Använda dataanslutningar

I den här artikeln beskrivs funktionen för dataanslutningar i Microsoft Defender – hantering av extern attackyta (Defender EASM).

Översikt

Defender EASM erbjuder nu dataanslutningar som hjälper dig att sömlöst integrera dina attackytans data i andra Microsoft-lösningar för att komplettera befintliga arbetsflöden med nya insikter. Du måste hämta data från Defender EASM till de andra säkerhetsverktygen som du använder i reparationssyfte för att kunna använda dina attackytans data på bästa sätt.

Dataanslutningsappen skickar Defender EASM tillgångsdata till två olika plattformar: Log Analytics och Azure Data Explorer. Du måste exportera Defender EASM data till något av verktygen. Dataanslutningar omfattas av prismodellen för respektive plattform.

Log Analytics tillhandahåller säkerhetsinformation och funktioner för händelsehantering och säkerhetsorkestrering, automatisering och svar. Defender EASM information om tillgångar eller insikter kan användas i Log Analytics för att utöka befintliga arbetsflöden med andra säkerhetsdata. Den här informationen kan komplettera brandväggs- och konfigurationsinformation, hotinformation och efterlevnadsdata för att ge insyn i din externa infrastruktur på det öppna Internet.

Du kan:

  • Skapa eller utöka säkerhetsincidenter.
  • Skapa spelböcker för undersökning.
  • Träna maskininlärningsalgoritmer.
  • Utlös reparationsåtgärder.

Azure Data Explorer är en plattform för stordataanalys som hjälper dig att analysera stora mängder data från olika källor med flexibla anpassningsfunktioner. Defender EASM tillgångs- och insiktsdata kan integreras för att använda visualiserings-, fråge-, inmatnings- och hanteringsfunktioner på plattformen.

Oavsett om du skapar anpassade rapporter med Power BI eller letar efter tillgångar som matchar exakta KQL-frågor kan du använda dina attackytans data med oändlig anpassningspotential genom att exportera Defender EASM data till Azure Data Explorer.

Alternativ för datainnehåll

Defender EASM dataanslutningar ger dig möjlighet att integrera två olika typer av attackytans data i det verktyg du väljer. Du kan välja att migrera tillgångsdata, insikter om attackytan eller båda datatyperna. Tillgångsdata ger detaljerad information om hela inventeringen. Insikter om attackytan ger omedelbart användbara insikter baserat på Defender EASM instrumentpaneler.

För att korrekt presentera den infrastruktur som är viktigast för din organisation inkluderar båda innehållsalternativen endast tillgångar i tillståndet Godkänd inventering.

Tillgångsdata: Alternativet Tillgångsdata skickar data om alla dina lagertillgångar till valfritt verktyg. Det här alternativet är bäst för användningsfall där de detaljerade underliggande metadata är nyckeln till din Defender EASM integrering. Exempel är Microsoft Sentinel eller anpassad rapportering i Azure Data Explorer. Du kan exportera högnivåkontext för varje tillgång i lager och detaljerad information som är specifik för den specifika tillgångstypen.

Det här alternativet ger inga förutbestämda insikter om tillgångarna. I stället erbjuder den en stor mängd data så att du kan hitta de anpassade insikter som du bryr dig mest om.

Insikter om attackytan: Insikter om attackytan ger en åtgärdsbar uppsättning resultat baserat på viktiga insikter som levereras via instrumentpaneler i Defender EASM. Det här alternativet ger mindre detaljerade metadata för varje tillgång. Den kategoriserar tillgångar baserat på motsvarande insikter och ger den övergripande kontext som krävs för att undersöka ytterligare. Det här alternativet är idealiskt om du vill integrera dessa fördefinierade insikter i anpassade rapporteringsarbetsflöden med data från andra verktyg.

Konfigurationsöversikter

I det här avsnittet visas allmän information om konfigurationen.

Komma åt dataanslutningar

I det vänstra fönstret i Defender EASM resursfönstret går du till Hantera och väljer Dataanslutningar. På den här sidan visas dataanslutningsappar för både Log Analytics och Azure Data Explorer. Den visar alla aktuella anslutningar och ger möjlighet att lägga till, redigera eller ta bort anslutningar.

