在 Azure 監視器中檢視匯出的資料

在您已設定適用於雲端的 Microsoft Defender 安全性警示和建議的連續匯出之後，可以在 Azure 監視器中檢視資料。 本文說明如何在 Log Analytics 或 Azure 事件中樞中檢視資料，並根據該資料在 Azure 監視器中建立警示規則。

先決條件

開始之前，請使用下列其中一種方法設定連續匯出：

• 在 Azure 入口網站中設定連續匯出
• 使用 Azure Policy 設定持續匯出
• 使用 REST API 設定連續匯出。

在 Log Analytics 中檢視匯出的資料

當您將適用於雲端的 Defender 資料匯出至 Log Analytics 工作區時，會自動建立兩個主要資料表：

• SecurityAlert
• SecurityRecommendation

您可以在 Log Analytics 中查詢這些資料表，以確認連續匯出是否正常運作。

1. 登入 Azure 入口網站。

2. 搜尋並選取 Log Analytics 工作區。

3. 選取您設定為連續匯出目標的工作區。

4. 在工作區功能表的 [一般] 底下，選取 [記錄]。

5. 在查詢視窗中，輸入下列其中一個查詢，然後選取 [執行]：

   SecurityAlert
   

   或

   SecurityRecommendation
   

在 Azure 事件中樞中檢視匯出的資料

當您將資料匯出至 Azure 事件中樞時，適用於雲端的 Defender 會持續將警示和建議串流為事件訊息。 您可以在 Azure 入口網站 中檢視這些匯出的事件，並透過連線下游服務來進一步分析它們。

1. 登入 Azure 入口網站。

2. 搜尋並選取 事件中樞命名空間。

3. 選取您設定為連續匯出的命名空間和事件中樞。

4. 在事件中樞功能表中，選取 [計量] 以檢視訊息活動，或選取 [ 處理資料>擷取] 以檢閱儲存在擷取目的地中的事件內容。

5. 或者，使用連線的工具，例如 Microsoft Sentinel、SIEM 或自訂取用者應用程式來讀取和處理匯出的事件。

在 Azure 監視器中建立警示規則 （選擇性）

您可以根據匯出的適用於雲端的 Defender 資料來建立 Azure 監視器警示。 這些警示可讓您在發生特定安全性事件時自動觸發動作，例如傳送電子郵件通知或建立 ITSM 票證。

1. 登入 Azure 入口網站。

2. 搜尋並選取 [監視]。

3. 選取 [警示] 。

4. 選取 [建立]>[警示規則]。

   

5. 設定新的規則，設定方式與您設定 Azure 監視器中的記錄警示規則方式相同：

   • 針對 [資源類型]，選取您已將安全性警示和建議匯出至其中的 Log Analytics 工作區。
   • 針對 [條件]，選取 [自訂記錄搜尋]。 在出現的頁面中，設定查詢、回顧期間和頻率週期。 在查詢中，輸入 SecurityAlert 或 SecurityRecommendation。
   • 或者，您也可以選擇建立要觸發的動作群組。 動作群組可以依據您環境中的事件，自動傳送電子郵件、建立 ITSM 票證、執行 Webhook 等等。

儲存規則之後，適用於雲端的 Defender 警示或建議會根據您的持續匯出設定和警示規則條件，出現在 Azure 監視器中。 如果您已連結動作群組，則會在符合規則條件時自動觸發。

後續步驟