Anzeigen exportierter Daten in Azure Monitor

Nachdem Sie den fortlaufenden Export von Microsoft Defender for Cloud-Sicherheitswarnungen und -empfehlungen eingerichtet haben, können Sie die Daten in Azure Monitor anzeigen. In diesem Artikel wird beschrieben, wie Sie die Daten in Log Analytics oder in Azure Event Hubs anzeigen und Warnungsregeln in Azure Monitor basierend auf diesen Daten erstellen.

Voraussetzungen

Bevor Sie beginnen, richten Sie den kontinuierlichen Export mit einer der folgenden Methoden ein:

• Einrichten des kontinuierlichen Exports im Azure-Portal
• Einrichten des kontinuierlichen Exports mit Azure-Richtlinie
• Einrichten des kontinuierlichen Exports mit REST-API.

Anzeigen exportierter Daten in Log Analytics

Wenn Sie Defender for Cloud-Daten in einen Log Analytics-Arbeitsbereich exportieren, werden automatisch zwei Haupttabellen erstellt:

• SecurityAlert
• SecurityRecommendation

Sie können diese Tabellen in Log Analytics abfragen, um zu bestätigen, dass der fortlaufende Export funktioniert.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Log Analytics-Arbeitsbereichen, und wählen Sie sie aus.

3. Wählen Sie den Arbeitsbereich aus, den Sie als Ziel für den kontinuierlichen Export konfiguriert haben.

4. Wählen Sie im Arbeitsbereichsmenü unter "Allgemein" die Option "Protokolle" aus.

5. Geben Sie im Abfragefenster eine der folgenden Abfragen ein, und wählen Sie "Ausführen" aus:

   SecurityAlert
   

   oder

   SecurityRecommendation
   

Anzeigen exportierter Daten in Azure Event Hubs

Wenn Sie Daten in Azure Event Hubs exportieren, streamt Defender für Cloud kontinuierlich Warnungen und Empfehlungen als Ereignisnachrichten. Sie können diese exportierten Ereignisse im Azure-Portal anzeigen und weiter analysieren, indem Sie einen nachgeschalteten Dienst verbinden.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Event Hubs-Namespaces, und wählen Sie sie aus.

3. Wählen Sie den Namespace und den Event Hub aus, den Sie für den kontinuierlichen Export konfiguriert haben.

4. Wählen Sie im Event Hub-Menü Metriken aus, um Nachrichtenaktivitäten anzuzeigen, oderdie>, um ereignisinhalte zu überprüfen, die in Ihrem Aufnahmeziel gespeichert sind.

5. Verwenden Sie optional ein verbundenes Tool wie Microsoft Sentinel, ein SIEM oder eine benutzerdefinierte Consumer-App, um die exportierten Ereignisse zu lesen und zu verarbeiten.

Erstellen von Warnungsregeln in Azure Monitor (optional)

Sie können Azure Monitor-Warnungen basierend auf Ihren exportierten Defender for Cloud-Daten erstellen. Mit diesen Warnungen können Sie Automatisch Aktionen auslösen, z. B. das Senden von E-Mail-Benachrichtigungen oder das Erstellen von ITSM-Tickets, wenn bestimmte Sicherheitsereignisse auftreten.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Monitor und wählen Sie es aus.

3. Wählen Sie Warnungen.

4. Wählen Sie + Erstellen>Warnungsregel aus.

   

5. Richten Sie Ihre neue Regel auf die gleiche Weise ein, wie Sie eine Protokollwarnungsregel in Azure Monitor konfigurieren würden:

   • Wählen Sie als Ressourcentypen den Log Analytics-Arbeitsbereich aus, in den Sie Sicherheitswarnungen und Empfehlungen exportiert haben.
   • Wählen Sie als Bedingung die Option Benutzerdefinierte Protokollsuche aus. Konfigurieren Sie auf der Seite, die angezeigt wird, die Abfrage, den Rückblickzeitraum und den Häufigkeitszeitraum. Geben Sie in der Abfrage "SecurityAlert " oder "SecurityRecommendation" ein.
   • Erstellen Sie optional eine Aktionsgruppe, die ausgelöst werden soll. Aktionsgruppen können das Senden einer E-Mail automatisieren, ein ITSM-Ticket erstellen, einen Webhook ausführen und vieles mehr basierend auf einem Ereignis in Ihrer Umgebung.

Nachdem Sie die Regel gespeichert haben, werden Defender für Cloud-Warnungen oder -Empfehlungen basierend auf Ihrer kontinuierlichen Exportkonfiguration und Warnregelbedingungen in Azure Monitor angezeigt. Wenn Sie eine Aktionsgruppe verknüpft haben, wird sie automatisch ausgelöst, wenn die Regelkriterien erfüllt sind.

Nächster Schritt