使用 Azure Policy 设置连续导出
Microsoft Defender for Cloud 安全警报和建议的连续导出可以帮助你分析 Log Analytics 或 Azure 事件中心内的数据。 可以使用提供的 Azure Policy 模板在 Defender for Cloud 中大规模设置连续导出。
提示
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
先决条件
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
所需角色和权限:
资源组的安全管理员或所有者
对目标资源的写入权限。
如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
导出到 Log Analytics 工作区:
- 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
Microsoft.OperationsManagement/solutions/read
。 - 如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action
。
- 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
使用 Azure Policy 大规模设置连续导出
自动执行组织的监视和事件响应过程可以帮助你缩短调查和缓解安全事件所花的时间。
若要在组织中部署连续导出配置,请使用提供的 Azure Policy DeployIfNotExist
策略来创建和配置连续导出过程。
要实施这些策略,请执行以下操作:
选择要应用的策略:
目标 策略 策略 ID 连续导出到事件中心 将导出部署到 Microsoft Defender for Cloud 警报和建议的事件中心 cdfcce10-4578-4ecd-9703-530938e4abcb 将内容连续导出到 Log Analytics 工作区 将导出部署到 Microsoft Defender for Cloud 警报和建议的 Log Analytics 工作区 ffb6f416-7bd2-4488-8828-56585fef2be9 选择分配。
选择每个选项卡并设置参数以满足你的要求:
在“基础信息”选项卡上,设置策略的范围。 若要使用集中式管理,请将策略分配给包含使用连续导出配置的订阅的管理组。
在“参数”选项卡上,设置资源组名称、位置和事件中心详细信息。
(可选)若要将此分配应用于现有订阅,请选择“修正”选项卡,然后选择用于创建修正任务的选项。
查看“摘要”页,并选择“创建”。