Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender för molnet genererar säkerhetsaviseringar och rekommendationer. Du kan exportera dessa data till Azure Log Analytics, till Azure Event Hubs eller till en annan SIEM-lösning (Security Information and Event Management), Security Orchestration Automated Response (SOAR) eller den klassiska IT-distributionsmodelllösningen. Du kan strömma data när de genereras, eller så kan du skicka schemalagda ögonblicksbilder av nya data.
Den här artikeln beskriver hur du konfigurerar kontinuerlig export till en Log Analytics arbetsyta eller en händelsehubb i Azure.
Tips/Råd
Defender för molnet erbjuder också en manuell engångsexport till en CSV-fil. Lär dig hur du laddar ned en CSV-fil.
Förutsättningar
Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.
Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.
Nödvändiga roller och behörigheter:
- Säkerhetsadministratör eller ägare för resursgruppen
- Skrivbehörigheter för målresursen.
- Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
- Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
- Så här exporterar du till en Log Analytics-arbetsyta:
Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/read.Om den inte har SecurityCenterFree-lösningen måste du ha skrivbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/action.Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.
Konfigurera kontinuerlig export i Azure-portalen
Du kan konfigurera kontinuerlig export på Microsoft Defender för molnet sidor i Azure-portalen med hjälp av REST-API:et eller i stor skala med hjälp av Azure Policy mallar.
Så här konfigurerar du en kontinuerlig export till Log Analytics eller Azure Event Hubs med hjälp av Azure-portalen:
På resursmenyn Defender för molnet väljer du Miljöinställningar.
Välj den prenumeration som du vill konfigurera dataexport för.
På resursmenyn under Inställningar väljer du Kontinuerlig export.
Exportalternativet visas. Det finns en flik för varje mål: Event Hubs eller Log Analytics arbetsyta.
Välj den datatyp som du vill exportera och välj sedan filter för den typen. Du kan till exempel bara exportera aviseringar med hög allvarlighetsgrad.
Välj exportfrekvens:
- Streaming. Utvärderingar skickas när en resurss hälsotillstånd uppdateras (om inga uppdateringar sker skickas inga data).
- Ögonblicksbilder. En ögonblicksbild av det aktuella tillståndet för de valda datatyperna som skickas en gång i veckan per prenumeration. Om du vill identifiera ögonblicksbilddata letar du efter fältet IsSnapshot.
Om ditt val innehåller någon av dessa rekommendationer kan du inkludera resultaten av sårbarhetsbedömningen med dem:
- SQL-databaser bör få sina sårbarhetsfynd åtgärdade
- SQL-servrar på datorer bör ha sårbarhetsresultat lösta
- Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys)
- Sårbarhetsfynd på maskiner bör åtgärdas
- Systemuppdateringar bör installeras på dina datorer
Om du vill inkludera resultaten med dessa rekommendationer anger du Inkludera säkerhetsresultat till Ja.
Under Exportera mål väljer du var du vill att data ska sparas. Data kan sparas i ett mål för en annan prenumeration (till exempel i en central Event Hubs-instans eller på en central Log Analytics-arbetsyta).
Du kan också skicka data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation
Välj Spara.
Anmärkning
Log Analytics stöder endast poster som är upp till 32 KB stora. När datagränsen har nåtts visar en avisering meddelandet Datagränsen har överskridits.
Relaterat innehåll
I den här artikeln har du lärt dig hur du konfigurerar kontinuerlig export av dina rekommendationer och aviseringar. Du har också lärt dig hur du laddar ned dina aviseringsdata som en CSV-fil.
Så här ser du relaterat innehåll:
- Lär dig hur du visar exporterade data i Azure Monitor.
- Läs mer om mallar för arbetsflödesautomatisering.
- Se dokumentationen om Azure Event Hubs.
- Läs mer om Microsoft Sentinel.
- Läs dokumentationen för Azure Monitor.
- Lär dig hur du exporterar scheman för datatyper.
- Kolla in vanliga frågor om kontinuerlig export.