Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como exibir Microsoft Defender para Nuvem dados exportados para Azure Monitor. Ele aborda Log Analytics e Hubs de Eventos do Azure e explica como criar regras de alerta Azure Monitor com base nos dados exportados.
Pré-requisitos
Antes de começar, configure a exportação contínua com um destes métodos:
- Configure a exportação contínua no portal do Azure
- Configurar a exportação contínua com o Azure Policy
- Configure a exportação contínua com a API REST (Transferência de Estado Representacional).
Exibir dados exportados no Log Analytics
Quando você exporta dados do Defender para Nuvem para um workspace do Log Analytics, duas tabelas principais são criadas automaticamente:
SecurityAlertSecurityRecommendation
Você pode consultar essas tabelas no Log Analytics para confirmar se a exportação contínua está funcionando.
Conecte-se ao portal do Azure em portal.azure.com.
Pesquise e selecione Log Analytics workspaces.
Selecione o espaço de trabalho que você configurou como destino de exportação contínua.
No menu do workspace, em Geral, selecione Logs.
Na janela de consulta, insira uma das seguintes consultas e selecione Executar:
SecurityAlertor
SecurityRecommendation
Exibir dados exportados nos Hubs de Eventos do Azure
Quando você exporta dados para os Hubs de Eventos do Azure, o Defender para Nuvem transmite continuamente alertas e recomendações como mensagens de evento. Você pode exibir esses eventos exportados no portal do Azure e analisá-los ainda mais conectando um serviço downstream.
Conecte-se ao portal do Azure em portal.azure.com.
Pesquise e selecione namespaces dos Hubs de Eventos.
Selecione o namespace e o hub de eventos que você configurou para exportação contínua.
No menu do hub de eventos, selecione Métricas para exibir a atividade de mensagem ouProcessar captura de > para examinar o conteúdo do evento armazenado no destino de captura.
Opcionalmente, use uma ferramenta conectada, como Microsoft Sentinel, uma solução siem (gerenciamento de eventos e informações de segurança) ou um aplicativo de consumidor personalizado para ler e processar os eventos exportados.
Observação
Defender para Nuvem envia dados no formato JSON (JavaScript Object Notation). Você pode usar o Event Hubs Capture ou os grupos de consumidores para armazenar e analisar os eventos exportados.
Criar regras de alerta no Azure Monitor (opcional)
Você pode criar alertas do Azure Monitor com base nos dados exportados do Defender para Nuvem. Esses alertas permitem disparar automaticamente ações, como enviar notificações por email ou criar tíquetes de ITSM (gerenciamento de serviços de tecnologia da informação), quando ocorrem eventos de segurança específicos.
Conecte-se ao portal do Azure em portal.azure.com.
Pesquise e selecione Monitor.
Selecione Alertas.
Clique em + Criar>Regra de Alerta.
Configure sua nova regra da mesma forma que você configuraria regras de alerta de log no Azure Monitor. Para obter detalhes, consulte Configurar regras de alerta de log:
- Para Tipos de recursos, selecione o workspace do Log Analytics para o qual você exportou alertas e recomendações de segurança.
- Em Condição, selecione Pesquisa de logs personalizada. Na página que aparece, configure a consulta, o período retroativo e o período de frequência. Na consulta, insira SecurityAlert ou SecurityRecommendation.
- Opcionalmente, crie grupos de ações para disparar respostas automatizadas. Para obter diretrizes de configuração, consulte Azure Monitor grupos de ações. Os grupos de ações podem enviar e-mails, criar tickets de ITSM, executar webhooks e muito mais.
Depois de salvar a regra, os alertas ou recomendações do Defender para Nuvem aparecem no Azure Monitor com base em suas condições de configuração de exportação contínua e regra de alerta. Se você vinculou um grupo de ações, ele é disparado automaticamente quando os critérios de regra são atendidos.