Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de configurar la exportación continua de alertas y recomendaciones de seguridad de Microsoft Defender for Cloud, puede ver los datos en Azure Monitor. En este artículo se describe cómo ver los datos en Log Analytics o en Azure Event Hubs y crear reglas de alerta en Azure Monitor basadas en esos datos.
Prerrequisitos
Antes de comenzar, configure la exportación continua con uno de estos métodos:
- Configuración de la exportación continua en Azure Portal
- Configuración de la exportación continua con Azure Policy
- Configure la exportación continua con la API REST.
Visualización de datos exportados en Log Analytics
Al exportar datos de Defender for Cloud a un área de trabajo de Log Analytics, se crean automáticamente dos tablas principales:
SecurityAlertSecurityRecommendation
Puede consultar estas tablas en Log Analytics para confirmar que la exportación continua funciona.
Inicie sesión en Azure Portal.
Busque y seleccione Áreas de trabajo de Log Analytics.
Seleccione el área de trabajo que configuró como destino de exportación continua.
En el menú del área de trabajo, en General, seleccione Registros.
En la ventana de consulta, escriba una de las siguientes consultas y seleccione Ejecutar:
SecurityAlerto
SecurityRecommendation
Visualización de datos exportados en Azure Event Hubs
Al exportar datos a Azure Event Hubs, Defender for Cloud transmite continuamente alertas y recomendaciones como mensajes de eventos. Puede ver estos eventos exportados en Azure Portal y analizarlos aún más conectando un servicio de bajada.
Inicie sesión en Azure Portal.
Busque y seleccione Namespaces de Event Hubs.
Seleccione el espacio de nombres y el centro de eventos que configuró para la exportación continua.
En el menú del centro de eventos, seleccione Métricas para ver la actividad del mensaje o Procesar captura de datos>para revisar el contenido del evento almacenado en el destino de la captura.
Opcionalmente, use una herramienta conectada como Microsoft Sentinel, un SIEM o una aplicación de consumidor personalizada para leer y procesar los eventos exportados.
Nota:
Defender for Cloud envía datos en formato JSON. Puede usar Event Hubs Capture o grupos de consumidores para almacenar y analizar los eventos exportados.
Creación de reglas de alertas en Azure Monitor (opcional)
Puede crear alertas de Azure Monitor basadas en los datos exportados de Defender for Cloud. Estas alertas le permiten desencadenar automáticamente acciones, como enviar notificaciones por correo electrónico o crear tickets ITSM, cuando se producen eventos de seguridad específicos.
Inicie sesión en Azure Portal.
Busque y seleccione Monitor.
Seleccione Alertas.
Seleccione + Crear>Regla de alerta.
Configure la nueva regla de la misma manera que configuraría una regla de alerta de registro en Azure Monitor:
- En Tipos de recursos, seleccione el área de trabajo de Log Analytics a la que exportó las alertas y recomendaciones de seguridad.
- En Condición, seleccione Custom log search (Búsqueda de registros personalizada). En la página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia. En la consulta, escriba SecurityAlert o SecurityRecommendation.
- Opcionalmente, cree un grupo de acciones para desencadenar. Los grupos de acciones pueden automatizar el envío de un correo electrónico, la creación de un vale de ITSM, la ejecución de un webhook y mucho más, en función de un evento en su entorno.
Después de guardar la regla, las alertas o recomendaciones de Defender for Cloud aparecen en Azure Monitor en función de la configuración de exportación continua y las condiciones de las reglas de alerta. Si ha vinculado un grupo de acciones, se desencadena automáticamente cuando se cumplen los criterios de la regla.