Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Cloud genera recomendaciones y alertas de seguridad detalladas. Para analizar la información que se encuentra en estas alertas y recomendaciones, puede exportarlas a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) o modelo de implementación clásica de TI. Puede transmitir las alertas y recomendaciones a medida que se generan o definen una programación para enviar instantáneas periódicas de todos los datos nuevos.
En este artículo se describe cómo configurar la exportación continua a un área de trabajo de Log Analytics o a un centro de eventos en Azure.
Sugerencia
Defender for Cloud también ofrece la opción de realizar una exportación manual a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo CSV.
Prerrequisitos
Necesita una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede registrarse para obtener una suscripción gratuita.
Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.
Roles y permisos necesarios:
- Administrador de seguridad o propietario del grupo de recursos
- Permisos de escritura para el recurso de destino.
- Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
- Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
- Para exportar a un área de trabajo de Log Analytics:
Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/read.Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/action.Obtenga más información sobre las soluciones de área de trabajo de Azure Monitor y Log Analytics.
Configuración de la exportación continua en Azure Portal
Puede configurar la exportación continua en las páginas de Microsoft Defender for Cloud en Azure Portal, mediante la API REST o a escala mediante plantillas de Azure Policy proporcionadas.
Para configurar una exportación continua a Log Analytics o Azure Event Hubs mediante Azure Portal:
En el menú de recursos de Defender for Cloud, seleccione Configuración del entorno.
Seleccione la suscripción para la que desea configurar la exportación de datos.
En el menú de recursos en Configuración, seleccione Exportación continua.
Aparecen las opciones de exportación. Hay una pestaña para cada destino de exportación disponible, ya sea el centro de eventos o el área de trabajo de Log Analytics.
Seleccione el tipo de datos que desea exportar y elija entre los filtros de cada tipo (por ejemplo, exportar solo alertas de gravedad alta).
Seleccione la frecuencia de exportación:
- Streaming. Las evaluaciones se envían cuando se actualiza el estado de mantenimiento de un recurso (si no se producen actualizaciones, no se envía ningún dato).
- Instantáneas. Instantánea del estado actual de los tipos de datos seleccionados que se envían una vez a la semana por suscripción. Para identificar los datos de instantáneas, busque el campo IsSnapshot.
Si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades con ellos:
- Las bases de datos SQL deben tener resueltos los resultados de vulnerabilidades
- Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
- Las imágenes del registro de contenedor deben tener los resultados de vulnerabilidad resueltos (con tecnología de Qualys)
- Las máquinas deben tener resueltos los resultados de vulnerabilidades
- Las actualizaciones del sistema deben instalarse en las máquinas
Para incluir los resultados con estas recomendaciones, establezca Incluir hallazgos de seguridad en Sí.
En Exportar destino, elija dónde desea guardar los datos. Los datos se pueden guardar en un destino de una suscripción diferente (por ejemplo, en una instancia central de Event Hubs o en un área de trabajo central de Log Analytics).
También puede enviar los datos a un centro de eventos o al área de trabajo de Log Analytics en un inquilino diferente.
Haga clic en Guardar.
Nota:
Log Analytics solo admite registros de hasta 32 KB de tamaño. Cuando se alcanza el límite de datos, una alerta muestra el mensaje Se ha superado el límite de datos.
Contenido relacionado
En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También ha aprendido a descargar los datos de alertas como un archivo CSV.
Para ver el contenido relacionado:
- Aprenda a ver los datos exportados en Azure Monitor.
- Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
- Consulte la documentación de Azure Event Hubs.
- Más información sobre Microsoft Sentinel.
- Revise la documentación de Azure Monitor.
- Obtenga información sobre cómo exportar esquemas de tipos de datos.
- Consulte las preguntas comunes sobre la exportación continua.