Configurer l’exportation continue avec l’API REST
L’exportation continue des alertes de sécurité et des suggestions de Microsoft Defender pour le cloud peut vous aider à analyser les données dans Log Analytics ou dans Azure Event Hubs. Vous pouvez configurer l’exportation continue dans Defender pour Cloud à l’aide de l’API REST.
Conseil
Defender pour le cloud offre également la possibilité d'effectuer une exportation manuelle unique vers un fichier de valeurs séparées par des virgules (CSV). Découvrez comment télécharger un fichier CSV.
Prérequis
Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.
Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
Rôles et autorisations obligatoires :
Administrateur de sécurité ou Propriétaire pour le groupe de ressources
Autorisations en écriture pour la ressource cible.
Si vous utilisez les stratégies Azure Policy DeployIfNotExist, vous devez disposer d’autorisations vous permettant d’affecter des stratégies.
Pour exporter des données vers Event Hubs, vous devez disposer d’autorisations en écriture sur la stratégie Events Hubs.
Pour exporter vers un espace de travail Log Analytics :
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/read
. - S’il ne possède pas la solution SecurityCenterFree, vous devez avoir des autorisations d’écriture pour la solution d’espace de travail :
Microsoft.OperationsManagement/solutions/action
.
En savoir plus sur les solutions d’espace de travail Azure Monitor et Log Analytics.
- S’il possède la solution SecurityCenterFree, vous devez disposer d’autorisations de lecture au minimum pour la solution d’espace de travail :
Configurer une exportation continue en utilisant l’API REST
Vous pouvez configurer et gérer l’exportation continue en utilisant l’API Automations de Microsoft Defender pour le cloud. Utilisez cette API pour créer ou mettre à jour des règles d’exportation vers l’une des destinations suivantes :
- Azure Event Hubs
- Espace de travail Log Analytics
- Azure Logic Apps
Vous pouvez également envoyer les données à un espace de travail Event Hub ou Log Analytics dans un autre locataire.
Remarque
Si vous configurez une exportation continue en utilisant l’API REST, incluez toujours le parent avec les résultats.
Voici quelques exemples d’options que vous pouvez utiliser uniquement dans l’API :
Volume supérieur : vous pouvez créer plusieurs configurations d’exportation sur un seul abonnement en utilisant l’API. La page Exportation continue dans le portail Azure ne prend en charge qu’une seule configuration d’exportation par abonnement.
Fonctionnalités supplémentaires : l’API offre des paramètres qui n’apparaissent pas dans le Portail Microsoft Azure. Par exemple, vous pouvez ajouter des balises à votre ressource d’automatisation et définir votre exportation sur la base d’un ensemble plus vaste de propriétés d’alerte et de suggestion que celles qui sont proposées sur la page Exportation continue du Portail Microsoft Azure.
Étendue ciblée : l’API vous offre un niveau plus granulaire pour l’étendue de vos configurations d’exportation. Lorsque vous définissez une exportation à l'aide de l'API, vous pouvez la définir au niveau du groupe de ressources. Si vous utilisez la page Exportation continue dans le Portail Microsoft Azure, vous devez la définir au niveau de l’abonnement.
Conseil
Ces options API uniquement ne sont pas affichées dans le portail Azure. Si vous les utilisez, une bannière vous informe que d’autres configurations existent.