Einrichten eines fortlaufenden Exports per REST-API
Der fortlaufende Export von Microsoft Defender for Cloud-Sicherheitswarnungen und -empfehlungen kann Sie bei der Analyse der Daten in Log Analytics oder Azure Event Hubs unterstützen. Sie können den fortlaufenden Export in Defender for Cloud mithilfe der REST-API einrichten.
Tipp
Defender for Cloud bietet auch die Möglichkeit, einen einmaligen manuellen Export in eine CSV-Datei auszuführen. Erfahren Sie, wie Sie eine CSV-Datei herunterladen.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Erforderliche Rollen und Berechtigungen:
Sicherheitsadministrator*in oder Besitzer*in für die Ressourcengruppe
Schreibberechtigungen für die Zielressource.
Wenn Sie die DeployIfNotExist-Richtlinien von Azure Policy verwenden, müssen Sie über Berechtigungen verfügen, mit denen Sie Richtlinien zuweisen können.
Um Daten zu Event Hubs zu exportieren, müssen Sie über Schreibberechtigungen für die Event Hubs-Richtlinie verfügen.
So exportieren Sie in einen Log Analytics-Arbeitsbereich
- Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben:
Microsoft.OperationsManagement/solutions/read. - Wenn er nicht über die SecurityCenterFree-Lösung verfügt, müssen Sie Schreibberechtigungen für die Arbeitsbereichslösung haben:
Microsoft.OperationsManagement/solutions/action.
Erfahren Sie mehr über Azure Monitor und Log Analytics-Arbeitsbereichslösungen.
- Wenn er über die SecurityCenterFree-Lösung verfügt, müssen Sie mindestens Leseberechtigungen für die Arbeitsbereichslösung haben:
Einrichten eines fortlaufenden Exports mithilfe der REST-API
Sie können den fortlaufenden Export mithilfe der Automatisierungs-API von Microsoft Defender for Cloud einrichten und verwalten. Verwenden Sie diese API, um Regeln für den Export an eines der folgenden Ziele zu erstellen oder zu aktualisieren:
- Azure Event Hubs
- Log Analytics-Arbeitsbereich
- Azure Logic Apps
Sie können die Daten auch an einen Event Hub oder Log Analytics-Arbeitsbereich in einem anderen Mandanten senden.
Hinweis
Wenn Sie einen fortlaufenden Export mithilfe der REST-API konfigurieren, schließen Sie immer das übergeordnete Element in die Ergebnisse ein.
Hier sind Sie einige Beispiele für Optionen, die Sie nur in der API verwenden können:
Größeres Volumen: Mithilfe der API können Sie mehrere Exportkonfigurationen für ein einzelnes Abonnement erstellen. Die Seite Fortlaufender Export im Azure-Portal unterstützt nur eine Exportkonfiguration pro Abonnement.
Zusätzliche Features: Die API bietet Parameter, die im Azure-Portal nicht angezeigt werden. Sie können beispielsweise Tags zu Ihrer Automatisierungsressource hinzufügen und Ihren Export basierend auf einer breiteren Palette von Warn- und Empfehlungseigenschaften definieren, als diejenigen, die auf der Seite Fortlaufender Export im Azure-Portal angeboten werden.
Fokussierter Bereich: Die API bietet Ihnen eine differenziertere Ebene für den Umfang ihrer Exportkonfigurationen. Wenn Sie einen Export mithilfe der API definieren, können Sie ihn auf Ressourcengruppenebene definieren. Wenn Sie die Seite Fortlaufender Export im Azure-Portal verwenden, müssen Sie den Export auf der Abonnementsebene definieren.
Tipp
Diese nur in der API verfügbaren Optionen werden nicht im Azure-Portal angezeigt. Wenn Sie diese verwenden, informiert Sie ein Banner darüber, dass andere Konfigurationen vorhanden sind.