Uso de conexiones de datos

En este artículo se describe la característica de conexiones de datos en Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM).

Información general

Defender EASM ahora ofrece conexiones de datos para ayudarle a integrar sin problemas los datos de la superficie expuesta a ataques en otras soluciones de Microsoft para complementar los flujos de trabajo existentes con nuevas conclusiones. Debe obtener datos de Defender EASM en las otras herramientas de seguridad que use con fines de corrección para hacer el mejor uso de los datos de la superficie expuesta a ataques.

El conector de datos envía Defender EASM datos de recursos a dos plataformas diferentes: Log Analytics y Azure Data Explorer. Debe exportar Defender EASM datos a cualquiera de las herramientas. Las conexiones de datos están sujetas al modelo de precios de cada plataforma correspondiente.

Log Analytics proporciona información de seguridad, administración de eventos y capacidades de orquestación, automatización y respuesta de seguridad. Defender EASM información de recursos o conclusiones se puede usar en Log Analytics para enriquecer flujos de trabajo existentes con otros datos de seguridad. Esta información puede complementar la información de firewall y configuración, la inteligencia sobre amenazas y los datos de cumplimiento para proporcionar visibilidad sobre la infraestructura externa en Internet abierto.

Puede:

  • Crear o enriquecer incidentes de seguridad.
  • Cree cuadernos de estrategias de investigación.
  • Entrenamiento de algoritmos de aprendizaje automático.
  • Desencadenar acciones de corrección.

Azure Data Explorer es una plataforma de análisis de macrodatos que le ayuda a analizar grandes volúmenes de datos de varios orígenes con funcionalidades de personalización flexibles. Defender EASM datos de recursos e información se pueden integrar para usar las funcionalidades de visualización, consulta, ingesta y administración dentro de la plataforma.

Tanto si va a crear informes personalizados con Power BI como a buscar recursos que coincidan con consultas de KQL precisas, la exportación de Defender EASM datos a Azure Data Explorer le permite usar los datos de la superficie expuesta a ataques con un potencial de personalización sin fin.

Opciones de contenido de datos

Defender EASM conexiones de datos le ofrecen la capacidad de integrar dos tipos diferentes de datos de superficie expuesta a ataques en la herramienta que prefiera. Puede optar por migrar datos de recursos, información de superficie expuesta a ataques o ambos tipos de datos. Los datos de recursos proporcionan detalles pormenorizadas sobre todo el inventario. La información de superficie expuesta a ataques proporciona información inmediatamente accionable en función de los paneles de Defender EASM.

Para presentar con precisión la infraestructura que más importa a su organización, ambas opciones de contenido solo incluyen recursos en el estado Inventario aprobado .

Datos de activos: la opción Datos de activos envía datos sobre todos los recursos de inventario a la herramienta que prefiera. Esta opción es la mejor para los casos de uso en los que los metadatos subyacentes granulares son clave para la integración Defender EASM. Algunos ejemplos son Microsoft Sentinel o informes personalizados en Azure Data Explorer. Puede exportar contexto de alto nivel en cada recurso del inventario y detalles granulares específicos del tipo de recurso determinado.

Esta opción no proporciona ninguna información predeterminada sobre los recursos. En su lugar, ofrece una gran cantidad de datos para que pueda encontrar la información personalizada que más le interesa.

Información de superficie expuesta a ataques: la información de superficie expuesta a ataques proporciona un conjunto accionable de resultados basados en la información clave proporcionada a través de los paneles de Defender EASM. Esta opción proporciona metadatos menos granulares en cada recurso. Clasifica los recursos en función de la información correspondiente y proporciona el contexto de alto nivel necesario para investigar más. Esta opción es ideal si desea integrar estas conclusiones predeterminadas en flujos de trabajo de informes personalizados con datos de otras herramientas.

Información general sobre la configuración

En esta sección se presenta información general sobre la configuración.

Acceso a conexiones de datos

En el panel izquierdo del panel de recursos de Defender EASM, en Administrar, seleccione Conexiones de datos. En esta página se muestran los conectores de datos de Log Analytics y Azure Data Explorer. Enumera las conexiones actuales y proporciona la opción de agregar, editar o quitar conexiones.

