Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du visar Microsoft Defender för molnet data som exporteras till Azure Monitor. Den omfattar Log Analytics och Azure Event Hubs och förklarar hur du skapar Azure Monitor aviseringsregler baserat på exporterade data.
Förutsättningar
Innan du börjar konfigurerar du kontinuerlig export med någon av följande metoder:
- Set upp kontinuerlig export i Azure-portalen
- Konfigurera kontinuerlig export med Azure Policy
- Konfigurera kontinuerlig export med REST-API (Representational State Transfer).
Visa exporterade data i Log Analytics
När du exporterar Defender för molnet-data till en Log Analytics-arbetsyta skapas två huvudtabeller automatiskt:
SecurityAlertSecurityRecommendation
Du kan köra frågor mot dessa tabeller i Log Analytics för att bekräfta att kontinuerlig export fungerar.
Logga in på Azure-portalen på portal.azure. com.
Sök efter och välj Log Analytics-arbetsytor.
Välj den arbetsyta som du konfigurerade som mål för kontinuerlig export.
Välj Loggar under Allmänt på arbetsytans meny.
I frågefönstret anger du någon av följande frågor och väljer Kör:
SecurityAlerteller
SecurityRecommendation
Visa exporterade data i Azure Event Hubs
När du exporterar data till Azure Event Hubs strömmar Defender för molnet kontinuerligt aviseringar och rekommendationer som händelsemeddelanden. Du kan visa dessa exporterade händelser i Azure-portalen och analysera dem ytterligare genom att ansluta en nedströmstjänst.
Logga in på Azure-portalen på portal.azure. com.
Sök efter och välj Event Hubs-namnområden.
Välj det namnområde och den händelsehubb som du konfigurerade för kontinuerlig export.
I menyn händelsehubb väljer du Mått för att visa meddelandeaktivitet eller Bearbeta datainsamling> för att granska händelseinnehållet som lagras i insamlingsmålet.
Du kan också använda ett anslutet verktyg som Microsoft Sentinel, en SIEM-lösning (säkerhetsinformation och händelsehantering) eller en anpassad konsumentapp för att läsa och bearbeta exporterade händelser.
Anmärkning
Defender för molnet skickar data i JSON-format (JavaScript Object Notation). Du kan använda Event Hubs Capture eller konsumentgrupper för att lagra och analysera exporterade händelser.
Skapa aviseringsregler i Azure Monitor (valfritt)
Du kan skapa Azure Monitor-aviseringar baserat på dina exporterade Defender för molnet-data. Med de här aviseringarna kan du automatiskt utlösa åtgärder, till exempel att skicka e-postmeddelanden eller skapa ITSM-biljetter (Information Technology Service Management) när specifika säkerhetshändelser inträffar.
Logga in på Azure-portalen på portal.azure. com.
Sök efter och välj Övervaka.
Välj Aviseringar.
Välj + Skapa>aviseringsregel.
Konfigurera den nya regeln på samma sätt som du konfigurerar loggaviseringsregler i Azure Monitor. Mer information finns i Konfigurera loggaviseringsregler:
- För Resurstyper väljer du den Log Analytics-arbetsyta som du exporterade säkerhetsaviseringar och rekommendationer till.
- För Villkor väljer du Anpassad loggsökning. På sidan som visas konfigurerar du frågan, återställningsperioden och frekvensperioden. I frågan anger du SecurityAlert eller SecurityRecommendation.
- Du kan också skapa åtgärdsgrupper för att utlösa automatiserade svar. Installationsvägledning finns i Azure Monitor åtgärdsgrupper. Åtgärdsgrupper kan skicka e-post, skapa ITSM-biljetter, köra webhooks med mera.
När du har sparat regeln visas aviseringar eller rekommendationer för Defender för molnet i Azure Monitor baserat på dina villkor för kontinuerlig exportkonfiguration och aviseringsregel. Om du har länkat en åtgärdsgrupp utlöses den automatiskt när regelvillkoren uppfylls.