Freigeben über

Verwenden von Datenverbindungen

  • Artikel

In diesem Artikel wird das Datenverbindungsfeature in Microsoft Defender External Attack Surface Management (Defender EASM) erläutert.

Übersicht

Defender EASM bietet jetzt Datenverbindungen, mit denen Sie Ihre Angriffsflächendaten nahtlos mit anderen Microsoft-Lösungen integrieren können, um vorhandene Workflows mit neuen Erkenntnissen zu ergänzen. Sie müssen Daten von Defender EASM in die anderen Sicherheitstools abrufen, die Sie für Wartungszwecke verwenden, um ihre Angriffsflächendaten optimal zu nutzen.

Der Datenconnector sendet Defender EASM-Ressourcendaten an zwei verschiedene Plattformen: Log Analytics und Azure Data Explorer. Sie müssen Defender EASM-Daten in beide Tools exportieren. Datenverbindungen unterliegen dem Preismodell der jeweiligen Plattform.

Log Analytics bietet Security Information & Event Management sowie Funktionen für die Sicherheitsorchestrierung, -automatisierung und -reaktion. Defender EASM-Ressourceninformationen oder -Erkenntnisse können in Log Analytics verwendet werden, um vorhandene Workflows mit anderen Sicherheitsdaten zu verbessern. Diese Informationen können Firewall- und Konfigurationsinformationen, Threat Intelligence und Compliancedaten unterstützen, um Ihnen Einblicke in Ihre externe Infrastruktur im offenen Internet zu bieten.

Sie können Folgendes ausführen:

  • Erstellen oder erweitern von Sicherheitsvorfällen
  • Erstellen von Untersuchungsplaybooks
  • Trainieren neuer Algorithmen für maschinelles Lernen
  • Auslösen von Wartungsaktionen

Azure Data Explorer ist eine Big Data-Analyseplattform, mit der Sie große Datenmengen aus verschiedenen Quellen mit flexiblen Anpassungsfunktionen analysieren können. Defender EASM-Ressourcen- und Erkenntnisdaten können integriert werden, um Visualisierungs-, Abfrage-, Erfassungs- und Verwaltungsfunktionen innerhalb der Plattform zu verwenden.

Das Exportieren von Defender EASM-Daten in Azure Data Explorer ermöglicht es Ihnen, ein umfangreiches Anpassungspotenzial Ihrer Angriffsflächendaten zu nutzen – unabhängig davon, ob Sie benutzerdefinierte Berichte mit Power BI erstellen oder nach Ressourcen suchen, die genauen KQL-Abfragen entsprechen.

Dateninhaltsoptionen

Defender EASM-Datenverbindungen bieten Ihnen die Möglichkeit, zwei verschiedene Arten von Angriffsflächendaten mit dem Tool Ihrer Wahl zu integrieren. Sie können Ressourcendaten, Angriffsflächenerkenntnisse oder beide Datentypen migrieren. Ressourcendaten enthalten detaillierte Informationen zu Ihrem gesamten Bestand. Angriffsflächenerkenntnisse bieten basierend auf Defender EASM-Dashboards sofort umsetzbare Einblicke.

Um die für Ihre Organisation wichtigste Infrastruktur genau darzustellen, enthalten beide Inhaltsoptionen nur Ressourcen im Bestandsstatus Genehmigt.

Ressourcendaten: Mit der Option „Ressourcendaten“ werden Daten zu allen Ihren Bestandsressourcen an das Tool Ihrer Wahl gesendet. Diese Option eignet sich am besten für Anwendungsfälle, in denen die detaillierten zugrunde liegenden Metadaten für Ihre Defender EASM-Integration von wichtig sind. Zu den Beispielen gehören Microsoft Sentinel oder benutzerdefinierte Berichte in Azure Data Explorer. Sie können einen allgemeinen Kontext für jede Ressource im Inventar sowie detaillierte, für den jeweiligen Bestandstyp spezifische Informationen exportieren.

Diese Option bietet keine vordefinierten Erkenntnisse zu den Ressourcen. Stattdessen bietet sie umfangreiche Daten, damit Sie die für Sie wichtigsten angepassten Erkenntnisse finden können.

Angriffsflächenerkenntnisse: Angriffsflächenerkenntnisse bieten umsetzbare Ergebnisse basierend auf den wichtigsten Ergebnissen aus Dashboards in Defender EASM. Diese Option bietet weniger detaillierte Metadaten für jede Ressource. Sie kategorisiert Ressourcen basierend auf den entsprechenden Erkenntnissen und stellt den allgemeinen Kontext bereit, der zur weiteren Untersuchung erforderlich ist. Diese Option ist ideal, wenn Sie diese vordefinierten Erkenntnisse mit benutzerdefinierten Berichterstellungsworkflows mit Daten aus anderen Tools integrieren möchten.

