Continue export instellen met REST API
Continue export van Microsoft Defender voor Cloud beveiligingswaarschuwingen en aanbevelingen kan u helpen bij het analyseren van de gegevens in Log Analytics of Azure Event Hubs. U kunt continue export instellen in Defender voor Cloud met behulp van de REST API.
Tip
Defender voor Cloud biedt ook de mogelijkheid om eenmalig een handmatige export uit te voeren naar een CSV-bestand (door komma's gescheiden waarden). Meer informatie over het downloaden van een CSV-bestand.
Vereisten
U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
Vereiste rollen en machtigingen:
Beveiligingsbeheerder of eigenaar voor de resourcegroep
Schrijfmachtigingen voor de doelresource.
Als u het Azure Policy DeployIfNotExist-beleid gebruikt, moet u machtigingen hebben waarmee u beleidsregels kunt toewijzen.
Als u gegevens wilt exporteren naar Event Hubs, moet u schrijfmachtigingen hebben voor het Event Hubs-beleid.
Exporteren naar een Log Analytics-werkruimte:
- Als deze de SecurityCenterFree-oplossing heeft, moet u minimaal leesmachtigingen hebben voor de werkruimteoplossing:
Microsoft.OperationsManagement/solutions/read
- Als deze niet over de SecurityCenterFree-oplossing beschikt, moet u schrijfmachtigingen hebben voor de werkruimteoplossing:
Microsoft.OperationsManagement/solutions/action
Meer informatie over Azure Monitor- en Log Analytics-werkruimteoplossingen.
- Als deze de SecurityCenterFree-oplossing heeft, moet u minimaal leesmachtigingen hebben voor de werkruimteoplossing:
Continue export instellen met behulp van de REST API
U kunt continue export instellen en beheren met behulp van de Microsoft Defender voor Cloud automations-API. Gebruik deze API om regels te maken of bij te werken voor het exporteren naar een van de volgende bestemmingen:
- Azure Event Hubs
- Log Analytics-werkruimte
- Azure Logic-apps
U kunt de gegevens ook verzenden naar een Event Hub of Log Analytics-werkruimte in een andere tenant.
Notitie
Als u continue export configureert met behulp van de REST API, neemt u altijd het bovenliggende item op met de bevindingen.
Hier volgen enkele voorbeelden van opties die u alleen in de API kunt gebruiken:
Groter volume: u kunt meerdere exportconfiguraties voor één abonnement maken met behulp van de API. De pagina Continue export in Azure Portal ondersteunt slechts één exportconfiguratie per abonnement.
Aanvullende functies: De API biedt parameters die niet worden weergegeven in Azure Portal. U kunt bijvoorbeeld tags toevoegen aan uw automatiseringsresource en uw export definiëren op basis van een bredere set waarschuwings- en aanbevelingseigenschappen dan de eigenschappen die worden aangeboden op de pagina Continue export in Azure Portal.
Gericht bereik: de API biedt u een gedetailleerder niveau voor het bereik van uw exportconfiguraties. Wanneer u een export definieert met behulp van de API, kunt u deze definiëren op het niveau van de resourcegroep. Als u de pagina Continue export in Azure Portal gebruikt, moet u deze definiëren op abonnementsniveau.
Tip
Deze API-opties worden niet weergegeven in Azure Portal. Als u deze gebruikt, informeert een banner u dat er andere configuraties bestaan.