使用 Azure 原則 設定連續匯出
持續匯出 適用於雲端的 Microsoft Defender 安全性警示和建議,可協助您分析Log Analytics 中的數據或 Azure 事件中樞。 您可以使用提供的 Azure 原則 範本,在大規模 適用於雲端的 Defender 中設定連續匯出。
提示
適用於雲端的 Defender 也提供一次性、手動匯出至逗號分隔值 (CSV) 檔案的選項。 瞭解如何 下載 CSV 檔案。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
資源群組的安全性 管理員 或擁有者
目標資源的寫入許可權。
如果您使用 Azure 原則 DeployIfNotExist 原則,您必須具有可讓您指派原則的許可權。
若要將數據匯出至事件中樞,您必須具有事件中樞原則的寫入許可權。
若要匯出至 Log Analytics 工作區:
- 如果它有 SecurityCenterFree 解決方案,您必須至少具有工作區解決方案的讀取許可權:
Microsoft.OperationsManagement/solutions/read。 - 如果沒有 SecurityCenterFree 解決方案,您必須擁有工作區解決方案的寫入許可權:
Microsoft.OperationsManagement/solutions/action。
- 如果它有 SecurityCenterFree 解決方案,您必須至少具有工作區解決方案的讀取許可權:
使用 Azure 原則 大規模設定連續匯出
自動化組織的監視和事件回應程式,可協助您縮短調查及減輕安全性事件所需的時間。
若要在整個組織中部署連續匯出組態,請使用所提供的 Azure 原則 DeployIfNotExist 原則來建立及設定連續匯出程式。
若要實作這些原則:
選取要套用的原則:
Goal 原則 原則標識碼 連續匯出至事件中樞 針對 適用於雲端的 Microsoft Defender 警示和建議將導出部署至事件中樞 cdfcce10-4578-4ecd-9703-530938e4abcb 連續導出至Log Analytics工作區 針對「適用於雲端的 Microsoft Defender 」警示和建議來部署匯出至 Log Analytics 工作區 ffb6f416-7bd2-4488-8828-56585fef2be9 選取指派。
選取每個索引標籤,並設定參數以符合您的需求:
在 [ 基本] 索引 標籤上,設定原則的範圍。 若要使用集中式管理,請將原則指派給包含使用連續匯出組態之訂用帳戶的管理群組。
在 [ 參數] 索引標籤上,設定資源組名、位置和事件中樞詳細數據。
或者,若要將此指派套用至現有的訂用帳戶,請選取 [ 補救] 索引卷標,然後選取選項以建立補救工作。
檢閱摘要頁面,然後選取 [ 建立]。