Skärmbild som visar sidan Dataanslutningar.

Anslutningsförutsättningar

Om du vill skapa en dataanslutning måste du först se till att du har slutfört de steg som krävs för att ge Defender EASM behörighet till det verktyg du väljer. Med den här processen kan programmet mata in dina exporterade data. Den innehåller även de autentiseringsuppgifter som krävs för att konfigurera anslutningen.

Obs!

Defender EASM dataanslutningar stöder inte privata länkar eller nätverk.

Konfigurera Log Analytics-behörigheter

  1. Öppna Log Analytics-arbetsytan som matar in dina Defender EASM data eller skapa en ny arbetsyta.

  2. I det vänstra fönstret, under Inställningar, väljer du Agenter.

    Skärmbild som visar Log Analytics-agenter.

  3. Expandera avsnittet Log Analytics-agentinstruktioner för att visa ditt arbetsyte-ID och primärnyckel. Dessa värden används för att konfigurera din dataanslutning.

Obs!

HTTP Data Collector-API:et, som för närvarande används av Defender EASM Log Analytics Data Connector, kommer att bli inaktuell den 14 september 2026.

Alla nya Log Analytics-dataanslutningsprogram använder LOGS Ingestion-API:et, vilket kräver ytterligare behörighetskonfigurationer enligt beskrivningen nedan.

Konfigurera rolltilldelningar för resursgrupper

  1. I det vänstra fönstret väljer du Översikt och navigerar till resursgruppen under Essentials i huvudfönstret.
  2. Öppna resursgruppen som innehåller Log Analytics-arbetsytan.
  3. Välj Åtkomstkontroll (IAM) i det vänstra fönstret.
  4. Sök och välj rollen Läsare .
  5. Sök efter och välj EASM API som medlem för rolltilldelningen. Skärmbild som visar medlemmar för rolltilldelningar, särskilt EASM API-appen.
  6. Kontrollera att tilldelningstypen är Permanent och klicka sedan på Granska + tilldela.
  7. Upprepa detta och lägg till rollerna Övervakningsdeltagare, Log Analytics-deltagare och Utgivarroller för övervakningsmått för EASM API-appen.

Obs!

Rolltilldelningarna för EASM-API:et kan ta några minuter att tilldela efter. När du har konfigurerat tilldelningarna väntar du några minuter med att skapa en ny dataanslutning.

Konfigurera prenumerationsresursproviders

  1. Öppna prenumerationen som innehåller resursgruppen och Log Analytics-arbetsytan.
  2. I den vänstra rutan under Inställningar väljer du Resursprovidrar.
  3. Sök efter microsoft.insights och registrera providern. Skärmbild som visar resursprovidrar, särskilt microsoft.insights.

Obs!

Med hjälp av det nya Log Analytics-API:et måste den Defender EASM resursen och Log Analytics-arbetsytan som matar in dina Defender EASM data finnas i samma klientorganisation.

Användningen av den här dataanslutningen omfattas av prissättningsstrukturen för Log Analytics. Mer information finns i Azure Övervaka priser.

Konfigurera Azure Data Explorer behörigheter

Kontrollera att Defender EASM API-tjänstens huvudnamn har åtkomst till rätt roller i databasen där du vill exportera dina attackytans data. Kontrollera först att din Defender EASM resurs har skapats i lämplig klientorganisation eftersom den här åtgärden etablerar EASM API-huvudnamn.

  1. Öppna det Azure Data Explorer kluster som ska mata in dina Defender EASM data eller skapa ett nytt kluster.

  2. I det vänstra fönstret, under Data, väljer du Databaser.

  3. Välj Lägg till databas för att skapa en databas där dina Defender EASM data finns.

    Skärmbild som visar Azure Data Explorer Lägg till databas.

  4. Namnge databasen, konfigurera kvarhållnings- och cacheperioder och välj Skapa.

    Skärmbild som visar hur du skapar en ny databas.

  5. När Defender EASM databas har skapats väljer du databasnamnet för att öppna informationssidan. I det vänstra fönstret, under Översikt, väljer du Behörigheter. Om du vill exportera Defender EASM data till Azure Data Explorer måste du skapa två nya behörigheter för EASM API: användare och ingestor.

