Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como visualizar dados do Microsoft Defender para a Cloud exportados para o Azure Monitor. Abrange Log Analytics e Hubs de Eventos do Azure, e explica como criar regras de alerta Azure Monitor baseadas em dados exportados.
Pré-requisitos
Antes de começar, configure a exportação contínua com um destes métodos:
- Configurar exportação contínua no portal Azure
- Configurar a exportação contínua com a Política do Azure
- Configure a exportação contínua com a API de Transferência de Estado Representacional (REST).
Exibir dados exportados no Log Analytics
Quando você exporta dados do Defender para a Cloud para um espaço de trabalho do Log Analytics, duas tabelas principais são criadas automaticamente:
SecurityAlertSecurityRecommendation
Você pode consultar essas tabelas no Log Analytics para confirmar se a exportação contínua está funcionando.
Entre no portal do Azure em portal.azure.com.
Pesquise e selecione espaços de trabalho do Log Analytics.
Selecione o espaço de trabalho que configurou como destino de exportação contínua.
No menu do espaço de trabalho, em Geral, selecione Logs.
Na janela de consulta, insira uma das seguintes consultas e selecione Executar:
SecurityAlertou
SecurityRecommendation
Exibir dados exportados nos Hubs de Eventos do Azure
Quando você exporta dados para os Hubs de Eventos do Azure, o Defender para a Cloud transmite continuamente alertas e recomendações como mensagens de eventos. Você pode exibir esses eventos exportados no portal do Azure e analisá-los ainda mais conectando um serviço downstream.
Entre no portal do Azure em portal.azure.com.
Procure e selecione namespaces de Hubs de Eventos.
Selecione o namespace e o hub de eventos que configurou para exportação contínua.
No menu do hub de eventos, selecione Métricas para exibir a atividade da mensagem ou Processar captura de dados> para revisar o conteúdo do evento armazenado no destino da captura.
Opcionalmente, utilize uma ferramenta ligada como Microsoft Sentinel, uma solução de gestão de informação e eventos de segurança (SIEM), ou uma aplicação personalizada para consumidores para ler e processar os eventos exportados.
Observação
O Defender para a Cloud envia dados em formato JavaScript Object Notation (JSON). Você pode usar a Captura dos Hubs de Eventos ou grupos de consumidores para armazenar e analisar os eventos exportados.
Criar regras de alerta no Azure Monitor (opcional)
Você pode criar alertas do Azure Monitor com base nos dados exportados do Defender para a Cloud. Estes alertas permitem-lhe ativar automaticamente ações, como enviar notificações por email ou criar tickets de gestão de serviços de tecnologia da informação (ITSM), quando ocorrem eventos de segurança específicos.
Entre no portal do Azure em portal.azure.com.
Procure e selecione Monitor.
Selecione Alertas.
Selecione + Criar>regra de alerta.
Configura a tua nova regra da mesma forma que configurarias as regras de alerta de registo no Azure Monitor. Para mais detalhes, consulte Configurar regras de alerta de log:
- Em Tipos de recursos, selecione o espaço de trabalho do Log Analytics para o qual você exportou alertas e recomendações de segurança.
- Em Condição, selecione Pesquisa de log personalizada. Na página exibida, configure a consulta, o período de retrospetiva e o período de frequência. Na consulta, insira SecurityAlert ou SecurityRecommendation.
- Opcionalmente, crie grupos de ação para desencadear respostas automáticas. Para orientações para a configuração, consulte grupos de ações do Azure Monitor. Os grupos de ação podem enviar emails, criar tickets ITSM, executar webhooks e muito mais.
Depois de salvar a regra, os alertas ou recomendações do Defender para a Cloud aparecem no Azure Monitor com base na configuração de exportação contínua e nas condições da regra de alerta. Se você vinculou um grupo de ações, ele é acionado automaticamente quando os critérios da regra são atendidos.