Exportera aviseringar och rekommendationer med kontinuerlig export
Microsoft Defender för molnet tillhandahåller kontinuerlig export av säkerhetsdata. Med den här funktionen kan du strömma säkerhetsdata till Log Analytics i Azure Monitor, till Azure Event Hubs eller till en annan lösning för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response) eller den klassiska IT-distributionsmodellen. Du kan analysera och visualisera data med hjälp av Azure Monitor-loggar och andra Azure Monitor-funktioner.
När du konfigurerar kontinuerlig export kan du helt anpassa vilken information som ska exporteras och vart informationen ska gå. Du kan till exempel konfigurera den så att:
- Alla aviseringar med hög allvarlighetsgrad skickas till en Azure-händelsehubb.
- Alla resultat med medelhög eller högre allvarlighetsgrad från sårbarhetsbedömningsgenomsökningar av dina datorer som kör SQL Server skickas till en specifik Log Analytics-arbetsyta.
- Specifika rekommendationer levereras till en händelsehubb eller Log Analytics-arbetsyta när de genereras.
- Säkerhetspoängen för en prenumeration skickas till en Log Analytics-arbetsyta när poängen för en kontroll ändras med 0,01 eller mer.
Vilka datatyper kan exporteras?
Du kan använda kontinuerlig export för att exportera följande datatyper när de ändras:
- Säkerhetsrekommendationer.
- Rekommendationens allvarlighetsgrad.
- Säkerhetsresultat.
- Säker poäng.
- Kontroller.
- Säkerhetsaviseringar.
- Regelefterlevnad.
- Attackvägar
Rekommendationens allvarlighetsgrad, säkerhetsresultat och kontroller är underkategorier som tillhör en överordnad kategori. Till exempel:
- Rekommendationerna Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) och Systemuppdateringar bör installeras på dina datorer, var och en har en underrekommendations per utestående systemuppdatering.
- Rekommendationen Datorer bör ha sårbarhetsresultat lösta har en underrekommendations för varje sårbarhet som sårbarhetsskannern identifierar.
Kommentar
Om du konfigurerar kontinuerlig export med hjälp av REST-API:et ska du alltid inkludera den överordnade med resultaten.
Exportera data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation
Du kan inte konfigurera att data ska exporteras till en Log Analytics-arbetsyta i en annan klientorganisation om du använder Azure Policy för att tilldela konfigurationen. Den här processen fungerar bara när du använder REST-API:et för att tilldela konfigurationen och konfigurationen inte stöds i Azure-portalen (eftersom den kräver en kontext med flera klientorganisationer). Azure Lighthouse löser inte det här problemet med Azure Policy, även om du kan använda Azure Lighthouse som autentiseringsmetod.
När du samlar in data i en klientorganisation kan du analysera data från en central plats.
Så här exporterar du data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation:
I klientorganisationen som har händelsehubben eller Log Analytics-arbetsytan bjuder du in en användare från klientorganisationen som är värd för konfigurationen för kontinuerlig export, eller så kan du konfigurera Azure Lighthouse för käll- och målklientorganisationen.
Om du använder B2B-gästanvändaråtkomst (business-to-business) i Microsoft Entra-ID kontrollerar du att användaren accepterar inbjudan att komma åt klientorganisationen som gäst.
Om du använder en Log Analytics-arbetsyta tilldelar du användaren i arbetsytans klientorganisation en av dessa roller: Ägare, Deltagare, Log Analytics-deltagare, Sentinel-deltagare eller Övervakningsdeltagare.
Skapa och skicka begäran till Azure REST API för att konfigurera nödvändiga resurser. Du måste hantera ägartoken i både kontexten för den lokala klientorganisationen (arbetsytan) och fjärrklientorganisationen (kontinuerlig export).
Exportera till en Log Analytics-arbetsyta
Om du vill analysera Microsoft Defender för molndata på en Log Analytics-arbetsyta eller använda Azure-aviseringar tillsammans med Defender för moln-aviseringar konfigurerar du kontinuerlig export till din Log Analytics-arbetsyta.
Log Analytics-tabeller och scheman
Säkerhetsaviseringar och rekommendationer lagras i tabellerna SecurityAlert respektive SecurityRecommendation .
Namnet på Log Analytics-lösningen som innehåller dessa tabeller beror på om du har aktiverat de förbättrade säkerhetsfunktionerna: Säkerhet (säkerhets- och granskningslösningen) eller SecurityCenterFree.
Dricks
Om du vill se data på målarbetsytan måste du aktivera någon av dessa lösningar: Säkerhet och granskning eller SecurityCenterFree.
Information om hur du visar händelsescheman för de exporterade datatyperna finns i Log Analytics-tabellscheman.