Configurar a exportação contínua com a API REST

A exportação contínua de alertas e recomendações de segurança do Microsoft Defender para Nuvem pode ajudar a analisar os dados no Log Analytics ou nos Hubs de Eventos do Azure. Você pode configurar a exportação contínua no Defender para Nuvem usando a API REST.

Dica

O Defender para Nuvem também oferece a opção de fazer uma exportação manual única para um arquivo CSV (valores separados por vírgula). Saiba como baixar um arquivo CSV.

Pré-requisitos

• É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.

• Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.

Funções e permissões necessárias:

• Administrador de Segurança ou Proprietário do grupo de recursos
• Permissões de gravação para o recurso de destino.
• Caso use as políticas DeployIfNotExist do Azure Policy, você deverá ter permissões que permitem atribuir políticas.
• Para exportar dados para os Hubs de Eventos, você deverá ter permissões de gravação na política dos Hubs de Eventos.
• Para exportar para um workspace do Log Analytics:

  • Se tiver a solução SecurityCenterFree, é necessário ter no mínimo permissões de leitura para a solução de workspace: Microsoft.OperationsManagement/solutions/read.

  • Se não tiver a solução SecurityCenterFree, é necessário ter permissões de gravação para a solução de workspace: Microsoft.OperationsManagement/solutions/action.

    Saiba mais sobre as Soluções de workspace do Log Analytics e do Azure Monitor.

Configurar a exportação contínua usando a API REST

Configure e gerencie a exportação contínua usando a API de automações do Microsoft Defender para Nuvem. Use esta API para criar ou atualizar regras a fim de exportar para qualquer um dos seguintes destinos:

• Hubs de Eventos do Azure
• Espaço de trabalho do Log Analytics
• Aplicativo Lógico do Azure

Também é possível enviar os dados para um hub de eventos ou workspace do Log Analytics em um locatário diferente.

Observação

Caso esteja configurando a exportação contínua usando a API REST, inclua sempre o pai com as descobertas.

Estes são alguns exemplos de opções que você poderá usar apenas na API:

• Volume maior: é possível criar diversas configurações de exportação em uma única assinatura usando a API. A página de Exportação Contínua no portal do Azure dá suporte apenas a uma configuração de exportação por assinatura.

• Recursos adicionais: a API oferece parâmetros que não são mostrados no portal do Azure. Por exemplo, você poderá adicionar marcas ao recurso de automação e definir a exportação com base em um conjunto mais amplo de propriedades de alerta e recomendação do que as que são oferecidas na página Exportação contínua no portal do Azure.

• Escopo focalizado: a API oferece um nível mais granular para o escopo de suas configurações de exportação. Ao definir uma exportação usando a API, é possível defini-la no nível do grupo de recursos. Se você estiver usando a página Exportação contínua no portal do Azure, deverá defini-la no nível da assinatura.

  Dica

  Essas opções somente para API não são mostradas no portal do Azure. Se usá-las, uma faixa informará que existem outras configurações.

Próxima etapa

Configurar a exportação contínua com o Azure Policy