Visa exporterade data i Azure Monitor
När du har konfigurerat kontinuerlig export av säkerhetsaviseringar och rekommendationer för Microsoft Defender för molnet kan du visa data i Azure Monitor. Den här artikeln beskriver hur du visar data i Log Analytics eller i Azure Event Hubs.
Förutsättningar
- Konfigurera kontinuerlig export i Azure-portalen eller konfigurera kontinuerlig export med Azure Policy eller konfigurera kontinuerlig export med REST API.
Visa exporterade aviseringar och rekommendationer i Azure Monitor
Azure Monitor ger en enhetlig aviseringsupplevelse för olika Azure-aviseringar, inklusive en diagnostiklogg, måttaviseringar och anpassade aviseringar som baseras på Log Analytics-arbetsytefrågor.
Om du vill visa aviseringar och rekommendationer från Defender för molnet i Azure Monitor konfigurerar du en aviseringsregel som baseras på Log Analytics-frågor (en loggaviseringsregel).
Så här konfigurerar du en aviseringsregel:
Logga in på Azure-portalen.
Sök efter och välj Övervaka.
Välj Aviseringar.
Välj Ny aviseringsregel.
Konfigurera den nya regeln på samma sätt som du konfigurerar en loggaviseringsregel i Azure Monitor:
För Resurs väljer du den Log Analytics-arbetsyta som du exporterade säkerhetsaviseringar och rekommendationer till.
För Villkor väljer du Anpassad loggsökning. På sidan som visas konfigurerar du frågan, återställningsperioden och frekvensperioden. I sökfrågan kan du ange SecurityAlert eller SecurityRecommendation för att fråga de datatyper som Defender for Cloud kontinuerligt exporterar till när du aktiverar kontinuerlig export till Log Analytics-funktionen.
Du kan också skapa en åtgärdsgrupp som ska utlösas. Åtgärdsgrupper kan automatisera sändningen av ett e-postmeddelande, skapa en ITSM-biljett, köra en webhook med mera, baserat på en händelse i din miljö.
Aviseringar eller rekommendationer för Defender för molnet visas (beroende på dina konfigurerade regler för kontinuerlig export och det villkor som du definierade i azure monitor-aviseringsregeln) i Azure Monitor-aviseringar, med automatisk utlösande av en åtgärdsgrupp (om det tillhandahålls).