你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 安全警报和建议的连续导出可以帮助你分析 Log Analytics 或 Azure 事件中心内的数据。 可以使用 REST API 在 Defender for Cloud 中设置连续导出。
提示
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
先决条件
需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅,可以注册免费订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
所需角色和权限:
- 资源组的安全管理员或所有者
- 目标资源的写入权限。
- 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
- 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
- 导出到 Log Analytics 工作区:
如果其具有 SecurityCenterFree 解决方案,则你必须至少对工作区解决方案具有读取权限:
Microsoft.OperationsManagement/solutions/read。如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action。
通过使用 REST API 设置连续导出
可以使用 Microsoft Defender for Cloud 自动化 API 设置和管理连续导出。 使用此 API 创建或更新规则,以便将内容导出到以下任何目标:
- Azure 事件中心
- Log Analytics 工作区
- Azure 逻辑应用
还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区。
注意
如果您通过 REST API 配置连续导出,请始终将父级项与发现结果一并包含。
下面是一些只能在 API 中使用的选项示例:
更大规模:您可以通过 API 为单个订阅创建多个导出配置。 Azure 门户中的“连续导出”页仅支持每个订阅一个导出配置。
其他功能:API 提供了 Azure 门户中未显示的其他参数。 例如,您可以为自动化资源添加标记,并根据比 Azure 门户中 连续导出 页面所提供的更广泛的一组警报和建议属性来定义导出内容。
更明确的作用域:API 为导出配置的作用域提供更精细的级别。 使用 API 定义导出时,可以在资源组级别定义导出。 如果使用 Azure 门户中的“连续导出”页面,则必须在订阅级别定义它。
提示
这些仅限 API 的选项不会显示在 Azure 门户中。 如果您使用这些配置,系统会通过横幅提示您还有其他配置可用。