Konfigurationsübersicht

Dieser Abschnitt enthält allgemeine Informationen zur Konfiguration.

Zugreifen auf Datenverbindungen

Wählen Sie im Bereich „Defender EASM-Ressource“ ganz links unter Verwalten die Option Datenverbindungen aus. Auf dieser Seite werden die Datenconnectors für Log Analytics und Azure Data Explorer angezeigt. Es werden alle aktuellen Verbindungen aufgelistet, und Sie haben die Möglichkeit, Verbindungen hinzuzufügen, zu bearbeiten oder zu entfernen.

Screenshot: Seite „Datenverbindungen“

Verbindungsvoraussetzungen

Um eine Datenverbindung herzustellen, müssen Sie zunächst sicherstellen, dass Sie die erforderlichen Schritte abgeschlossen haben, um Defender EASM Berechtigungen für das Tool Ihrer Wahl zu gewähren. Dadurch kann die Anwendung Ihre exportierten Daten erfassen. Außerdem werden die Anmeldeinformationen für die Authentifizierung bereitgestellt, die zum Konfigurieren der Verbindung erforderlich sind.

Hinweis

Defender EASM-Datenverbindungen unterstützen keine privaten Verbindungen oder Netzwerke.

Konfigurieren von Log Analytics-Berechtigungen

  1. Öffnen Sie den Log Analytics-Arbeitsbereich, der Ihre Defender EASM-Daten erfasst, oder erstellen Sie einen neuen Arbeitsbereich.

  2. Wählen Sie im ganz linken Bereich unter Einstellungen die Option Agents aus.

    Screenshot: Log Analytics-Agents

  3. Erweitern Sie den Abschnitt Log Analytics-Agent-Anweisungen, um Ihre Arbeitsbereichs-ID und Ihren Primärschlüssel anzuzeigen. Diese Werte werden verwendet, um Ihre Datenverbindung herzustellen.

Das Verwenden dieser Datenverbindung unterliegt der Preisstruktur von Log Analytics. Weitere Informationen finden Sie unter Azure Monitor-Preise.

Konfigurieren von Azure Data Explorer-Berechtigungen

Stellen Sie sicher, dass der API-Dienstprinzipal von Defender EASM Zugriff auf die richtigen Rollen in der Datenbank hat, in die Sie Ihre Angriffsflächendaten exportieren möchten. Gewährleisten Sie zunächst, dass Ihre Defender EASM-Ressource im entsprechenden Mandanten erstellt wurde, da mit dieser Aktion der API-Prinzipal von EASM bereitgestellt wird.

  1. Öffnen Sie den Azure Data Explorer-Cluster, der Ihre Defender EASM-Daten erfasst, oder erstellen Sie einen neuen Cluster.

  2. Wählen Sie im Bereich ganz links unter Daten die Option Datenbanken aus.

  3. Wählen Sie Datenbank hinzufügen aus, um eine Datenbank zu erstellen, die Ihre Defender EASM-Daten enthält.

    Screenshot: Option „Datenbank hinzufügen“ in Azure Data Explorer

  4. Benennen Sie Ihre Datenbank, konfigurieren Sie Aufbewahrungs- und Cachezeiträume, und wählen Sie Erstellen aus.

    Screenshot: Erstellen einer neuen Datenbank

  5. Nachdem Ihre Defender EASM-Datenbank erstellt wurde, wählen Sie den Datenbanknamen aus, um die Detailseite zu öffnen. Wählen Sie im Bereich ganz links unter Übersicht die Option Berechtigungen aus. Um Defender EASM-Daten in Azure Data Explorer zu exportieren, müssen Sie zwei neue Berechtigungen für die EASM-API erstellen: Benutzer- und Ingestor.

    Screenshot: Option „Berechtigungen“ in Azure Data Explorer

  6. Wählen Sie Hinzufügen aus, und erstellen Sie einen Benutzer. Suchen Sie nach der EASM-API, wählen Sie den Wert aus, und klicken Sie auf Auswählen.

  7. Wählen Sie Hinzufügen aus, um einen Ingestor zu erstellen. Führen Sie die zuvor beschriebenen Schritte aus, um die EASM-API als Ingestor hinzuzufügen.

  8. Ihre Datenbank kann jetzt eine Verbindung mit Defender EASM herstellen. Sie benötigen den Clusternamen, den Datenbanknamen und die Region, wenn Sie die Datenverbindung konfigurieren.

