共用方式為

使用資料連線

  • 發行項

本文討論 Microsoft Defender 外部受攻擊面管理 (Defender EASM) 中的資料連線功能。

概觀

Defender EASM 現在提供資料連線,可協助您順暢地將受攻擊面資料整合到其他 Microsoft 解決方案中,以新的深入解析來補充現有的工作流程。 您必須將資料從 Defender EASM 送到用於補救的其他安全性工具,以充分利用您的受攻擊面資料。

資料連接器會將 Defender EASM 資產資料傳送至兩個不同的平台:Log Analytics 和 Azure 資料總管。 您必須將 Defender EASM 資料匯出至任一工具。 資料連線須遵循每個個別平台的定價模式。

Log Analytics 提供安全性資訊和事件管理以及安全性協調流程自動化與回應功能。 Defender EASM 資產或深入解析資訊可用於 Log Analytics,以使用其他安全性資料來擴充現有的工作流程。 這項資訊可以補充防火牆和組態資訊、威脅情報及合規性資料,以提供開放網際網路上對外部對向基礎結構的可見度。

您可以:

  • 建立或擴充安全性事件。
  • 建置調查劇本。
  • 定型機器學習演算法。
  • 觸發補救動作。

Azure 資料總管是一個巨量資料分析平台,可協助您使用彈性自訂功能分析來自各種來源的大量資料。 Defender EASM 資產和深入解析資料可進行整合,以在平台內使用視覺效果、查詢、擷取和管理功能。

無論您是使用 Power BI 建置自訂報告,還是搜尋符合精確 KQL 查詢的資產,將 Defender EASM 資料匯出至 Azure 資料總管,都可讓您使用具有無限自訂潛力的受攻擊面資料。

資料內容選項

Defender EASM 資料連線可讓您將兩種不同類型的受攻擊面資料整合到您選擇的工具中。 您可以選擇移轉資產資料、受攻擊面深入解析,或兩種資料類型。 資產資料會提供整個清查的細微詳細資料。 受攻擊面深入解析會根據 Defender EASM 儀表板提供立即可行的深入解析。

為了正確呈現對貴組織最重要的基礎結構,這兩個內容選項只會包含 [已核准] 清查狀態中的資產。

資產資料:[資產資料] 選項會將所有清查資產的相關資料傳送至您選擇的工具。 此選項最適合用於細微基礎中繼資料為 Defender EASM 整合關鍵的使用案例。 範例包括 Azure 資料總管中的 Microsoft Sentinel 或自訂報告。 您可以在清查中的每個資產上匯出高階內容,以及特定資產類型特有的細微詳細資料。

此選項不會提供任何預先決定的資產相關深入解析。 相反地,其提供廣泛的資料量,讓您可以找到您最關心的自訂深入解析。

受攻擊面深入解析:攻擊面深入解析會根據 Defender EASM 中儀表板所提供的重要深入解析,提供可行的結果集。 此選項在每個資產上提供細微度較低的中繼資料。 其會根據對應的深入解析來分類資產,並提供進一步調查所需的高階內容。 如果您要將這些預先決定的深入解析與來自其他工具的資料整合至自訂報告工作流程,則這個是理想的選項。

組態概觀

本節提供組態的一般資訊。

存取資料連線

在 Defender EASM 資源窗格中最左側的窗格中,於 [管理] 底下,選取 [資料連線]。 此頁面會顯示 Log Analytics 和 Azure 資料總管的資料連接器。 其會列出任何目前的連線,並提供新增、編輯或移除連線的選項。

顯示 [資料連線] 頁面的螢幕擷取畫面。

連線的必要條件

若要成功建立資料連線,您必須先確定您已完成必要的步驟,才能將 Defender EASM 權限授與您選擇的工具。 此流程可讓應用程式內嵌匯出的資料。 其也會提供設定連線所需的驗證認證。

注意

Defender EASM 資料連線不支援私人連結或網路。

設定 Log Analytics 權限

  1. 開啟 Log Analytics 工作區,以擷取您的 Defender EASM 資料,或建立新的工作區

  2. 在最左側窗格的 [設定] 下,選取 [代理程式]

    顯示 Log Analytics 代理程式的螢幕擷取畫面。

  3. 展開 [Log Analytics 代理程式指示] 區段,以檢視您的工作區識別碼及主要金鑰。 這些值可用來設定您的資料連線。

使用此資料連線須遵循 Log Analytics 的定價結構。 如需詳細資訊,請參閱 Azure 監視器計量價格

設定 Azure 資料總管權限

請確定 Defender EASM API 服務主體可以在您要匯出受攻擊面資料的資料庫中存取正確的角色。 首先,請確定您的 Defender EASM 資源是在適當的租用戶中建立,因為此動作會佈建 EASM API 主體。