Captura de pantalla que muestra la página Conexiones de datos.

Requisitos previos de conexión

Para crear correctamente una conexión de datos, primero debe asegurarse de que ha completado los pasos necesarios para conceder Defender EASM permiso a la herramienta que prefiera. Este proceso permite a la aplicación ingerir los datos exportados. También proporciona las credenciales de autenticación necesarias para configurar la conexión.

Nota:

Defender EASM conexiones de datos no admiten vínculos privados ni redes.

Configuración de permisos de Log Analytics

  1. Abra el área de trabajo de Log Analytics que ingerirá los datos de Defender EASM o cree una nueva área de trabajo.

  2. En el panel izquierdo, en Configuración, seleccione Agentes.

    Captura de pantalla que muestra los agentes de Log Analytics.

  3. Expanda la sección de instrucciones del agente de Log Analytics para ver el identificador del área de trabajo y la clave principal. Estos valores se usan para configurar la conexión de datos.

Nota:

La API del recopilador de datos HTTP, que actualmente usa el conector de datos de Defender EASM Log Analytics, dejará de usarse el 14 de septiembre de 2026.

Todos los nuevos conectores de datos de Log Analytics usarán la API de ingesta de registros, que requiere configuraciones de permisos adicionales, como se describe a continuación.

Configuración de asignaciones de roles de grupo de recursos

  1. En el panel izquierdo, seleccione Información general y vaya al grupo De recursos en Essentials en el panel principal.
  2. Abra el grupo de recursos que contiene el área de trabajo de Log Analytics.
  3. En el panel izquierdo, seleccione Control de acceso (IAM).
  4. Busque y seleccione el rol Lector .
  5. Busque y seleccione la API de EASM como miembro para la asignación de roles. Captura de pantalla que muestra miembros para las asignaciones de roles, específicamente la aplicación de API de EASM.
  6. Asegúrese de que el tipo de asignación es Permanente y, a continuación, haga clic en Revisar y asignar.
  7. Repita esta acción y agregue los roles Colaborador de supervisión, Colaborador de Log Analytics y Publicador de métricas de supervisión para la aplicación de API EASM.

Nota:

Las asignaciones de roles para la API de EASM pueden tardar unos minutos en asignarse después. Después de configurar las asignaciones, espere unos minutos para crear una nueva conexión de datos.

Configuración de proveedores de recursos de suscripción

  1. Abra la suscripción que contiene el grupo de recursos y el área de trabajo de Log Analytics.
  2. En el panel izquierdo, en Configuración , seleccione Proveedores de recursos.
  3. Busque microsoft.insights y registre el proveedor. Captura de pantalla que muestra proveedores de recursos, específicamente microsoft.insights.

Nota:

Con la nueva API de Log Analytics, el recurso Defender EASM y el área de trabajo de Log Analytics que ingieren los datos de Defender EASM deben estar en el mismo inquilino.

El uso de esta conexión de datos está sujeto a la estructura de precios de Log Analytics. Para obtener más información, consulte precios de Azure Monitor.

Configuración de permisos de Azure Data Explorer

Asegúrese de que la entidad de servicio Defender EASM API tenga acceso a los roles correctos en la base de datos donde desea exportar los datos de la superficie expuesta a ataques. En primer lugar, asegúrese de que el recurso de Defender EASM se creó en el inquilino adecuado porque esta acción aprovisiona la entidad de seguridad de API EASM.

  1. Abra el clúster de Azure Data Explorer que ingerirá los datos de Defender EASM o cree un nuevo clúster.

  2. En el panel izquierdo, en Datos, seleccione Bases de datos.

  3. Seleccione Agregar base de datos para crear una base de datos para hospedar los datos Defender EASM.

    Captura de pantalla que muestra Azure Data Explorer Agregar base de datos.

  4. Asigne un nombre a la base de datos, configure los períodos de retención y caché y seleccione Crear.

    Captura de pantalla que muestra cómo crear una base de datos.

  5. Una vez creada la base de datos Defender EASM, seleccione el nombre de la base de datos para abrir la página de detalles. En el panel izquierdo, en Información general, seleccione Permisos. Para exportar correctamente Defender EASM datos a Azure Data Explorer, debe crear dos nuevos permisos para la API de EASM: usuario y ingestor.

