Usar conexões de dados
Este artigo explica o recurso de conexões de dados no Gerenciamento da Superfície Externa de Ataque do Microsoft Defender (GSAE do Defender).
Visão geral
O GSAE do Defender agora oferece conexões de dados para ajudar você a integrar perfeitamente os dados da sua superfície de ataque a outras soluções da Microsoft para complementar os fluxos de trabalho existentes com novos insights. Você precisa levar os dados do GSAE do Defender para dentro de outras ferramentas de segurança que você usa para fins de correção, de modo a fazer o melhor uso dos dados da sua superfície de ataque.
O conector de dados envia dados de ativos do GSAE do Defender para duas plataformas diferentes: o Log Analytics e o Azure Data Explorer. Você precisa exportar os dados do GSAE do Defender para uma dessas duas ferramentas. As conexões de dados estão sujeitas ao modelo de preços de cada respectiva plataforma.
O Log Analytics fornece recursos de gerenciamento de eventos e informações de segurança e de orquestração, automação e resposta de segurança. As informações de ativos ou de insights do GSAE do Defender podem ser usadas no Log Analytics para enriquecer os fluxos de trabalho existentes com outros dados de segurança. Essas informações podem complementar as informações do firewall e da configuração, a inteligência contra ameaças e os dados de conformidade para fornecer visibilidade da sua infraestrutura voltada para o exterior na internet pública.
Você poderá:
- Criar ou enriquecer incidentes de segurança.
- Criar guias estratégicos de investigação.
- Treinar algoritmos de aprendizado de máquina.
- Disparar ações de correção.
O Azure Data Explorer é uma plataforma de análise de Big Data que ajuda você a analisar grandes volumes de dados de várias fontes, com recursos de personalização flexíveis. Os dados de ativos ou de insights do GSAE do Defender podem ser integrados para usar recursos de visualização, consulta, ingestão e gerenciamento dentro da plataforma.
Não importa se você está criando relatórios personalizados com o Power BI ou fazendo uma busca focada de ativos que correspondam a consultas KQL precisas: a exportação de dados do GSAE do Defender para o Azure Data Explorer permite que você use os dados da sua superfície de ataque com um potencial de personalização infinito.
Opções de conteúdo de dados
As conexões de dados do GSAE do Defender oferecem a você a capacidade de integrar dois tipos diferentes de dados de superfície de ataque à ferramenta de sua escolha. Você pode optar por migrar dados de ativos, insights de superfície de ataque ou esses dois tipos de dados. Os dados de ativos fornecem detalhes granulares sobre seu inventário inteiro. Os insights de superfície de ataque fornecem insights imediatamente acionáveis baseados nos painéis de controle do GSAE do Defender.
Para apresentar com precisão a infraestrutura que mais importa para a sua organização, as duas opções de conteúdo incluem apenas ativos no estado de inventário Aprovado.
Dados de ativos: a opção Dados de Ativos envia dados sobre todos os ativos do seu inventário para a ferramenta de sua escolha. Essa opção é a melhor para casos de uso em que os metadados granulares subjacentes são fundamentais para a integração do seu GSAE do Defender. Exemplos incluem o Microsoft Sentinel ou os relatórios personalizados no Azure Data Explorer. Você pode exportar contexto de alto nível de todos os ativos do inventário e detalhes granulares específicos para o tipo de ativo específico.
Essa opção não fornece nenhum insight predeterminado sobre os ativos. Em vez disso, oferece uma ampla quantidade de dados para que você possa encontrar os insights personalizados que mais lhe interessam.
Insights da superfície de ataque: os insights de superfície de ataque fornecem um conjunto acionável de resultados baseados nos principais insights fornecidos por meio dos painéis de controle do GSAE do Defender. Essa opção fornece metadados menos granulares de cada ativo. Categoriza os ativos com base nos insights correspondentes e fornece o contexto de alto nível necessário para investigar mais. É a opção ideal se você quiser integrar esses insights predeterminados de fluxos de trabalho de relatórios personalizados aos dados de outras ferramentas.
Visões gerais da configuração
Essa seção apresenta informações gerais sobre configuração.
Acessar conexões de dados
No painel mais à esquerda do painel de recursos do seu GSAE do Defender, em Gerenciar, selecione Conexões de Dados. Essa página mostra os conectores de dados tanto do Log Analytics quanto do Azure Data Explorer. Lista todas as conexões atuais e fornece a opção de adicionar, editar ou remover conexões.
Pré-requisitos da conexão
Para criar uma conexão de dados com sucesso, primeiro você precisa se certificar de ter executado as etapas necessárias para conceder a permissão do GSAE do Defender à ferramenta de sua escolha. Esse processo permite que o aplicativo ingira seus dados exportados. Também fornece as credenciais de autenticação necessárias para configurar a conexão.
Observação
As conexões de dados do GSAE do Defender não dão suporte a links ou redes privadas.
Configurar permissões do Log Analytics
Abra o workspace do Log Analytics que irá ingerir os dados do seu GSAE do Defender ou crie um novo workspace.
