Konfigurera kontinuerlig export med REST API
Kontinuerlig export av säkerhetsaviseringar och rekommendationer för Microsoft Defender för molnet kan hjälpa dig att analysera data i Log Analytics eller Azure Event Hubs. Du kan konfigurera kontinuerlig export i Defender för molnet med hjälp av REST-API:et.
Dricks
Defender for Cloud erbjuder också alternativet att göra en manuell export till en CSV-fil (onetime, manual export to a comma-separated values). Lär dig hur du laddar ned en CSV-fil.
Förutsättningar
Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.
Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.
Nödvändiga roller och behörigheter:
Säkerhetsadministratör eller ägare för resursgruppen
Skrivbehörigheter för målresursen.
Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
Så här exporterar du till en Log Analytics-arbetsyta:
- Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/read. - Om den inte har Lösningen SecurityCenterFree måste du ha skrivbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/action.
Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.
- Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Konfigurera kontinuerlig export med hjälp av REST-API:et
Du kan konfigurera och hantera kontinuerlig export med hjälp av API:et för Automatisering av Microsoft Defender för molnet. Använd det här API:et för att skapa eller uppdatera regler för export till något av följande mål:
- Azure Event Hubs
- Log Analytics-arbetsyta
- Azure Logic Program-program
Du kan också skicka data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation.
Kommentar
Om du konfigurerar kontinuerlig export med hjälp av REST-API:et ska du alltid inkludera den överordnade med resultaten.
Här är några exempel på alternativ som du bara kan använda i API:et:
Större volym: Du kan skapa flera exportkonfigurationer för en enskild prenumeration med hjälp av API:et. Sidan Kontinuerlig export i Azure-portalen stöder endast en exportkonfiguration per prenumeration.
Ytterligare funktioner: API:et erbjuder parametrar som inte visas i Azure-portalen. Du kan till exempel lägga till taggar till din automationsresurs och definiera din export baserat på en bredare uppsättning aviserings- och rekommendationsegenskaper än de som erbjuds på sidan Kontinuerlig export i Azure-portalen.
Fokuserat omfång: API:et ger dig en mer detaljerad nivå för omfånget för dina exportkonfigurationer. När du definierar en export med hjälp av API:et kan du definiera den på resursgruppsnivå. Om du använder sidan Kontinuerlig export i Azure-portalen måste du definiera den på prenumerationsnivå.
Dricks
Dessa API-alternativ visas inte i Azure-portalen. Om du använder dem informerar en banderoll dig om att det finns andra konfigurationer.