Configurar a exportação contínua com a API REST
A exportação contínua de alertas e recomendações de segurança do Microsoft Defender for Cloud pode ajudá-lo a analisar os dados no Log Analytics ou nos Hubs de Eventos do Azure. Você pode configurar a exportação contínua no Defender for Cloud usando a API REST.
Gorjeta
O Defender for Cloud também oferece a opção de fazer uma exportação manual única para um arquivo CSV (valores separados por vírgula). Saiba como baixar um arquivo CSV.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Funções e permissões necessárias:
Administrador ou Proprietário de Segurança para o grupo de recursos
Permissões de gravação para o recurso de destino.
Se você usar as políticas DeployIfNotExist da Política do Azure, deverá ter permissões que permitam atribuir políticas.
Para exportar dados para Hubs de Eventos, você deve ter permissões de Gravação na política de Hubs de Eventos.
Para exportar para um espaço de trabalho do Log Analytics:
- Se tiver a solução SecurityCenterFree, tem de ter um mínimo de permissões de Leitura para a solução de espaço de trabalho:
Microsoft.OperationsManagement/solutions/read. - Se não tiver a solução SecurityCenterFree, tem de ter permissões de escrita para a solução de espaço de trabalho:
Microsoft.OperationsManagement/solutions/action.
Saiba mais sobre as soluções de espaço de trabalho do Azure Monitor e do Log Analytics.
- Se tiver a solução SecurityCenterFree, tem de ter um mínimo de permissões de Leitura para a solução de espaço de trabalho:
Configurar a exportação contínua usando a API REST
Você pode configurar e gerenciar a exportação contínua usando a API de automações do Microsoft Defender for Cloud. Use esta API para criar ou atualizar regras de exportação para qualquer um dos seguintes destinos:
- Hubs de Eventos do Azure
- Área de trabalho do Log Analytics
- Azure Logic Apps
Você também pode enviar os dados para um hub de eventos ou espaço de trabalho do Log Analytics em um locatário diferente.
Nota
Se você estiver configurando a exportação contínua usando a API REST, inclua sempre o pai com as descobertas.
Aqui estão alguns exemplos de opções que você pode usar somente na API:
Maior volume: você pode criar várias configurações de exportação em uma única assinatura usando a API. A página Exportação Contínua no portal do Azure suporta apenas uma configuração de exportação por subscrição.
Recursos adicionais: a API oferece parâmetros que não são mostrados no portal do Azure. Por exemplo, você pode adicionar tags ao seu recurso de automação e definir sua exportação com base em um conjunto mais amplo de propriedades de alerta e recomendação do que as oferecidas na página Exportação contínua no portal do Azure.
Escopo focado: a API oferece um nível mais granular para o escopo de suas configurações de exportação. Ao definir uma exportação usando a API, você pode defini-la no nível do grupo de recursos. Se você estiver usando a página Exportação contínua no portal do Azure, deverá defini-la no nível da assinatura.
Gorjeta
Essas opções somente de API não são mostradas no portal do Azure. Se você usá-los, um banner informa que existem outras configurações.