使用 REST API 設定連續匯出
適用於雲端的 Microsoft Defender 安全性警示和建議的連續匯出可協助您分析 Log Analytics 或 Azure 事件中樞中的資料。 您可以使用 REST API 在「適用於雲端的 Defender」中設定連續匯出。
提示
適用於雲端的 Defender 也提供選項,讓您可以執行一次性手動匯出至逗號分隔值 (CSV) 檔案。 了解如何下載 CSV 檔案。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
- 資源群組的安全性系統管理員或擁有者
- 目標資源的寫入權限。
- 如果您使用 Azure 原則 DeployIfNotExist 原則,則必須擁有可以指派原則的權限。
- 若要將資料匯出至事件中樞,您必須具備事件中樞原則的寫入權限。
- 若要匯出至 Log Analytics 工作區:
如果該工作區使用 SecurityCenterFree 解決方案,您必須至少具備該工作區解決方案的讀取權限:
Microsoft.OperationsManagement/solutions/read。如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:
Microsoft.OperationsManagement/solutions/action。
使用 REST API 設定連續匯出
您可以使用適用於雲端的 Microsoft Defender 自動化 API 來設定和管理連續匯出。 使用此 API 來建立或更新匯出至下列任何目的地的規則:
- Azure 事件中樞
- Log Analytics 工作區
- Azure Logic 應用程式
您也可以將資料傳送至不同租用戶中的事件中樞或 Log Analytics 工作區。
注意
如果您要使用 REST API 設定連續匯出,請一律包括父代與結果。
以下是一些您只能在 API 中使用的選項範例:
更大的磁碟區:您可以使用 API 在單一訂用帳戶上建立多個匯出設定。 Azure 入口網站中的 [連續匯出] 頁面僅支援每個訂用帳戶一個匯出設定。
其他功能:API 提供 Azure 入口網站中未顯示的其他參數。 例如,您可以將標籤新增至自動化資源,以及根據一組警示和建議定義匯出,而這些警示和建議比適用於雲端的 Azure 入口網站中的 [連續匯出] 頁面所提供的更廣泛。
聚焦範圍 - API 會針對匯出設定的範圍提供更細微的層級。 使用 API 定義匯出時,可以在資源群組層級定義匯出。 如果您在 Azure 入口網站中使用 [連續匯出] 頁面,則必須在訂用帳戶層級定義匯出。
提示
這些僅限 API 的選項不會顯示在 Azure 入口網站中。 若您使用這些選項,則會顯示橫幅通知您有其他設定。