使用連續匯出導出警示和建議
「適用於雲端的 Microsoft Defender」提供了安全性資料的連續匯出。 這項功能可讓您將安全性資料串流至 Azure 事件中樞,或匯出至另一個安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 或 IT 傳統部署模型解決方案。 您可以使用 Azure 監視器記錄和其他 Azure 監視器功能來分析和視覺化資料。
設定連續匯出時,您可以完全自訂要匯出的資訊和資訊匯出的目的地位置。 例如,您可以對其進行設定,以便:
- 所有高嚴重性警示都會傳送至 Azure 事件中樞。
- 在執行 SQL Server 的電腦中,弱點評估掃描的所有中型或更高嚴重性結果都會傳送至特定的 Log Analytics 工作區。
- 每當產生特定建議時,系統就會將這些建議傳遞至事件中樞或 Log Analytics 工作區。
- 每當控制項的分數變更 0.01 或更多時,訂用帳戶的安全分數都會傳送至 Log Analytics 工作區。
可以匯出哪些資料類型?
每當下列資料類型變更時,您就可以使用連續匯出來匯出資料:
- 安全性建議。
- 建議嚴重性。
- 安全性結果。
- 安全分數。
- 控制項。
- 安全性警示。
- 法規合規性。
- 攻擊路徑
建議嚴重性、安全性發現結果和控制是屬於父類別的子類別。 例如:
- 建議系統更新應該安裝在您的機器上 (由更新中心提供) 和系統更新應該安裝在您的機器上,每個建議根據未完成的系統更新都有一個「子」建議。
- 建議機器應已解決發現的弱點針對弱點掃描器所識別的每個弱點都有一個「子」建議。
注意
如果您要使用 REST API 設定連續匯出,請一律包括與發現結果相關的父項。
將資料匯出至另一個租用戶中的事件中樞或 Log Analytics 工作區
如果您使用 Azure 原則指派設定,則無法設定將資料匯出至另一個租用戶中的 Log Analytics 工作區。 只有在您使用 REST API 來指派設定,且 Azure 入口網站不支援該設定時 (因為它需要多租用戶內容),才適用此程序。 Azure Lighthouse 不會解決 Azure 原則的這個問題,雖然您可以使用 Azure Lighthouse 作為驗證方法。
在租用戶中收集資料時,您可以從一個集中位置分析資料。
若要將資料匯出至其他租用戶中的事件中樞或 Log Analytics 工作區:
在具有事件中樞或 Log Analytics 工作區的租用戶中,從裝載連續匯出設定的租用戶邀請使用者,或者,您可以為來源和目的地租用戶設定 Azure Lighthouse。
如果您在 Microsoft Entra ID 中使用企業對企業 (B2B) 來賓使用者存取權,請確定該使用者接受邀請,以來賓身分存取租用戶。
如果您使用 Log Analytics 工作區,請將工作區租用戶中的使用者指派為下列其中一個角色:擁有者、參與者、Log Analytics 參與者、Sentinel 參與者或監視參與者。
建立並提交要求給 Azure REST API,以設定必要資源。 您必須在本機 (工作區) 租用戶和遠端 (連續匯出) 租用戶的內容中管理持有人權杖。
匯出至 Log Analytics 工作區
如果您想要在 Log Analytics 工作區內分析適用於雲端的 Microsoft Defender 資料,或使用 Azure 警示搭配適用於雲端的 Defender 警示,請設定持續匯出至 Log Analytics 工作區。
Log Analytics 資料表和結構描述
安全性警示和建議分別儲存在 SecurityAlert 和 SecurityRecommendation 資料表中。
包含這些資料表的 Log Analytics 解決方案名稱取決於您是否啟用增強型安全性功能:安全性 (「安全性和稽核」解決方案) 或 SecurityCenterFree。
提示
若要查看目的地工作區上的資料,您必須啟用下列其中一個解決方案:「安全性和稽核」或 SecurityCenterFree。
若要檢視所匯出資料類型的事件結構描述,請參閱 Log Analytics 資料表結構描述。