Konfigurowanie eksportu ciągłego przy użyciu interfejsu API REST
Ciągły eksport alertów zabezpieczeń i zaleceń dotyczących Microsoft Defender dla Chmury może pomóc w analizowaniu danych w usłudze Log Analytics lub Azure Event Hubs. Eksport ciągły można skonfigurować w Defender dla Chmury przy użyciu interfejsu API REST.
Napiwek
Defender dla Chmury oferuje również opcję jednorazowego ręcznego eksportowania do pliku wartości rozdzielanych przecinkami (CSV). Dowiedz się, jak pobrać plik CSV.
Wymagania wstępne
Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.
Wymagane role i uprawnienia:
Zabezpieczenia Administracja lub właściciel grupy zasobów
Uprawnienia do zapisu dla zasobu docelowego.
Jeśli używasz zasad Azure Policy DeployIfNotExist, musisz mieć uprawnienia, które umożliwiają przypisywanie zasad.
Aby wyeksportować dane do usługi Event Hubs, musisz mieć uprawnienia do zapisu w zasadach usługi Event Hubs.
Aby wyeksportować do obszaru roboczego usługi Log Analytics:
- Jeśli ma ono rozwiązanie SecurityCenterFree, musisz mieć co najmniej uprawnienia do odczytu dla rozwiązania obszaru roboczego:
Microsoft.OperationsManagement/solutions/read. - Jeśli nie ma rozwiązania SecurityCenterFree, musisz mieć uprawnienia do zapisu dla rozwiązania obszaru roboczego:
Microsoft.OperationsManagement/solutions/action.
Dowiedz się więcej o rozwiązaniach obszarów roboczych usługi Azure Monitor i Log Analytics.
- Jeśli ma ono rozwiązanie SecurityCenterFree, musisz mieć co najmniej uprawnienia do odczytu dla rozwiązania obszaru roboczego:
Konfigurowanie eksportu ciągłego przy użyciu interfejsu API REST
Eksport ciągły można skonfigurować i zarządzać nim przy użyciu interfejsu API automatyzacji Microsoft Defender dla Chmury. Użyj tego interfejsu API, aby utworzyć lub zaktualizować reguły eksportowania do dowolnego z następujących miejsc docelowych:
- Azure Event Hubs
- Obszar roboczy usługi Log Analytics
- Azure Logic Apps
Możesz również wysłać dane do centrum zdarzeń lub obszaru roboczego usługi Log Analytics w innej dzierżawie.
Uwaga
Jeśli konfigurujesz eksport ciągły przy użyciu interfejsu API REST, zawsze uwzględnij element nadrzędny z wynikami.
Oto kilka przykładów opcji, których można używać tylko w interfejsie API:
Większy wolumin: można utworzyć wiele konfiguracji eksportu w jednej subskrypcji przy użyciu interfejsu API. Strona Eksport ciągły w witrynie Azure Portal obsługuje tylko jedną konfigurację eksportu na subskrypcję.
Dodatkowe funkcje: interfejs API oferuje parametry, które nie są wyświetlane w witrynie Azure Portal. Możesz na przykład dodać tagi do zasobu automatyzacji i zdefiniować eksport na podstawie szerszego zestawu właściwości alertów i rekomendacji niż te, które są oferowane na stronie Ciągłe eksportowanie w witrynie Azure Portal.
Zakres ukierunkowany: interfejs API oferuje bardziej szczegółowy poziom dla zakresu konfiguracji eksportu. Podczas definiowania eksportu przy użyciu interfejsu API można go zdefiniować na poziomie grupy zasobów. Jeśli używasz strony Eksport ciągły w witrynie Azure Portal, musisz zdefiniować ją na poziomie subskrypcji.
Napiwek
Te opcje tylko interfejsu API nie są wyświetlane w witrynie Azure Portal. Jeśli ich używasz, baner informuje o tym, że istnieją inne konfiguracje.