Konfigurera kontinuerlig export med REST API

Kontinuerlig export av Microsoft Defender för molnet säkerhetsaviseringar och rekommendationer kan hjälpa dig att analysera data i Log Analytics eller Azure Event Hubs. Du kan konfigurera kontinuerlig export i Defender för molnet med hjälp av REST-API:et.

Dricks

Defender för molnet erbjuder också alternativet att göra en manuell export till en CSV-fil (onetime, manual export to a comma-separated values). Lär dig hur du laddar ned en CSV-fil.

Förutsättningar

• Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.

• Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.

Nödvändiga roller och behörigheter:

• Säkerhetsadministratör eller ägare för resursgruppen
• Skrivbehörigheter för målresursen.
• Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
• Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
• Så här exporterar du till en Log Analytics-arbetsyta:

  • Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen: Microsoft.OperationsManagement/solutions/read.

  • Om den inte har Lösningen SecurityCenterFree måste du ha skrivbehörighet för arbetsytelösningen: Microsoft.OperationsManagement/solutions/action.

    Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.

Konfigurera kontinuerlig export med hjälp av REST-API:et

Du kan konfigurera och hantera kontinuerlig export med hjälp av API:et Microsoft Defender för molnet automations. Använd det här API:et för att skapa eller uppdatera regler för export till något av följande mål:

• Azure Event Hubs
• Log Analytics-arbetsyta
• Azure Logic Program-program

Du kan också skicka data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation.

Kommentar

Om du konfigurerar kontinuerlig export med hjälp av REST-API:et ska du alltid inkludera den överordnade med resultaten.

Här är några exempel på alternativ som du bara kan använda i API:et:

• Större volym: Du kan skapa flera exportkonfigurationer för en enskild prenumeration med hjälp av API:et. Sidan Kontinuerlig export i Azure Portal stöder endast en exportkonfiguration per prenumeration.

• Ytterligare funktioner: API:et erbjuder parametrar som inte visas i Azure Portal. Du kan till exempel lägga till taggar till din automationsresurs och definiera din export baserat på en bredare uppsättning aviserings- och rekommendationsegenskaper än de som erbjuds på sidan Kontinuerlig export i Azure Portal.

• Fokuserat omfång: API:et ger dig en mer detaljerad nivå för omfånget för dina exportkonfigurationer. När du definierar en export med hjälp av API:et kan du definiera den på resursgruppsnivå. Om du använder sidan Kontinuerlig export i Azure Portal måste du definiera den på prenumerationsnivå.

  Dricks

  Dessa API-alternativ visas inte i Azure Portal. Om du använder dem informerar en banderoll dig om att det finns andra konfigurationer.

Gå vidare

Konfigurera kontinuerlig export med Azure Policy