Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo aborda a funcionalidade de ligações de dados no Gestão da superfície de ataques externos do Microsoft Defender (GSAE do Defender).
Descrição geral
GSAE do Defender agora oferece ligações de dados para o ajudar a integrar de forma totalmente integrada os dados da superfície de ataque noutras soluções da Microsoft para complementar os fluxos de trabalho existentes com novas informações. Tem de obter dados de GSAE do Defender para as outras ferramentas de segurança que utiliza para fins de remediação para tirar o melhor partido dos dados da superfície de ataque.
O conector de dados envia GSAE do Defender dados de recursos para duas plataformas diferentes: Log Analytics e Azure Data Explorer. Tem de exportar GSAE do Defender dados para qualquer uma das ferramentas. As ligações de dados estão sujeitas ao modelo de preços de cada plataforma.
O Log Analytics fornece informações de segurança e gestão de eventos e capacidades de orquestração, automatização e resposta de segurança. GSAE do Defender informações de recursos ou informações podem ser utilizadas no Log Analytics para enriquecer fluxos de trabalho existentes com outros dados de segurança. Estas informações podem complementar as informações de firewall e configuração, informações sobre ameaças e dados de conformidade para fornecer visibilidade sobre a sua infraestrutura voltada para o exterior na Internet aberta.
Pode:
- Criar ou enriquecer incidentes de segurança.
- Crie manuais de procedimentos de investigação.
- Preparar algoritmos de machine learning.
- Acionar ações de remediação.
Azure Data Explorer é uma plataforma de análise de macrodados que o ajuda a analisar grandes volumes de dados de várias origens com capacidades de personalização flexíveis. GSAE do Defender dados de recursos e informações podem ser integrados para utilizar as capacidades de visualização, consulta, ingestão e gestão na plataforma.
Quer esteja a criar relatórios personalizados com o Power BI ou a procurar recursos que correspondam a consultas KQL precisas, a exportação de dados GSAE do Defender para Azure Data Explorer permite-lhe utilizar os dados da superfície de ataque com um potencial de personalização interminável.
Opções de conteúdo de dados
GSAE do Defender ligações de dados oferecem-lhe a capacidade de integrar dois tipos diferentes de dados de superfície de ataque na ferramenta à sua escolha. Pode optar por migrar dados de recursos, informações da superfície de ataque ou ambos os tipos de dados. Os dados dos recursos fornecem detalhes granulares sobre todo o inventário. As informações da superfície de ataque fornecem informações imediatamente acionáveis com base nos dashboards GSAE do Defender.
Para apresentar com precisão a infraestrutura mais importante para a sua organização, ambas as opções de conteúdo incluem apenas recursos no estado inventário Aprovado .
Dados do recurso: a opção Dados do Recurso envia dados sobre todos os seus recursos de inventário para a ferramenta à sua escolha. Esta opção é melhor para casos de utilização em que os metadados subjacentes granulares são fundamentais para a integração GSAE do Defender. Os exemplos incluem Microsoft Sentinel ou relatórios personalizados no Azure Data Explorer. Pode exportar contexto de alto nível em todos os recursos no inventário e detalhes granulares específicos do tipo de recurso específico.
Esta opção não fornece informações predeterminadas sobre os recursos. Em vez disso, oferece uma grande quantidade de dados para que possa encontrar as informações personalizadas que mais lhe interessam.
Informações da superfície de ataque: as informações da superfície de ataque fornecem um conjunto acionável de resultados com base nas principais informações fornecidas através de dashboards no GSAE do Defender. Esta opção fornece metadados menos granulares em cada recurso. Categoriza os recursos com base nas informações correspondentes e fornece o contexto de alto nível necessário para investigar mais aprofundadamente. Esta opção é ideal se quiser integrar estas informações predeterminadas em fluxos de trabalho de relatórios personalizados com dados de outras ferramentas.
Descrições geral da configuração
Esta secção apresenta informações gerais sobre a configuração.
Aceder a ligações de dados
No painel mais à esquerda do painel de recursos GSAE do Defender, em Gerir, selecione Ligações de Dados. Esta página apresenta os conectores de dados do Log Analytics e Azure Data Explorer. Lista todas as ligações atuais e fornece a opção para adicionar, editar ou remover ligações.
Pré-requisitos de ligação
Para criar uma ligação de dados com êxito, primeiro tem de se certificar de que concluiu os passos necessários para conceder permissão GSAE do Defender à ferramenta à sua escolha. Este processo permite à aplicação ingerir os dados exportados. Também fornece as credenciais de autenticação necessárias para configurar a ligação.
Nota
GSAE do Defender ligações de dados não suportam ligações privadas ou redes.
Configurar permissões do Log Analytics
Abra a área de trabalho do Log Analytics que irá ingerir os dados GSAE do Defender ou criar uma nova área de trabalho.
No painel mais à esquerda, em Definições, selecione Agentes.
Expanda a secção instruções do agente do Log Analytics para ver o ID da área de trabalho e a chave primária. Estes valores são utilizados para configurar a ligação de dados.
Nota
A API do Recoletor de Dados HTTP, atualmente utilizada pelo GSAE do Defender Conector de Dados do Log Analytics, será preterida a 14 de setembro de 2026.
Todos os novos Conectores de Dados do Log Analytics utilizarão a API de Ingestão de Registos, que requer configurações de permissões adicionais, conforme descrito abaixo.
Configurar Atribuições de Funções do Grupo de Recursos
- No painel mais à esquerda, selecione Descrição geral e navegue para o Grupo de recursos em Essentials no painel principal.
- Abra o Grupo de recursos que contém a área de trabalho do Log Analytics.
- No painel mais à esquerda, selecione Controlo de acesso (IAM).
- Procure e selecione a função Leitor .
