Folyamatos exportálás beállítása a REST API-val
A Felhőhöz készült Microsoft Defender biztonsági riasztások és javaslatok folyamatos exportálásával elemezheti az adatokat a Log Analyticsben vagy az Azure Event Hubsban. A REST API használatával beállíthatja a folyamatos exportálást Felhőhöz készült Defender.
Tipp.
Felhőhöz készült Defender egyszeri, manuális exportálást is lehetővé tesz egy vesszővel tagolt értékeket (CSV) használó fájlba. Megtudhatja, hogyan tölthet le CSV-fájlokat.
Előfeltételek
Ehhez Microsoft Azure-előfizetésre van szükség. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes előfizetésre.
Engedélyeznie kell Felhőhöz készült Microsoft Defender az Azure-előfizetésében.
Szükséges szerepkörök és engedélyek:
Az erőforráscsoport biztonsági Rendszergazda vagy tulajdonosa
Írási engedélyek a célerőforráshoz.
Ha az Azure Policy DeployIfNotExist szabályzatokat használja, olyan engedélyekkel kell rendelkeznie, amelyek lehetővé teszik a szabályzatok hozzárendelését.
Ha adatokat szeretne exportálni az Event Hubsba, írási engedélyekkel kell rendelkeznie az Event Hubs-házirendben.
Log Analytics-munkaterületre való exportálás:
- Ha rendelkezik a SecurityCenterFree megoldással, legalább olvasási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Microsoft.OperationsManagement/solutions/read. - Ha nem rendelkezik SecurityCenterFree-megoldásokkal, írási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Microsoft.OperationsManagement/solutions/action.
További információ az Azure Monitor és a Log Analytics munkaterületi megoldásairól.
- Ha rendelkezik a SecurityCenterFree megoldással, legalább olvasási engedélyekkel kell rendelkeznie a munkaterület-megoldáshoz:
Folyamatos exportálás beállítása a REST API használatával
A folyamatos exportálást az Felhőhöz készült Microsoft Defender Automations API használatával állíthatja be és kezelheti. Ezzel az API-val szabályokat hozhat létre vagy frissíthet az alábbi célhelyek bármelyikére való exportáláshoz:
- Azure-eseményközpontok
- Log Analytics-munkaterület
- Azure Logic Apps
Az adatokat egy másik bérlő eseményközpontjába vagy Log Analytics-munkaterületére is elküldheti.
Feljegyzés
Ha a REST API használatával konfigurálja a folyamatos exportálást, mindig adja meg a szülőt a megállapításokkal.
Íme néhány példa a lehetőségekre, amelyeket csak az API-ban használhat:
Nagyobb mennyiség: Egyetlen előfizetésen több exportálási konfigurációt is létrehozhat az API használatával. Az Azure Portal Folyamatos exportálás lapja előfizetésenként csak egy exportálási konfigurációt támogat.
További funkciók: Az API olyan paramétereket kínál, amelyek nem jelennek meg az Azure Portalon. Hozzáadhat például címkéket az automatizálási erőforráshoz, és az exportálást a riasztási és javaslati tulajdonságok szélesebb halmaza alapján határozhatja meg, mint amelyeket az Azure Portal Folyamatos exportálás lapján kínálnak.
Szűrt hatókör: Az API részletesebb szintet kínál az exportálási konfigurációk hatóköréhez. Ha az API-val definiál egy exportálást, azt az erőforráscsoport szintjén határozhatja meg. Ha a Folyamatos exportálás lapot használja az Azure Portalon, azt az előfizetés szintjén kell meghatároznia.
Tipp.
Ezek a csak API-beállítások nem jelennek meg az Azure Portalon. Ha használja őket, egy szalagcím tájékoztatja arról, hogy más konfigurációk is léteznek.