No painel de navegação mais à esquerda, em Configurações, selecione Agentes.
Expanda a seção Instruções do agente do Log Analytics para ver a ID e a chave primária do seu workspace. Esses valores são usados para configurar sua conexão de dados.
O uso dessa conexão de dados está sujeito à estrutura de preços do Log Analytics. Para saber mais, confira Preço do Azure Monitor.
Configurar permissões do Azure Data Explorer
Certifique-se de que a entidade de serviço da API do GSAE do Defender tenha acesso às funções corretas no banco de dados para o qual você quer exportar os dados da sua superfície de ataque. Primeiro, certifique-se de que seu recurso do GSAE do Defender foi criado no locatário apropriado, porque essa ação provisiona a entidade de segurança da API do EASM.
Abra o cluster do Azure Data Explorer que irá ingerir os dados do seu GSAE do Defender ou crie um novo cluster.
No painel mais à esquerda, em Dados, selecione Bancos de Dados.
Selecione Adicionar Banco de Dados para criar um banco de dados para alojar os dados do seu GSAE do Defender.
Dê um nome ao seu banco de dados, configure os períodos de retenção e armazenamento em cache e selecione Criar.
Após seu banco de dados do GSAE do Defender ter sido criado, selecione o nome do banco de dados para abrir a página de detalhes. No painel mais à esquerda, em Visão geral, selecione Permissões. Para exportar dados do GSAE do Defender com sucesso para o Azure Data Explorer, você precisa criar duas novas permissões para a API do EASM: usuário e ingestor.
Selecione Adicionar e crie um usuário. Procure API do EASM, selecione o valor e escolha Selecionar.
Selecione Adicionar para criar um ingestor. Siga as mesmas etapas descritas acima para adicionar a API do EASM como um ingestor.
Seu banco de dados agora está pronto para se conectar ao GSAE do Defender. Você precisa do nome do cluster, do nome do banco de dados e da região para configurar sua conexão de dados.
Adicionar uma conexão de dados
Você pode conectar os dados do seu GSAE do Defender ao Log Analytics ou ao Azure Data Explorer. Para fazer isso, selecione Adicionar conexão para a ferramenta apropriada na página Conexões de Dados.
Um painel de configuração será aberto no lado direito da página Conexões de Dados. Os campos a seguir são obrigatórios para cada respectiva ferramenta.
Log Analytics
Nome: insira um nome para essa conexão de dados.
ID do workspace: insira a ID do workspace da instância do Log Analytics para a qual você quer exportar dados do GSAE do Defender.
Chave de API: insira a chave de API da instância do Log Analytics.
Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou esses dois conjuntos de dados.
Frequência: selecione a frequência que a conexão do EASM do Defender usará para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diária, semanal e mensal.
Azure Data Explorer
Nome: insira um nome para essa conexão de dados.
Nome do cluster: insira o nome do cluster do Azure Data Explorer para o qual você quer exportar os dados do GSAE do Defender.
Região: insira a região do cluster do Azure Data Explorer.
Nome do banco de dados: insira o nome do banco de dados de sua escolha.
Conteúdo: selecione para integrar dados de ativos, insights de superfície de ataque ou esses dois conjuntos de dados.
Frequência: selecione a frequência que a conexão do EASM do Defender usará para enviar dados atualizados para a ferramenta de sua escolha. As opções disponíveis são diária, semanal e mensal.
Após todos os campos terem sido configurados, selecione Adicionar para criar a conexão de dados. Nesta altura, a página Conexões de Dados mostra um banner indicando que o recurso foi criado com sucesso. Em 30 minutos, os dados começarão a ser preenchidos. Após terem sido criadas, as conexões são listadas na ferramenta aplicável na página principal de Conexões de Dados.
Editar ou excluir uma conexão de dados
Você pode editar ou excluir uma conexão de dados. Por exemplo, você poderá perceber que uma conexão está listada como Desconectada. Nesse caso, você precisará reinserir os detalhes da configuração para corrigir o problema.
Para editar ou excluir uma conexão de dados:
Selecione a conexão apropriada na lista da página principal de Conexões de Dados.
Uma página será aberta fornecendo mais dados sobre a conexão, mostrando as configurações que você escolheu quando criou a conexão e quaisquer mensagens de erro. Você também verá os seguintes dados:
Recorrente em: o dia da semana ou do mês em que o GSAE do Defender envia dados atualizados para a ferramenta conectada.
Criada: a data e hora em que a conexão de dados foi criada.
Atualizada: a data e hora em que a conexão de dados foi atualizada pela última vez.
Nessa página, você pode reconectar, editar ou excluir sua conexão de dados.
- Reconectar: tenta validar a conexão de dados sem nenhuma alteração na configuração. Essa é a melhor opção se você validou as credenciais de autenticação usadas para a conexão de dados.
- Editar: permite alterar a configuração da conexão de dados.
- Excluir: exclui a conexão de dados.