Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po skonfigurowaniu ciągłego eksportu alertów i zaleceń dotyczących zabezpieczeń usługi Microsoft Defender for Cloud możesz wyświetlić dane w usłudze Azure Monitor. W tym artykule opisano sposób wyświetlania danych w usłudze Log Analytics lub w usłudze Azure Event Hubs oraz tworzenia reguł alertów w usłudze Azure Monitor na podstawie tych danych.
Wymagania wstępne
Przed rozpoczęciem skonfiguruj eksport ciągły przy użyciu jednej z następujących metod:
- Konfigurowanie eksportu ciągłego w witrynie Azure Portal
- Konfigurowanie eksportu ciągłego za pomocą usługi Azure Policy
- Konfigurowanie eksportu ciągłego przy użyciu interfejsu API REST.
Wyświetlanie wyeksportowanych danych w usłudze Log Analytics
Podczas eksportowania danych usługi Defender for Cloud do obszaru roboczego usługi Log Analytics tworzone są automatycznie dwie główne tabele:
SecurityAlertSecurityRecommendation
Możesz wykonać zapytanie dotyczące tych tabel w usłudze Log Analytics, aby potwierdzić, że eksport ciągły działa.
Zaloguj się do witryny Azure Portal.
Wyszukaj i wybierz Obszary robocze Log Analytics.
Wybierz obszar roboczy, który skonfigurowałeś jako cel dla ciągłego eksportu.
W menu obszaru roboczego w obszarze Ogólne wybierz pozycję Dzienniki.
W oknie zapytania wprowadź jedno z następujących zapytań i wybierz pozycję Uruchom:
SecurityAlertlub
SecurityRecommendation
Wyświetlanie wyeksportowanych danych w usłudze Azure Event Hubs
Podczas eksportowania danych do usługi Azure Event Hubs usługa Defender for Cloud stale przesyła strumieniowo alerty i zalecenia jako komunikaty o zdarzeniach. Możesz wyświetlić te wyeksportowane zdarzenia w witrynie Azure Portal i przeanalizować je dalej, łącząc usługę podrzędną.
Zaloguj się do witryny Azure Portal.
Wyszukaj i wybierz Przestrzenie nazw usługi Event Hubs.
Wybierz przestrzeń nazw i centrum zdarzeń skonfigurowane na potrzeby eksportu ciągłego.
W menu centrum zdarzeń wybierz Metryki, aby wyświetlić aktywność komunikatów, lub Przetwarzanie danych> przechwytywania, aby przejrzeć zawartość zdarzeń przechowywanych w miejscu docelowym przechwytywania.
Opcjonalnie użyj połączonego narzędzia, takiego jak Microsoft Sentinel, SIEM lub niestandardowa aplikacja konsumenta, aby odczytywać i przetwarzać wyeksportowane zdarzenia.
Uwaga / Notatka
Usługa Defender for Cloud wysyła dane w formacie JSON. Za pomocą funkcji przechwytywania lub grup odbiorców usługi Event Hubs można przechowywać i analizować wyeksportowane zdarzenia.
Tworzenie reguł alertów w usłudze Azure Monitor (opcjonalnie)
Alerty usługi Azure Monitor można tworzyć na podstawie wyeksportowanych danych usługi Defender for Cloud. Te powiadomienia umożliwiają automatyczne wyzwalanie akcji, takich jak wysyłanie powiadomień e-mail lub tworzenie biletów ITSM, gdy wystąpią określone zdarzenia dotyczące bezpieczeństwa.
Zaloguj się do witryny Azure Portal.
Wyszukaj i wybierz Monitor.
Wybierz pozycję Alerty.
Wybierz + Utwórz>regułę alertu.
Skonfiguruj nową regułę tak samo jak w przypadku konfigurowania reguły alertu dziennika w usłudze Azure Monitor:
- W obszarze Typy zasobów wybierz obszar roboczy usługi Log Analytics, do którego wyeksportowano alerty zabezpieczeń i zalecenia.
- W polu Warunek wybierz Niestandardowe wyszukiwanie dziennika. Na wyświetlonej stronie skonfiguruj zapytanie, okres wyszukiwania i okres częstotliwości. W zapytaniu wprowadź SecurityAlert lub SecurityRecommendation.
- Opcjonalnie utwórz grupę akcji do uruchomienia. Grupy akcji mogą zautomatyzować wysyłanie wiadomości e-mail, tworzenie zgłoszenia ITSM, uruchamianie webhooka i nie tylko na podstawie zdarzenia w środowisku.
Po zapisania reguły, alerty lub zalecenia usługi Defender for Cloud są wyświetlane w usłudze Azure Monitor na podstawie konfiguracji ciągłego eksportu oraz warunków reguły alertu. Jeśli grupa działań została połączona, jest ona wyzwalana automatycznie po spełnieniu warunków reguły.