持續匯出 適用於雲端的 Microsoft Defender 的警示與建議,有助於你分析 Log Analytics 或 Azure 事件中樞 中的資料。 你可以透過 REST API 在 適用於雲端的 Defender 中設定和管理持續匯出。
提示
適用於雲端的 Defender 也支援一次性手動匯出為逗號分隔值(CSV)檔案。 如需相關說明,請參閱 將提醒匯出為 CSV。
必要條件
在使用 REST API 設定連續匯出前,請確保你符合以下要求:
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
資源群組的安全性系統管理員或擁有者
目標資源寫入權限。
如果您使用 Azure 原則 DeployIfNotExist 原則,則必須擁有可以指派原則的權限。
若要將資料匯出至事件中樞,您必須具備事件中樞原則的寫入權限。
若要匯出至 Log Analytics 工作區:
如果該工作區使用 SecurityCenterFree 解決方案,您必須至少具備該工作區解決方案的讀取權限:
Microsoft.OperationsManagement/solutions/read。如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:
Microsoft.OperationsManagement/solutions/action。
使用 REST API 設定連續匯出
您可以使用適用於雲端的 Microsoft Defender 自動化 API 來設定和管理連續匯出。 使用此 API 來建立或更新匯出至下列任何目的地的規則:
- Azure 事件中樞
- Log Analytics 工作區
- Azure Logic Apps
您也可以將資料傳送至不同租用戶中的事件中樞或 Log Analytics 工作區。
備註
如果您是使用 REST API 設定連續匯出,請務必在發現結果中包含父項。
以下是僅透過 API 提供的選項:
更大的磁碟區:您可以使用 API 在單一訂用帳戶上建立多個匯出設定。 Azure 入口網站中的 [連續匯出] 頁面僅支援每個訂用帳戶一個匯出設定。
其他功能:API 提供 Azure 入口網站中未顯示的其他參數。 例如,您可以將標籤新增到自動化資源,並根據比 Azure 入口網站中 連續匯出 頁面所提供者更廣泛的一組警示和建議屬性來定義匯出。
聚焦範圍 - API 會針對匯出設定的範圍提供更細微的層級。 使用 API 定義匯出時,可以在資源群組層級定義匯出。 如果您在 Azure 入口網站中使用 連續匯出 頁面,則必須將其定義在訂用帳戶層級。
提示
這些僅限 API 的選項不會顯示在 Azure 入口網站中。 若您使用這些選項,則會顯示橫幅通知您有其他設定。