mensais.

    Captura de tela que mostra a tela Adicionar conexão de dados para o Log Analytics.

Azure Data Explorer

  • Nome: insira um nome para esta conexão de dados.

  • Nome do cluster: insira o nome do cluster do Azure Data Explorer para o qual você deseja exportar os dados do EASM do Defender.

  • Região: insira a região do cluster do Azure Data Explorer.

  • Nome do banco de dados: insira o nome do banco de dados desejado.

  • Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou ambos os conjuntos de dados.

  • Frequência: Selecione a frequência que a conexão EASM do Defender usa para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diárias, semanais e mensais.

    Captura de ecrã que mostra o ecrã Adicionar ligação de dados para o Azure Data Explorer.

    Depois que todos os campos estiverem configurados, selecione Adicionar para criar a conexão de dados. Neste ponto, a página Conexões de Dados exibe um banner que indica que o recurso foi criado com êxito. Em 30 minutos, os dados começam a ser preenchidos. Depois que as conexões são criadas, elas são listadas na ferramenta aplicável na página principal Conexões de Dados .

Editar ou excluir uma conexão de dados

Você pode editar ou excluir uma conexão de dados. Por exemplo, você pode notar que uma conexão está listada como Desconectada. Nesse caso, você precisa reinserir os detalhes de configuração para corrigir o problema.

Para editar ou excluir uma conexão de dados:

  1. Selecione a conexão apropriada na lista na página principal Conexões de Dados .

    Captura de tela que mostra conexões de dados desconectadas.

  2. É aberta uma página que fornece mais dados sobre a conexão. Ele exibe as configurações que você escolheu quando criou a conexão e todas as mensagens de erro. Você também verá os seguintes dados:

    • Recorrente em: O dia da semana ou do mês em que o Defender EASM envia dados atualizados para a ferramenta conectada.

    • Criado: a data e a hora em que a conexão de dados foi criada.

    • Atualizado: a data e a hora em que a conexão de dados foi atualizada pela última vez.

      Captura de tela que mostra conexões de teste.

  3. Nesta página, você pode reconectar, editar ou excluir sua conexão de dados.

    • Reconectar: tenta validar a conexão de dados sem alterações na configuração. Essa opção é melhor se você tiver validado as credenciais de autenticação usadas para a conexão de dados.
    • Editar: Permite alterar a configuração da conexão de dados.
    • Excluir: exclui a conexão de dados.