適用於雲端的 Microsoft Defender 會產生詳細的安全性警示和建議。 若要分析這些警示和建議中的資訊,您可以將它們匯出至 Azure 監視器中的 Log Analytics、Azure 事件中樞,或匯出至其他安全性資訊和事件管理 (SIEM)、安全性協調流程自動回應 (SOAR) 或 IT 傳統 部署模型解決方案。 您可以在警示和建議產生時建立資料流,或定義排程以定期傳送所有新資料的快照集。
本文說明如何設定連續匯出至 Log Analytics 工作區或 Azure 中的事件中樞。
小提示
適用於雲端的 Defender 也提供選項,可將一次性手動匯出至逗號分隔值 (CSV) 檔案。 瞭解如何 下載 CSV 檔案。
先決條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
- 資源群組的安全性系統管理員或擁有者
- 目標資源的寫入權限。
- 如果您使用 Azure 原則 DeployIfNotExist 原則,您必須具有可讓您指派原則的許可權。
- 若要將資料匯出至事件中樞,您必須具有事件中樞原則的寫入許可權。
- 若要匯出至 Log Analytics 工作區:
如果它具有 SecurityCenterFree 解決方案,您必須具有工作區解決方案的最低讀取權限:
Microsoft.OperationsManagement/solutions/read。如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:
Microsoft.OperationsManagement/solutions/action。
在 Azure 入口網站中設定連續匯出
您可以在 Azure 入口網站的 Microsoft Defender for Cloud 頁面設置持續匯出,或使用 REST API,或透過提供的 Azure 原則範本批量設定。
使用 Azure 入口網站進行設定以連續匯出至 Log Analytics 或 Azure 事件中樞:
在適用於雲端的 Defender 資源功能表上,選取 [環境設定]。
選取您要設定資料匯出的訂閱。
在 [設定] 底下的資源功能表中,選取 [連續匯出]。
匯出選項隨即顯示。 每個可用的匯出目標都有一個索引標籤,可以是事件中樞或 Log Analytics 工作區。
選取您要匯出的資料類型,然後從每種類型的篩選條件中選擇 (例如,僅匯出高嚴重性警示)。
選取匯出頻率:
- 串流。 當資源的健康情況狀態更新時,會傳送評估 (如果未發生更新,則不會傳送任何資料)。
- 快照。 所選資料類型目前狀態的快照集,每個訂閱每週傳送一次。 若要識別快照資料,請尋找 IsSnapshot 欄位。
如果您的選擇包含下列其中一項建議,您可以將弱點評估結果包含在其中:
- SQL 資料庫應已解決弱點結果
- 機器上的 SQL Server 應該解決安全漏洞問題
- 容器登錄映像應該解決發現的弱點 (由 Qualys 提供)
- 機器中發現的弱點應該已經解決
- 系統更新應安裝在您的計算機上
若要將發現項目包含在這些建議中,請將 包含安全發現項目設定 為 Yes。
![此螢幕擷取畫面顯示持續匯出組態中的 [包含安全性發現結果] 切換開關。](media/continuous-export/include-security-findings-toggle.png)
在 [匯出目標] 底下,選擇您要儲存資料的位置。 資料可以儲存在不同訂用帳戶的目標中 (例如,在中央事件中樞執行個體或中央 Log Analytics 工作區)。
您也可以將資料傳送至 其他租用戶的事件中樞或 Log Analytics 工作區
選取 [儲存]。
備註
Log Analytics 僅支援大小不超過 32 KB 的記錄。 當達到資料限制時,警示會顯示訊息「 已超出資料限制」。
相關內容
在本文中,您已瞭解如何設定建議和警示的連續匯出。 您也瞭解如何將警示資料下載為 CSV 檔案。
查看相關內容:
- 瞭解如何在 Azure 監視器中 檢視匯出的資料 。
- 進一步了解 工作流程自動化範本。
- 請參閱 Azure 事件中樞文件。
- 深入了解 Microsoft Sentinel。
- 請查看 Azure Monitor 文件。
- 瞭解如何 匯出資料型別結構描述。
- 查看有關連續匯出的 常見問題 。