使用 REST API 设置连续导出

Microsoft Defender for Cloud 安全警报和建议的连续导出可以帮助你分析 Log Analytics 或 Azure 事件中心内的数据。 可以使用 REST API 在 Defender for Cloud 中设置连续导出。

提示

Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件

先决条件

所需角色和权限:

  • 资源组的安全管理员或所有者

  • 对目标资源的写入权限。

  • 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。

  • 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。

  • 导出到 Log Analytics 工作区:

    • 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:Microsoft.OperationsManagement/solutions/read
    • 如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:Microsoft.OperationsManagement/solutions/action

    详细了解 Azure Monitor 和 Log Analytics 工作区解决方案

通过使用 REST API 设置连续导出

可以使用 Microsoft Defender for Cloud 自动化 API 设置和管理连续导出。 使用此 API 创建或更新规则,以便将内容导出到以下任何目标:

  • Azure 事件中心
  • Log Analytics 工作区
  • Azure 逻辑应用

还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区

注意

如果通过使用 REST API 配置连续导出,请始终在结果中加入父级。

下面是一些只能在 API 中使用的选项示例:

  • 更大的卷 - 可以通过使用该 API 在单个订阅上创建多个导出配置。 Azure 门户中的“连续导出”页仅支持每个订阅一个导出配置。

  • 其他功能:API 提供了 Azure 门户中未显示的其他参数。 例如,可以将标记添加到自动化资源,并根据一组更广泛的警报和建议属性(与 Azure 门户中的“连续导出”页中提供的属性相比)定义导出。

  • 更明确的作用域:API 为导出配置的作用域提供更精细的级别。 使用 API 定义导出时,可以在资源组级别定义导出。 如果使用 Azure 门户中的“连续导出”页面,则必须在订阅级别定义它。

    提示

    这些仅限 API 的选项未显示在 Azure 门户中。 如果使用它们,横幅会通知你存在其他配置。

下一步