Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Depois de configurar a exportação contínua de alertas e recomendações de segurança do Microsoft Defender for Cloud, você pode exibir os dados no Azure Monitor. Este artigo descreve como exibir os dados no Log Analytics ou nos Hubs de Eventos do Azure e criar regras de alerta no Azure Monitor com base nesses dados.
Pré-requisitos
Antes de começar, configure a exportação contínua com um destes métodos:
- Configurar a exportação contínua no portal do Azure
- Configurar a exportação contínua com a Política do Azure
- Configure a exportação contínua com a API REST.
Exibir dados exportados no Log Analytics
Quando você exporta dados do Defender for Cloud para um espaço de trabalho do Log Analytics, duas tabelas principais são criadas automaticamente:
SecurityAlertSecurityRecommendation
Você pode consultar essas tabelas no Log Analytics para confirmar se a exportação contínua está funcionando.
Inicie sessão no portal Azure.
Pesquise e selecione espaços de trabalho do Log Analytics.
Selecione o espaço de trabalho que você configurou como seu destino de exportação contínua.
No menu do espaço de trabalho, em Geral, selecione Logs.
Na janela de consulta, insira uma das seguintes consultas e selecione Executar:
SecurityAlertou
SecurityRecommendation
Exibir dados exportados nos Hubs de Eventos do Azure
Quando você exporta dados para os Hubs de Eventos do Azure, o Defender for Cloud transmite continuamente alertas e recomendações como mensagens de eventos. Você pode exibir esses eventos exportados no portal do Azure e analisá-los ainda mais conectando um serviço downstream.
Inicie sessão no portal Azure.
Procure e selecione namespaces de Hubs de Eventos.
Selecione o namespace e o hub de eventos que você configurou para exportação contínua.
No menu do hub de eventos, selecione Métricas para exibir a atividade da mensagem ou Processar captura de dados> para revisar o conteúdo do evento armazenado no destino da captura.
Opcionalmente, use uma ferramenta conectada, como o Microsoft Sentinel, um SIEM ou um aplicativo de consumidor personalizado para ler e processar os eventos exportados.
Observação
O Defender for Cloud envia dados em formato JSON. Você pode usar a Captura dos Hubs de Eventos ou grupos de consumidores para armazenar e analisar os eventos exportados.
Criar regras de alerta no Azure Monitor (opcional)
Você pode criar alertas do Azure Monitor com base nos dados exportados do Defender for Cloud. Esses alertas permitem acionar automaticamente ações, como o envio de notificações por e-mail ou a criação de tíquetes ITSM, quando ocorrem eventos de segurança específicos.
Inicie sessão no portal Azure.
Procure e selecione Monitor.
Selecione Alertas.
Selecione + Criar>regra de alerta.
Configure sua nova regra da mesma forma que configuraria uma regra de alerta de log no Azure Monitor:
- Em Tipos de recursos, selecione o espaço de trabalho do Log Analytics para o qual você exportou alertas e recomendações de segurança.
- Em Condição, selecione Pesquisa de log personalizada. Na página exibida, configure a consulta, o período de retrospetiva e o período de frequência. Na consulta, insira SecurityAlert ou SecurityRecommendation.
- Opcionalmente, crie um grupo de ações para disparar. Os grupos de ação podem automatizar o envio de um e-mail, a criação de um tíquete ITSM, a execução de um webhook e muito mais, com base em um evento em seu ambiente.
Depois de salvar a regra, os alertas ou recomendações do Defender for Cloud aparecem no Azure Monitor com base na configuração de exportação contínua e nas condições da regra de alerta. Se você vinculou um grupo de ações, ele é acionado automaticamente quando os critérios da regra são atendidos.