在 Azure 監視器中檢視匯出的資料

在您已設定適用於雲端的 Microsoft Defender 安全性警示和建議的連續匯出之後，可以在 Azure 監視器中檢視資料。 本文說明如何檢視 Log Analytics 或 Azure 事件中樞中的資料。

必要條件

• 在 Azure 入口網站中設定連續匯出，或使用 Azure 原則設定連續匯出，或使用 REST API 設定連續匯出。

在 Azure 監視器中檢視匯出的警示和建議

Azure 監視器提供各種 Azure 警示的統一警示體驗，包括診斷記錄、計量警示，以及基於 Log Analytics 工作區查詢的自訂警示。

若要在 Azure 監視器中檢視來自適用於雲端的 Defender 的警示和建議，請依據 Log Analytics 查詢設定警示規則 (記錄警示規則)。

若要設定警示規則：

1. 登入 Azure 入口網站。

2. 搜尋並選取 [監視]。

3. 選取 [警示] 。

4. 選取 [新增警示規則]。

   

5. 設定新的規則，設定方式與您設定 Azure 監視器中的記錄警示規則方式相同：

   • 針對 [資源]，選取您已將安全性警示和建議匯出至其中的 Log Analytics 工作區。

   • 針對 [條件]，選取 [自訂記錄搜尋]。 在出現的頁面中，設定查詢、回顧期間和頻率週期。 在搜尋查詢中，您可以輸入 SecurityAlert 或 SecurityRecommendation，來查詢適用於雲端的 Defender 在您啟用連續匯出至 Log Analytics 功能時連續匯出的資料類型。

   • 或者，您也可以選擇建立要觸發的動作群組。 動作群組可以依據您環境中的事件，自動傳送電子郵件、建立 ITSM 票證、執行 Webhook 等等。

在 Azure 監視器警示中，會顯示適用於雲端的 Defender 警示或建議 (取決於您設定的連續匯出規則和您在 Azure 監視器警示規則中定義的條件)，同時自動觸發動作群組 (如果提供的話)。

後續步驟