Настройка непрерывного экспорта с помощью REST API
Непрерывный экспорт оповещений и рекомендаций системы безопасности Microsoft Defender для облака позволяет анализировать данные в Log Analytics или Центры событий Azure. Вы можете настроить непрерывный экспорт в Defender для облака с помощью REST API.
Совет
Defender для облака также предлагает возможность однократного экспорта вручную в CSV-файл. Узнайте, как скачать CSV-файл.
Необходимые компоненты
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Требуемые роли и разрешения
Администратор безопасности или владелец группы ресурсов
Разрешения на запись для целевого ресурса.
Если вы используете политики Политика Azure DeployIfNotExist, у вас должны быть разрешения, позволяющие назначать политики.
Чтобы экспортировать данные в Центры событий, необходимо иметь разрешения на запись в политике Центров событий.
Для экспорта в рабочую область Log Analytics:
- Если у него есть решение SecurityCenterFree, для решения рабочей области необходимо иметь минимальные разрешения на чтение:
Microsoft.OperationsManagement/solutions/read
- Если у него нет решения SecurityCenterFree, необходимо иметь разрешения на запись для решения рабочей области:
Microsoft.OperationsManagement/solutions/action
Дополнительные сведения о решениях рабочей области Azure Monitor и Log Analytics.
- Если у него есть решение SecurityCenterFree, для решения рабочей области необходимо иметь минимальные разрешения на чтение:
Настройка непрерывного экспорта с помощью REST API
Вы можете настроить непрерывный экспорт и управлять ими с помощью API автоматизации Microsoft Defender для облака. Используйте этот API для создания или обновления правил экспорта в любое из следующих назначений:
- Центры событий Azure
- Рабочая область Log Analytics
- Приложения логики Azure
Вы также можете отправлять данные в концентратор событий или рабочую область Log Analytics в другом клиенте.
Примечание.
Если вы настраиваете непрерывный экспорт с помощью REST API, всегда включите родительский объект с результатами.
Ниже приведены некоторые примеры параметров, которые можно использовать только в API:
Больше тома: можно создать несколько конфигураций экспорта в одной подписке с помощью API. Страница Непрерывный экспорт на портале Azure поддерживает только одну конфигурацию экспорта для каждой подписки.
Дополнительные функции: API предлагает параметры, которые не отображаются в портал Azure. Например, вы можете добавить теги в ресурс автоматизации и определить экспорт на основе более широкого набора свойств оповещений и рекомендаций, чем те, которые предлагаются на странице непрерывного экспорта в портал Azure.
Область фокуса. API предлагает более детализированный уровень для области конфигураций экспорта. При определении экспорта с помощью API его можно определить на уровне группы ресурсов. Если вы используете страницу непрерывного экспорта в портал Azure, необходимо определить ее на уровне подписки.
Совет
Эти параметры, устанавливаемые только для API, не отображаются на портале Azure. Если вы используете их, баннер сообщает вам, что существуют другие конфигурации.