    Captura de pantalla que muestra Azure Data Explorer permisos.

  6. Seleccione Agregar y cree un usuario. Busque EASM API, seleccione el valor y elija Seleccionar.

  7. Seleccione Agregar para crear un ingestor. Siga los mismos pasos descritos anteriormente para agregar la API de EASM como un ingestor.

  8. La base de datos ya está lista para conectarse a Defender EASM. Necesita el nombre del clúster, el nombre de la base de datos y la región al configurar la conexión de datos.

Adición de una conexión de datos

Puede conectar los datos de Defender EASM a Log Analytics o a Azure Data Explorer. Para ello, seleccione Agregar conexión para la herramienta adecuada en la página Conexiones de datos .

Se abre un panel de configuración en el lado derecho de la página Conexiones de datos . Los campos siguientes son necesarios para cada herramienta correspondiente.

Log Analytics

  • Nombre: escriba un nombre para esta conexión de datos.

  • Identificador del área de trabajo: escriba el identificador del área de trabajo de la instancia de Log Analytics donde desea exportar Defender EASM datos.

  • Contenido: seleccione esta opción para integrar datos de recursos, información de superficie expuesta a ataques o ambos conjuntos de datos.

  • Frecuencia: seleccione la frecuencia que usa la conexión Defender EASM para enviar datos actualizados a la herramienta que prefiera. Las opciones disponibles son diarias, semanales y mensuales.

    Captura de pantalla que muestra la pantalla Agregar conexión de datos para Log Analytics.

Nota:

Todas las nuevas conexiones de datos usarán la API de Log Analytics y no usarán una clave de API.

Azure Data Explorer

  • Nombre: escriba un nombre para esta conexión de datos.

  • Nombre del clúster: escriba el nombre del clúster de Azure Data Explorer donde desea exportar Defender EASM datos.

  • Región: escriba la región del clúster de Azure Data Explorer.

  • Nombre de la base de datos: escriba el nombre de la base de datos deseada.

  • Contenido: seleccione esta opción para integrar datos de recursos, información de superficie expuesta a ataques o ambos conjuntos de datos.

  • Frecuencia: seleccione la frecuencia que usa la conexión Defender EASM para enviar datos actualizados a la herramienta que prefiera. Las opciones disponibles son diarias, semanales y mensuales.

    Captura de pantalla que muestra la pantalla Agregar conexión de datos para Azure Data Explorer.

    Una vez configurados todos los campos, seleccione Agregar para crear la conexión de datos. En este momento, la página Conexiones de datos muestra un banner que indica que el recurso se creó correctamente. En 30 minutos, los datos comienzan a rellenarse. Una vez creadas las conexiones, se enumeran en la herramienta aplicable en la página principal Conexiones de datos .

Edición o eliminación de una conexión de datos

Puede editar o eliminar una conexión de datos. Por ejemplo, puede observar que una conexión aparece como Desconectada. En este caso, debe volver a escribir los detalles de configuración para corregir el problema.

Para editar o eliminar una conexión de datos:

  1. Seleccione la conexión adecuada en la lista de la página Conexiones de datos principal.

    Captura de pantalla que muestra las conexiones de datos desconectadas.

  2. Se abre una página que proporciona más datos sobre la conexión. Muestra las configuraciones que eligió al crear la conexión y los mensajes de error. También verá los siguientes datos:

    • Periódicamente: el día de la semana o el mes que Defender EASM envía datos actualizados a la herramienta conectada.

    • Creado: fecha y hora en que se creó la conexión de datos.

    • Actualizado: fecha y hora en que se actualizó por última vez la conexión de datos.

      Captura de pantalla que muestra las conexiones de prueba.

  3. Desde esta página, puede volver a conectar, editar o eliminar la conexión de datos.

    • Volver a conectar: intenta validar la conexión de datos sin cambios en la configuración. Esta opción es mejor si validó las credenciales de autenticación usadas para la conexión de datos.
    • Editar: permite cambiar la configuración de la conexión de datos.
    • Eliminar: elimina la conexión de datos.
  • Last updated on