Exportieren von Warnungen und Empfehlungen mithilfe des fortlaufenden Exports
Microsoft Defender for Cloud bietet fortlaufenden Export von Sicherheitsdaten. Mit diesem Feature können Sie Sicherheitsdaten in Log Analytics in Azure Monitor, in Azure Event Hubs oder in eine andere Lösung für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) oder ein klassisches IT-Bereitstellungsmodell streamen. Sie können die Daten mithilfe von Azure Monitor-Protokollen und anderen Azure Monitor-Features analysieren und visualisieren.
Wenn Sie den fortlaufenden Export einrichten, können Sie die zu exportierenden Informationen und deren Ziel vollständig anpassen. Sie können z. B. die folgenden Konfigurationen vornehmen:
- Alle Warnungen mit einem hohen Schweregrad werden an einen Azure-Event Hub gesendet.
- Alle Ergebnisse mit einem mittleren oder höheren Schweregrad aus Scans für die Sicherheitsrisikobewertung Ihrer Computer, die auf SQL Server ausgeführt werden, werden an einen bestimmten Log Analytics-Arbeitsbereich gesendet.
- Bestimmte Empfehlungen werden bei der Generierung an einen Event Hub oder einen Log Analytics-Arbeitsbereich gesendet.
- Der Sicherheitsscore für ein Abonnement wird immer dann an einen Log Analytics-Arbeitsbereich gesendet, wenn sich der Score für eine Kontrolle um 0,01 oder mehr ändert.
Sie können den fortlaufenden Export verwenden, um die folgenden Datentypen immer dann zu exportieren, wenn sie sich ändern:
- Sicherheitsempfehlungen.
- Empfehlungsschweregrad.
- Sicherheitsergebnisse.
- Sicherheitsbewertung.
- Steuerelemente.
- Sicherheitswarnungen.
- Einhaltung gesetzlicher Bestimmungen.
- Angriffspfade
Empfehlungsschweregrad, Sicherheitsergebnisse und Steuerelemente sind Unterkategorien, die zu einer übergeordneten Kategorie gehören. Zum Beispiel:
- Die Empfehlungen Systemupdates sollten auf Ihren Computern installiert werden (unterstützt von Update Center) und Systemupdates sollten auf Ihren Computern installiert werden haben jeweils eine Unterempfehlung pro ausstehendem Systemupdate.
- Die Empfehlung Sicherheitsrisiken auf den Computern sollten behoben werden verfügt über eine Unterempfehlung für jedes Sicherheitsrisiko, das der Sicherheitsrisikoscanner identifiziert.
Hinweis
Wenn Sie einen fortlaufenden Export mithilfe der REST-API konfigurieren, schließen Sie immer das übergeordnete Element in die Ergebnisse ein.
Exportieren von Daten zu einem Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten
Sie können keine Daten konfigurieren, die in einen Log Analytics-Arbeitsbereich in einem anderen Mandanten exportiert werden sollen, wenn Sie Azure Policy verwenden, um die Konfiguration zuzuweisen. Dieser Prozess funktioniert nur, wenn Sie die REST-API verwenden, um die Konfiguration zuzuweisen, und die Konfiguration wird im Azure-Portal nicht unterstützt (da ein mandantenfähiger Kontext erforderlich ist). Azure Lighthouse löst dieses Problem nicht mit Azure Policy auf, aber Sie können Azure Lighthouse als Authentifizierungsmethode verwenden.
Wenn Sie Daten in einem Mandanten sammeln, können Sie diese von einem zentralen Ort aus analysieren.
So exportieren Sie Daten zu einem Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten:
Laden Sie in dem Mandanten mit dem Event Hub oder Log Analytics-Arbeitsbereich eine*n Benutzer*in aus dem Mandanten ein, der die Konfiguration des fortlaufenden Exports hostet, oder konfigurieren Sie Azure Lighthouse für den Quell- und Zielmandanten.
Wenn Sie den Business-to-Business (B2B)-Gastbenutzerzugriff in Microsoft Entra ID verwenden, stellen Sie sicher, dass Benutzer*innen die Einladung annehmen, als Gast auf den Mandanten zuzugreifen.
Wenn Sie einen Log Analytics-Arbeitsbereich verwenden, weisen Sie Benutzer*innen im Arbeitsbereichsmandanten eine dieser Rollen zu: Eigentümer, Mitwirkender, Log Analytics-Mitwirkender, Sentinel-Mitwirkender oder Monitoring-Mitwirkender.
Erstellen und übermitteln Sie die Anforderung an die Azure REST API, um die erforderlichen Ressourcen zu konfigurieren. Sie müssen die Bearertoken sowohl im Kontext des lokalen Mandanten (Arbeitsbereichs) als auch des Remote-Mandanten (fortlaufender Export) verwalten.
Wenn Sie Daten von Microsoft Defender für Cloud in einem Log Analytics-Arbeitsbereich analysieren oder Azure-Warnungen zusammen mit Defender für Cloud-Warnungen verwenden möchten, richten Sie einen fortlaufenden Export für Ihren Log Analytics-Arbeitsbereich ein.
Sicherheitswarnungen und -empfehlungen werden in den Tabellen SecurityAlert und SecurityRecommendation gespeichert.
Der Name der Log Analytics-Lösung, welche diese Tabellen enthält, hängt davon ab, ob Sie die erweiterten Sicherheitsfeatures aktiviert haben: Sicherheit (die Lösung für „Sicherheit und Überwachung“) oder SecurityCenterFree.
Tipp
Um die Daten auf dem Zielarbeitsbereich zu sehen, müssen Sie eine dieser Lösungen aktivieren: „Sicherheit und Überwachung“ oder SecurityCenterFree.
Um die Ereignisschemas der exportierten Datentypen anzuzeigen, lesen Sie Log Analytics-Tabellenschemas.