使用 Azure Policy 设置连续导出

Microsoft Defender for Cloud 安全警报和建议的连续导出可以帮助你分析 Log Analytics 或 Azure 事件中心内的数据。 可以使用提供的 Azure Policy 模板在 Defender for Cloud 中大规模设置连续导出。

提示

Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件

先决条件

所需角色和权限:

  • 资源组的安全管理员或所有者

  • 对目标资源的写入权限。

  • 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。

  • 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。

  • 导出到 Log Analytics 工作区:

    • 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:Microsoft.OperationsManagement/solutions/read
    • 如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:Microsoft.OperationsManagement/solutions/action

    详细了解 Azure Monitor 和 Log Analytics 工作区解决方案

使用 Azure Policy 大规模设置连续导出

自动执行组织的监视和事件响应过程可以帮助你缩短调查和缓解安全事件所花的时间。

若要在组织中部署连续导出配置,请使用提供的 Azure Policy DeployIfNotExist 策略来创建和配置连续导出过程。

要实施这些策略,请执行以下操作:

  1. 选择要应用的策略:

    目标 策略 策略 ID
    连续导出到事件中心 将导出部署到 Microsoft Defender for Cloud 警报和建议的事件中心 cdfcce10-4578-4ecd-9703-530938e4abcb
    将内容连续导出到 Log Analytics 工作区 将导出部署到 Microsoft Defender for Cloud 警报和建议的 Log Analytics 工作区 ffb6f416-7bd2-4488-8828-56585fef2be9
  2. 选择分配

    显示分配 Azure Policy 的屏幕截图。

  3. 选择每个选项卡并设置参数以满足你的要求:

    1. 在“基础信息”选项卡上,设置策略的范围。 若要使用集中式管理,请将策略分配给包含使用连续导出配置的订阅的管理组。

    2. 在“参数”选项卡上,设置资源组名称、位置和事件中心详细信息

    3. (可选)若要将此分配应用于现有订阅,请选择“修正”选项卡,然后选择用于创建修正任务的选项

  4. 查看“摘要”页,并选择“创建”

下一步