Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois de configurar a exportação contínua de alertas e recomendações de segurança do Microsoft Defender para Nuvem, você poderá exibir os dados no Azure Monitor. Este artigo descreve como exibir os dados no Log Analytics ou nos Hubs de Eventos do Azure e criar regras de alerta no Azure Monitor com base nesses dados.
Pré-requisitos
Antes de começar, configure a exportação contínua com um destes métodos:
- Configurar a exportação contínua no portal do Azure
- Configurar a exportação contínua com o Azure Policy
- Configurar a exportação contínua com a API REST.
Exibir dados exportados no Log Analytics
Quando você exporta dados do Defender para Nuvem para um workspace do Log Analytics, duas tabelas principais são criadas automaticamente:
SecurityAlertSecurityRecommendation
Você pode consultar essas tabelas no Log Analytics para confirmar se a exportação contínua está funcionando.
Entre no portal do Azure.
Pesquise e selecione Log Analytics workspaces.
Selecione o workspace configurado como seu destino de exportação contínua.
No menu do workspace, em Geral, selecione Logs.
Na janela de consulta, insira uma das seguintes consultas e selecione Executar:
SecurityAlertor
SecurityRecommendation
Exibir dados exportados nos Hubs de Eventos do Azure
Quando você exporta dados para os Hubs de Eventos do Azure, o Defender para Nuvem transmite continuamente alertas e recomendações como mensagens de evento. Você pode exibir esses eventos exportados no portal do Azure e analisá-los ainda mais conectando um serviço downstream.
Entre no portal do Azure.
Pesquise e selecione namespaces dos Hubs de Eventos.
Selecione o namespace e o hub de eventos que você configurou para exportação contínua.
No menu do hub de eventos, selecione Métricas para exibir a atividade de mensagem ouProcessar captura de > para examinar o conteúdo do evento armazenado no destino de captura.
Opcionalmente, use uma ferramenta conectada, como o Microsoft Sentinel, um SIEM ou um aplicativo de consumidor personalizado para ler e processar os eventos exportados.
Observação
O Defender para Nuvem envia dados no formato JSON. Você pode usar o Event Hubs Capture ou os grupos de consumidores para armazenar e analisar os eventos exportados.
Criar regras de alerta no Azure Monitor (opcional)
Você pode criar alertas do Azure Monitor com base nos dados exportados do Defender para Nuvem. Esses alertas permitem disparar ações automaticamente, como enviar notificações por email ou criar tíquetes ITSM, quando ocorrem eventos de segurança específicos.
Entre no portal do Azure.
Pesquise e selecione Monitor.
Selecione Alertas.
Selecione + Criar>Regra de alerta.
Configure a nova regra da mesma maneira que configuraria uma regra de alerta de log no Azure Monitor:
- Para Tipos de recursos, selecione o workspace do Log Analytics para o qual você exportou alertas e recomendações de segurança.
- Em Condição, selecione Pesquisa de logs personalizada. Na página que aparece, configure a consulta, o período retroativo e o período de frequência. Na consulta, insira SecurityAlert ou SecurityRecommendation.
- Opcionalmente, crie um grupo de ações para disparar. Os grupos de ações podem automatizar o envio de um email, a criação de um tíquete de ITSM, a execução de um webhook e muito mais, com base em um evento no ambiente.
Depois de salvar a regra, os alertas ou recomendações do Defender para Nuvem aparecem no Azure Monitor com base em suas condições de configuração de exportação contínua e regra de alerta. Se você vinculou um grupo de ações, ele é disparado automaticamente quando os critérios de regra são atendidos.