Nastavení průběžného exportu pomocí rozhraní REST API
Průběžný export výstrah a doporučení zabezpečení v programu Microsoft Defender pro cloud vám může pomoct analyzovat data v Log Analytics nebo ve službě Azure Event Hubs. Průběžný export můžete nastavit v Defenderu pro cloud pomocí rozhraní REST API.
Tip
Defender for Cloud také nabízí možnost jednorázového ručního exportu do souboru hodnot oddělených čárkami (CSV). Přečtěte si, jak stáhnout soubor CSV.
Požadavky
Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Požadované role a oprávnění:
- Správce zabezpečení nebo vlastník skupiny prostředků
- Oprávnění k zápisu pro cílový prostředek
- Pokud používáte zásady Azure Policy DeployIfNotExist, musíte mít oprávnění, která umožňují přiřazovat zásady.
- Pokud chcete exportovat data do služby Event Hubs, musíte mít oprávnění k zápisu do zásad služby Event Hubs.
- Export do pracovního prostoru služby Log Analytics:
Pokud má řešení SecurityCenterFree, musíte mít minimálně oprávnění ke čtení pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/read
.Pokud řešení SecurityCenterFree nemá, musíte mít oprávnění k zápisu pro řešení pracovního prostoru:
Microsoft.OperationsManagement/solutions/action
.Přečtěte si další informace o řešeních pracovních prostorů služby Azure Monitor a Log Analytics.
Nastavení průběžného exportu pomocí rozhraní REST API
Průběžný export můžete nastavit a spravovat pomocí rozhraní API pro automatizaci cloudu v programu Microsoft Defender. Pomocí tohoto rozhraní API můžete vytvořit nebo aktualizovat pravidla pro export do některého z následujících cílů:
- Azure Event Hubs
- Pracovní prostor služby Log Analytics
- Azure Logic Apps
Data můžete také odeslat do centra událostí nebo do pracovního prostoru služby Log Analytics v jiném tenantovi.
Poznámka:
Pokud konfigurujete průběžný export pomocí rozhraní REST API, vždy zahrňte nadřazenou položku se zjištěními.
Tady je několik příkladů možností, které můžete použít pouze v rozhraní API:
Větší objem: Pomocí rozhraní API můžete vytvořit více konfigurací exportu v jednom předplatném. Stránka Průběžný export na webu Azure Portal podporuje pouze jednu konfiguraci exportu pro každé předplatné.
Další funkce: Rozhraní API nabízí parametry, které se nezobrazují na webu Azure Portal. Do prostředku automatizace můžete například přidat značky a definovat export na základě širší sady vlastností upozornění a doporučení než ty, které jsou nabízeny na stránce průběžného exportu na webu Azure Portal.
Rozsah zaměření: Rozhraní API nabízí podrobnější úroveň rozsahu konfigurací exportu. Když definujete export pomocí rozhraní API, můžete ho definovat na úrovni skupiny prostředků. Pokud používáte stránku průběžného exportu na webu Azure Portal, musíte ji definovat na úrovni předplatného.
Tip
Tyto možnosti jen pro rozhraní API se na webu Azure Portal nezobrazují. Pokud je použijete, banner vás informuje, že existují další konfigurace.