- Procure e selecione a API GSAE como membro da atribuição de função.
- Certifique-se de que o Tipo de atribuição é Permanente e, em seguida, clique em Rever + atribuir.
- Repita este procedimento e adicione as funções Contribuidor de Monitorização, Contribuidor do Log Analytics e Editor de Métricas de Monitorização para a aplicação API GSAE.
Nota
As atribuições de funções da API GSAE podem demorar alguns minutos a serem atribuídas. Depois de configurar as atribuições, aguarde alguns minutos para criar uma nova ligação de dados.
Configurar Fornecedores de Recursos de Subscrição
- Abra a Subscrição que contém o Grupo de Recursos e a área de trabalho do Log Analytics.
- No painel mais à esquerda, em Definições , selecione Fornecedores de Recursos.
- Procure microsoft.insights e registe o fornecedor.
Nota
Com a nova API do Log Analytics, o recurso GSAE do Defender e a área de trabalho do Log Analytics que irão ingerir os dados GSAE do Defender têm de estar no mesmo inquilino.
A utilização desta ligação de dados está sujeita à estrutura de preços do Log Analytics. Para obter mais informações, veja preços do Azure Monitor.
Configurar permissões de Azure Data Explorer
Certifique-se de que o principal de serviço da API GSAE do Defender tem acesso às funções corretas na base de dados onde pretende exportar os dados da superfície de ataque. Primeiro, certifique-se de que o recurso GSAE do Defender foi criado no inquilino adequado porque esta ação aprovisiona o principal da API GSAE.
Abra o cluster de Azure Data Explorer que irá ingerir os dados GSAE do Defender ou criar um novo cluster.
No painel mais à esquerda, em Dados, selecione Bases de Dados.
Selecione Adicionar Base de Dados para criar uma base de dados para alojar os dados GSAE do Defender.
Atribua um nome à base de dados, configure os períodos de retenção e cache e selecione Criar.
Depois de criar a base de dados GSAE do Defender, selecione o nome da base de dados para abrir a página de detalhes. No painel mais à esquerda, em Descrição geral, selecione Permissões. Para exportar com êxito GSAE do Defender dados para Azure Data Explorer, tem de criar duas novas permissões para a API de GSAE: utilizador e ingestor.
Selecione Adicionar e crie um utilizador. Procure GSAE API, selecione o valor e selecione Selecionar.
Selecione Adicionar para criar um ingestor. Siga os mesmos passos descritos anteriormente para adicionar a API de GSAE como um ingestor.
A base de dados está agora pronta para se ligar ao GSAE do Defender. Precisa do nome do cluster, do nome da base de dados e da região quando configurar a ligação de dados.
Adicionar uma ligação de dados
Pode ligar os seus dados de GSAE do Defender ao Log Analytics ou ao Azure Data Explorer. Para tal, selecione Adicionar ligação para a ferramenta adequada na página Ligações de Dados .
É aberto um painel de configuração no lado direito da página Ligações de Dados . Os seguintes campos são necessários para cada ferramenta.
Log Analytics
Nome: introduza um nome para esta ligação de dados.
ID da área de trabalho: introduza o ID da área de trabalho da instância do Log Analytics onde pretende exportar GSAE do Defender dados.
Conteúdo: selecione para integrar dados de recursos, informações da superfície de ataque ou ambos os conjuntos de dados.
Frequência: selecione a frequência que a ligação GSAE do Defender utiliza para enviar dados atualizados para a ferramenta à sua escolha. As opções disponíveis são diárias, semanais e mensais.
Nota
Todas as novas ligações de dados utilizarão a API do Log Analytics e não utilizarão uma chave de API.
Azure Data Explorer
Nome: introduza um nome para esta ligação de dados.
Nome do cluster: introduza o nome do cluster de Azure Data Explorer onde pretende exportar GSAE do Defender dados.
Região: introduza a região do cluster Azure Data Explorer.
Nome da base de dados: introduza o nome da base de dados pretendida.
Conteúdo: selecione para integrar dados de recursos, informações da superfície de ataque ou ambos os conjuntos de dados.
Frequência: selecione a frequência que a ligação GSAE do Defender utiliza para enviar dados atualizados para a ferramenta à sua escolha. As opções disponíveis são diárias, semanais e mensais.
Depois de configurar todos os campos, selecione Adicionar para criar a ligação de dados. Neste momento, a página Ligações de Dados apresenta uma faixa que indica que o recurso foi criado com êxito. Em 30 minutos, os dados começam a ser preenchidos. Após a criação das ligações, são listadas na ferramenta aplicável na página principal Ligações de Dados .
Editar ou eliminar uma ligação de dados
Pode editar ou eliminar uma ligação de dados. Por exemplo, poderá reparar que uma ligação está listada como Desligada. Neste caso, tem de reintroduzir os detalhes de configuração para corrigir o problema.
Para editar ou eliminar uma ligação de dados:
Selecione a ligação adequada na lista na página principal Ligações de Dados .
É aberta uma página que fornece mais dados sobre a ligação. Apresenta as configurações que escolheu quando criou a ligação e quaisquer mensagens de erro. Também verá os seguintes dados:
Recorrente em: o dia da semana ou mês em que GSAE do Defender envia dados atualizados para a ferramenta ligada.
Criado: a data e hora em que a ligação de dados foi criada.
Atualizado: a data e hora em que a ligação de dados foi atualizada pela última vez.
A partir desta página, pode voltar a ligar, editar ou eliminar a ligação de dados.
- Restabelecer ligação: tenta validar a ligação de dados sem quaisquer alterações à configuração. Esta opção é melhor se validou as credenciais de autenticação utilizadas para a ligação de dados.
- Editar: permite-lhe alterar a configuração da ligação de dados.
- Eliminar: elimina a ligação de dados.