  1. 開啟 Azure 資料總管叢集,以內嵌您的 Defender EASM 資料,或建立新的叢集

  2. 在最左側窗格的 [資料] 底下,選取 [資料庫]

  3. 選取 [新增資料庫],以建立資料庫來存放您的 Defender EASM 資料。

    顯示 Azure 資料總管新增資料庫的螢幕擷取畫面。

  4. 為您的資料庫命名、設定保留和快取期間,然後選取 [建立]

    顯示建立新資料庫的螢幕擷取畫面。

  5. 建立 Defender EASM 資料庫之後,請選取資料庫名稱,以開啟詳細資料頁面。 在最左側窗格的 [概觀] 底下,選取 [權限]。 若要成功將 Defender EASM 資料匯出至 Azure 資料總管,您必須為 EASM API 建立兩個新的權限:使用者擷取器

    顯示 Azure 資料總管權限的螢幕擷取畫面。

  6. 選取 [新增],然後建立使用者。 搜尋 EASM API,選取值,然後選擇 [選取]

  7. 選取 [新增] 以建立擷取器。 請遵循先前所概述的相同步驟,將 EASM API 新增為擷取器。

  8. 您的資料庫現在已準備好連線到 Defender EASM。 當您設定資料連線時,需要叢集名稱、資料庫名稱和區域。

新增資料連線

您可以將 Defender EASM 資料連線到 Log Analytics 或 Azure 資料總管。 若要這樣做,請從 [資料連線] 頁面針對適當的工具選取 [新增連線]

組態窗格會在 [資料連線] 頁面的右側開啟。 每個個別工具都需要下列欄位。

Log Analytics

  • 名稱:輸入此資料連線的名稱。

  • 工作區標識碼:針對您要匯出 Defender EASM 資料的 Log Analytics 執行個體輸入工作區識別碼。

  • API 金鑰:輸入 Log Analytics 執行個體的 API 金鑰。

  • 內容:選取以整合資產資料、受攻擊面深入解析,或兩種資料類型。

  • 頻率:選取 Defender EASM 連線用來將更新資料傳送至您所選擇工具的頻率。 可用的選項為每日、每週和每月。

    顯示 Log Analytics [新增資料連線] 畫面的螢幕擷取畫面。

Azure 資料總管

  • 名稱:輸入此資料連線的名稱。

  • 叢集名稱:輸入您要匯出 Defender EASM 資料的 Azure 資料總管叢集名稱。

  • 區域:輸入 Azure 資料總管叢集的區域。

  • 資料庫名稱:輸入所需資料庫的名稱。

  • 內容:選取以整合資產資料、受攻擊面深入解析,或兩種資料類型。

  • 頻率:選取 Defender EASM 連線用來將更新資料傳送至您所選擇工具的頻率。 可用的選項為每日、每週和每月。

    顯示 Azure 資料總管 [新增資料連線] 畫面的螢幕擷取畫面。

    設定所有欄位之後,請選取 [新增] 來建立資料連線。 此時,[資料連線] 頁面會顯示橫幅,指出已成功建立資源。 在 30 分鐘內,資料就會開始填入。 建立連線之後,其會列在主要 [資料連線] 頁面上適用的工具底下。

編輯或刪除資料連線

您可以編輯或刪除資料連線。 例如,您可能會注意到連線列為 [已中斷連線]。 在此情況下,您必須重新輸入組態詳細資料,以修正問題。

若要編輯或刪除資料連線:

  1. 從主要 [資料連線] 頁面上的清單中選取適當的連線。

    顯示已中斷連線資料連線的螢幕擷取畫面。

  2. 隨即開啟頁面,提供更多有關連線的資料。 其會顯示您在建立連線時所選擇的組態,以及任何錯誤訊息。 您也會看到下列資料:

    • 週期性:一週或一個月內 Defender EASM 傳送更新更新至連線工具的一日。

    • 建立:建立資料連線的日期和時間。

    • 更新:上次更新資料連線的日期和時間。

      顯示測試連線的螢幕擷取畫面。

  3. 您可以從此頁面重新連線、編輯或刪除您的資料連線。

    • 重新連線:嘗試驗證資料連線,而不需變更設定。 如果您已驗證用於資料連線的驗證認證,則此選項是最佳選項。
    • 編輯:可讓您變更資料連線的設定。
    • 刪除:刪除資料連線。