Eine Datenverbindung hinzufügen

Sie können Ihre Defender EASM-Daten entweder mit Log Analytics oder Azure Data Explorer verbinden. Wählen Sie dazu Verbindung hinzufügen für das entsprechende Tool auf der Seite Datenverbindungen aus.

Rechts auf der Seite Datenverbindungen wird ein Konfigurationsbereich geöffnet. Die folgenden Felder sind für alle Tools erforderlich.

Log Analytics

  • Name: Geben Sie einen Namen für diese Datenverbindung ein.

  • Arbeitsbereichs-ID: Geben Sie die Arbeitsbereichs-ID für die Log Analytics-Instanz ein, in die Sie Defender EASM-Daten exportieren möchten.

  • API-Schlüssel: Geben Sie den API-Schlüssel für die Log Analytics-Instanz ein.

  • Inhalt: Wählen Sie diese Option aus, um Ressourcendaten, Angriffsflächenerkenntnisse oder beide Datasets zu integrieren.

  • Häufigkeit: Wählen Sie die Häufigkeit aus, mit der die Defender EASM-Verbindung aktualisierte Daten an das Tool Ihrer Wahl sendet. Die verfügbaren Optionen lauten täglich, wöchentlich und monatlich.

    Screenshot: Bildschirm „Datenverbindung hinzufügen“ für Log Analytics

Azure-Daten-Explorer

  • Name: Geben Sie einen Namen für diese Datenverbindung ein.

  • Clustername: Geben Sie den Namen des Azure Data Explorer-Clusters ein, in den Sie Defender EASM-Daten exportieren möchten.

  • Region: Geben Sie die Region des Azure Data Explorer-Clusters ein.

  • Datenbankname: Geben Sie den Namen der gewünschten Datenbank ein.

  • Inhalt: Wählen Sie diese Option aus, um Ressourcendaten, Angriffsflächenerkenntnisse oder beide Datasets zu integrieren.

  • Häufigkeit: Wählen Sie die Häufigkeit aus, mit der die Defender EASM-Verbindung aktualisierte Daten an das Tool Ihrer Wahl sendet. Die verfügbaren Optionen lauten täglich, wöchentlich und monatlich.

    Screenshot: Bildschirm „Datenverbindung hinzufügen“ für Azure Data Explorer

    Nachdem alle Felder konfiguriert wurden, wählen Sie Hinzufügen aus, um die Datenverbindung zu erstellen. An diesem Punkt wird auf der Seite Datenverbindungen ein Banner angezeigt, das angibt, dass die Ressource erstellt wurde. Nach 30 Minuten beginnt das Auffüllen der Daten. Nachdem Verbindungen hergestellt wurden, werden sie unter dem entsprechenden Tool auf der Hauptseite Datenverbindungen aufgeführt.

Bearbeiten oder Löschen einer Datenverbindung

Sie können eine Datenverbindung bearbeiten oder löschen. Beispielsweise kann eine Verbindung als Getrennt aufgeführt sein. In diesem Fall müssen Sie die Konfigurationsdetails erneut eingeben, um das Problem zu beheben.

So bearbeiten oder löschen Sie eine Datenverbindung:

  1. Wählen Sie die entsprechende Verbindung aus der Liste auf der Hauptseite Datenverbindungen aus.

    Screenshot: getrennte Datenverbindungen

  2. Eine Seite wird geöffnet, auf der weitere Daten zur Verbindung bereitgestellt werden. Hier sehen Sie die Konfigurationen, die Sie beim Erstellen der Verbindung ausgewählt haben, sowie alle Fehlermeldungen. Außerdem werden die folgenden Daten angezeigt:

    • Wiederholt am: Der Wochen- oder Monatstag, an den Defender EASM aktualisierte Daten an das verbundene Tool sendet

    • Erstellt: das Datum und die Uhrzeit, zu dem die Datenverbindung erstellt wurde

    • Aktualisiert: das Datum und die Uhrzeit, zu dem die Datenverbindung zuletzt aktualisiert wurde

      Screenshot: Testverbindungen

  3. Auf dieser Seite können Sie Ihre Datenverbindung erneut verbinden, bearbeiten oder löschen.

    • Erneut verbinden: versucht, die Datenverbindung ohne Änderungen an der Konfiguration zu überprüfen. Diese Option ist am besten geeignet, wenn Sie die für die Datenverbindung verwendeten Authentifizierungsanmeldeinformationen überprüft haben.
    • Bearbeiten: ermöglicht es Ihnen, die Konfiguration für die Datenverbindung zu ändern
    • Löschen: löscht die Datenverbindung