Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Cloud generiert detaillierte Sicherheitswarnungen und Empfehlungen. Um die Informationen zu analysieren, die sich in diesen Warnungen und Empfehlungen befinden, können Sie sie in Log Analytics in Azure Monitor, in Azure Event Hubs oder in eine andere SieM-Sicherheitsinformations- und Ereignisverwaltung (Security Orchestration Automated Response, SOAR) oder in eine klassische IT-Bereitstellungsmodelllösung exportieren. Sie können die Warnungen und Empfehlungen während der Erstellung streamen oder einen Zeitplan zum Senden regelmäßiger Momentaufnahmen aller neuen Daten definieren.
In diesem Artikel wird beschrieben, wie Sie einen kontinuierlichen Export in einen Log Analytics-Arbeitsbereich oder in einen Event Hub in Azure einrichten.
Tipp
Defender für Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei (Durch Trennzeichen getrennte Werte) auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Erforderliche Rollen und Berechtigungen:
- Sicherheitsadministrator oder Eigentümer für die Ressourcengruppe
- Schreibberechtigungen für die Zielressource.
- Wenn Sie die Azure Policy DeployIfNotExist-Richtlinien verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
- Um Daten in Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
- So exportieren Sie in einen Log Analytics-Arbeitsbereich:
Wenn sie über die SecurityCenterFree-Lösung verfügt, benötigen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung:
Microsoft.OperationsManagement/solutions/readWenn sie nicht über die SecurityCenterFree-Lösung verfügt, benötigen Sie Schreibberechtigungen für die Arbeitsbereichslösung:
Microsoft.OperationsManagement/solutions/action.Erfahren Sie mehr über Azure Monitor- und Log Analytics-Arbeitsbereichslösungen.
Einrichten eines kontinuierlichen Exports im Azure-Portal
Sie können den kontinuierlichen Export auf den Microsoft Defender für Cloud-Seiten im Azure-Portal einrichten, indem Sie die REST-API verwenden, oder Sie können dies in größerem Umfang mithilfe der bereitgestellten Azure-Richtlinienvorlagen erreichen.
So richten Sie einen kontinuierlichen Export nach Log Analytics oder Azure Event Hubs mithilfe des Azure-Portals ein:
Wählen Sie im Menü "Defender für Cloud-Ressource" die Option "Umgebungseinstellungen" aus.
Wählen Sie das Abonnement aus, für das Sie den Datenexport konfigurieren möchten.
Wählen Sie im Ressourcenmenü unter "Einstellungen" die Option "Fortlaufender Export" aus.
Die Exportoptionen werden angezeigt. Es gibt eine Registerkarte für jedes verfügbare Exportziel, entweder den Event Hub oder den Log Analytics-Arbeitsbereich.
Wählen Sie den Datentyp aus, den Sie exportieren möchten, und wählen Sie aus den Filtern für jeden Typ (z. B. nur Warnungen mit hohem Schweregrad exportieren).
Wählen Sie die Exporthäufigkeit aus:
- Streaming. Bewertungen werden gesendet, wenn der Integritätsstatus einer Ressource aktualisiert wird (wenn keine Aktualisierungen auftreten, werden keine Daten gesendet).
- Momentaufnahmen. Eine Momentaufnahme des aktuellen Status der ausgewählten Datentypen, die einmal pro Woche pro Abonnement gesendet werden. Um Momentaufnahmendaten zu identifizieren, suchen Sie nach dem Feld IsSnapshot.
Wenn Ihre Auswahl einen der folgenden Empfehlungen enthält, können Sie die Ergebnisse der Sicherheitsrisikobewertung mit ihnen einschließen:
- SQL-Datenbanken sollten Sicherheitsrisiken behoben haben
- Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden
- Die Images der Containerregistrierung sollten über behobene Schwachstellen verfügen (powered by Qualys)
- Computer sollten Sicherheitsrisiken behoben haben
- Systemupdates sollten auf Ihren Computern installiert werden
Um die Ergebnisse mit diesen Empfehlungen einzuschließen, legen Sie "Sicherheitsergebnisse einschließen " auf "Ja" fest.
Wählen Sie unter "Ziel exportieren" aus, wo die Daten gespeichert werden sollen. Daten können in einem Ziel eines anderen Abonnements gespeichert werden (z. B. in einer zentralen Event Hubs-Instanz oder in einem zentralen Log Analytics-Arbeitsbereich).
Sie können die Daten auch an einen Event Hub- oder Log Analytics-Arbeitsbereich in einem anderen Mandanten senden.
Wählen Sie Speichern aus.
Hinweis
Log Analytics unterstützt nur Datensätze, die bis zu 32 KB groß sind. Wenn der Datengrenzwert erreicht ist, zeigt eine Warnung die Meldung an, dass der Datengrenzwert überschritten wurde.
Verwandte Inhalte
In diesem Artikel haben Sie erfahren, wie Sie fortlaufende Exporte Ihrer Empfehlungen und Warnungen konfigurieren. Außerdem haben Sie erfahren, wie Sie Ihre Warnungsdaten als CSV-Datei herunterladen.
So zeigen Sie verwandte Inhalte an:
- Erfahren Sie, wie Sie exportierte Daten in Azure Monitor anzeigen.
- Erfahren Sie mehr über Workflowautomatisierungsvorlagen.
- Weitere Informationen finden Sie in der Dokumentation zu Azure Event Hubs.
- Erfahren Sie mehr über Microsoft Sentinel.
- Lesen Sie die Dokumentation zu Azure Monitor.
- Erfahren Sie, wie Sie Datentypenschemas exportieren.
- Sehen Sie sich häufige Fragen zum kontinuierlichen Export an.