Просмотр экспортированных данных в Azure Monitor
После настройки непрерывного экспорта оповещений и рекомендаций системы безопасности Microsoft Defender для облака можно просмотреть данные в Azure Monitor. В этой статье описывается, как просматривать данные в Log Analytics или в Центры событий Azure.
Необходимые компоненты
- Настройте непрерывный экспорт в портал Azure или настройте непрерывный экспорт с помощью Политика Azure или настройки непрерывного экспорта с помощью REST API.
Просмотр экспортированных оповещений и рекомендаций в Azure Monitor
Azure Monitor предоставляет единый интерфейс оповещения для различных оповещений Azure, включая журнал диагностики, оповещения метрик и настраиваемые оповещения, основанные на запросах рабочей области Log Analytics.
Чтобы просмотреть оповещения и рекомендации из Defender для облака в Azure Monitor, настройте правило генерации оповещений, основанное на запросах Log Analytics (правило генерации оповещений журнала).
Чтобы настроить правило генерации оповещений, выполните действия.
Войдите на портал Azure.
Найдите и выберите Monitor.
Выберите Оповещения.
Выберите Новое правило генерации оповещений.
Настройте новое правило так же, как вы настроили правило генерации оповещений журнала в Azure Monitor:
В поле Ресурс выберите рабочую область Log Analytics, в которую были экспортированы оповещения и рекомендации по безопасности.
В качестве условиявыберите Custom log search (Поиск по пользовательским журналам). На появившейся странице настройте запрос, период ретроспективного обзора и периодичность. В поисковом запросе можно ввести SecurityAlert или SecurityRecommendation, чтобы запросить типы данных, которые Defender для облака непрерывно экспортируются при включении непрерывного экспорта в функцию Log Analytics.
При необходимости создайте группу действий для активации. Группы действий могут автоматизировать отправку сообщения электронной почты, создание билета ITSM, запуск веб-перехватчика и многое другое на основе события в вашей среде.
Отображаются Defender для облака оповещения или рекомендации (в зависимости от настроенных правил непрерывного экспорта и условия, определенного в правиле генерации оповещений Azure Monitor) в оповещениях Azure Monitor с автоматическим запуском группы действий (если это указано).