    Skärmbild som visar Azure Data Explorer behörigheter.

  6. Välj Lägg till och skapa en användare. Sök efter EASM API, välj värdet och välj Välj.

  7. Välj Lägg till för att skapa en ingestor. Följ samma steg som tidigare beskrivits för att lägga till EASM-API:et som en ingestor.

  8. Databasen är nu redo att ansluta till Defender EASM. Du behöver klusternamn, databasnamn och region när du konfigurerar dataanslutningen.

Lägga till en dataanslutning

Du kan ansluta dina Defender EASM data till log analytics eller Azure Data Explorer. Det gör du genom att välja Lägg till anslutning för lämpligt verktyg på sidan Dataanslutningar .

Ett konfigurationsfönster öppnas till höger på sidan Dataanslutningar . Följande fält krävs för respektive verktyg.

Log Analytics

  • Namn: Ange ett namn för den här dataanslutningen.

  • Arbetsyte-ID: Ange arbetsyte-ID:t för Log Analytics-instansen där du vill exportera Defender EASM data.

  • Innehåll: Välj om du vill integrera tillgångsdata, insikter om attackytan eller båda datauppsättningarna.

  • Frekvens: Välj den frekvens som Defender EASM-anslutningen använder för att skicka uppdaterade data till valfritt verktyg. Tillgängliga alternativ är dagliga, veckovisa och månatliga.

    Skärmbild som visar skärmen Lägg till dataanslutning för Log Analytics.

Obs!

Alla nya dataanslutningar använder Log Analytics-API:et och kommer inte att använda någon API-nyckel.

Azure Data Explorer

  • Namn: Ange ett namn för den här dataanslutningen.

  • Klusternamn: Ange namnet på det Azure Data Explorer kluster där du vill exportera Defender EASM data.

  • Region: Ange regionen för det Azure Data Explorer klustret.

  • Databasnamn: Ange namnet på den önskade databasen.

  • Innehåll: Välj om du vill integrera tillgångsdata, insikter om attackytan eller båda datauppsättningarna.

  • Frekvens: Välj den frekvens som Defender EASM-anslutningen använder för att skicka uppdaterade data till valfritt verktyg. Tillgängliga alternativ är dagliga, veckovisa och månatliga.

    Skärmbild som visar skärmen Lägg till dataanslutning för Azure Data Explorer.

    När alla fält har konfigurerats väljer du Lägg till för att skapa dataanslutningen. Nu visar sidan Dataanslutningar en banderoll som anger att resursen har skapats. Om 30 minuter börjar data fyllas i. När anslutningar har skapats visas de under det tillämpliga verktyget på huvudsidan för dataanslutningar .

Redigera eller ta bort en dataanslutning

Du kan redigera eller ta bort en dataanslutning. Du kanske till exempel ser att en anslutning visas som Frånkopplad. I det här fallet måste du ange konfigurationsinformationen igen för att åtgärda problemet.

Så här redigerar eller tar du bort en dataanslutning:

  1. Välj lämplig anslutning i listan på huvudsidan för dataanslutningar .

    Skärmbild som visar frånkopplade dataanslutningar.

  2. En sida öppnas som innehåller mer data om anslutningen. Den visar de konfigurationer som du valde när du skapade anslutningen och eventuella felmeddelanden. Du ser även följande data:

    • Återkommande: Den dag i veckan eller månaden som Defender EASM skickar uppdaterade data till det anslutna verktyget.

    • Skapad: Datum och tid då dataanslutningen skapades.

    • Uppdaterad: Datum och tid då dataanslutningen senast uppdaterades.

      Skärmbild som visar testanslutningar.

  3. Från den här sidan kan du återansluta, redigera eller ta bort din dataanslutning.

    • Återanslut: Försöker verifiera dataanslutningen utan några ändringar i konfigurationen. Det här alternativet är bäst om du har verifierat de autentiseringsuppgifter som används för dataanslutningen.
    • Redigera: Gör att du kan ändra konfigurationen för dataanslutningen.
    • Ta bort: Tar bort dataanslutningen.
  • Last updated on