Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para Nuvem gera alertas e recomendações de segurança. Você pode exportar esses dados para o Log Analytics no Azure Monitor, para os Hubs de Eventos do Azure ou para outra solução de modelo de implantação clássica de TI, SIEM (Gerenciamento de Informações e Eventos de Segurança) ou SOAR (Orquestração e Resposta Automatizada de Segurança). Você pode transmitir dados conforme eles são gerados ou enviar instantâneos agendados de novos dados.
Este artigo explica como configurar a exportação contínua para um workspace Log Analytics ou um hub de eventos no Azure.
Dica
Defender para Nuvem também oferece uma exportação manual única para um arquivo CSV (valores separados por vírgulas). Saiba como baixar um arquivo CSV.
Pré-requisitos
É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
Funções e permissões necessárias:
- Administrador de Segurança ou Proprietário do grupo de recursos
- Permissões de gravação para o recurso de destino.
- Se você usar as políticas DeployIfNotExist do Azure Policy, deverá ter permissões que permitem atribuir políticas.
- Para exportar dados para os Hubs de Eventos, você deverá ter permissões de gravação na política dos Hubs de Eventos.
- Para exportar para um workspace do Log Analytics:
Se tiver a solução SecurityCenterFree, é necessário ter no mínimo permissões de leitura para a solução de workspace:
Microsoft.OperationsManagement/solutions/read.Se não tiver a solução SecurityCenterFree, é necessário ter permissões de gravação para a solução de workspace:
Microsoft.OperationsManagement/solutions/action.Saiba mais sobre as soluções de workspace do Azure Monitor e do Log Analytics.
Configurar a exportação contínua no portal do Azure
Você pode configurar a exportação contínua nas páginas Microsoft Defender para Nuvem no portal Azure, usando a API REST ou em escala usando modelos Azure Policy.
Para configurar uma exportação contínua para o Log Analytics ou hubs de eventos do Azure usando o portal do Azure:
No menu de recursos do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura para a qual você deseja configurar a exportação de dados.
No menu de recursos em Configurações, selecione Exportação contínua.
As opções de exportação são exibidas. Há uma aba para cada destino: Event Hubs ou espaço de trabalho do Log Analytics.
Selecione o tipo de dados que você deseja exportar e escolha filtros para esse tipo. Por exemplo, você pode exportar apenas alertas de alta gravidade.
Selecione a frequência de exportação:
- Streaming. As avaliações são enviadas quando o estado de integridade de um recurso é atualizado (se nenhuma atualização ocorrer, nenhum dado é enviado).
- Instantâneos. Um instantâneo do estado atual dos tipos de dados selecionados que são enviados uma vez por semana por assinatura. Para identificar dados de instantâneo, procure o campo IsSnapshot.
Se sua seleção incluir uma dessas recomendações, você poderá incluir as conclusões da avaliação de vulnerabilidade com elas:
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas
- As imagens do Registro de Contêiner devem ter as conclusões de vulnerabilidade resolvidas (alimentadas pelo Qualys)
- Os computadores devem ter as conclusões de vulnerabilidade resolvidas
- As atualizações do sistema devem ser instaladas em seus computadores
Para incluir as descobertas com essas recomendações, defina Incluir descobertas de segurança como Sim.
Em Exportar destino, escolha onde deseja que os dados sejam salvos. Os dados podem ser salvos em um destino de uma assinatura diferente (por exemplo, em uma instância central dos Hubs de Eventos ou em um workspace central do Log Analytics).
Você também pode enviar os dados para um hub de eventos ou workspace do Log Analytics em um locatário diferente
Clique em Salvar.
Observação
O Log Analytics dá suporte apenas a registros com até 32 KB de tamanho. Quando o limite de dados é atingido, um alerta exibe a mensagem Limite de dados foi excedido.
Conteúdo relacionado
Neste artigo, você aprendeu a configurar exportações contínuas de suas recomendações e alertas. Você também aprendeu a baixar seus dados de alertas como um arquivo CSV.
Para ver o conteúdo relacionado:
- Saiba como exibir dados exportados no Azure Monitor.
- Saiba mais sobre modelos de automação de fluxo de trabalho.
- Consulte a documentação dos Hubs de Eventos do Azure.
- Saiba mais sobre o Microsoft Sentinel.
- Examine a documentação do Azure Monitor.
- Saiba como exportar esquemas de tipos de dados.
- Confira as perguntas comuns sobre a exportação contínua.