使用 REST API 设置连续导出
Microsoft Defender for Cloud 安全警报和建议的连续导出可以帮助你分析 Log Analytics 或 Azure 事件中心内的数据。 可以使用 REST API 在 Defender for Cloud 中设置连续导出。
提示
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
先决条件
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
所需角色和权限:
资源组的安全管理员或所有者
对目标资源的写入权限。
如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
导出到 Log Analytics 工作区:
- 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
Microsoft.OperationsManagement/solutions/read。 - 如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action。
- 如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
通过使用 REST API 设置连续导出
可以使用 Microsoft Defender for Cloud 自动化 API 设置和管理连续导出。 使用此 API 创建或更新规则,以便将内容导出到以下任何目标:
- Azure 事件中心
- Log Analytics 工作区
- Azure 逻辑应用
还可以将数据发送到其他租户中的事件中心或 Log Analytics 工作区。
注意
如果通过使用 REST API 配置连续导出,请始终在结果中加入父级。
下面是一些只能在 API 中使用的选项示例:
更大的卷 - 可以通过使用该 API 在单个订阅上创建多个导出配置。 Azure 门户中的“连续导出”页仅支持每个订阅一个导出配置。
其他功能:API 提供了 Azure 门户中未显示的其他参数。 例如,可以将标记添加到自动化资源,并根据一组更广泛的警报和建议属性(与 Azure 门户中的“连续导出”页中提供的属性相比)定义导出。
更明确的作用域:API 为导出配置的作用域提供更精细的级别。 使用 API 定义导出时,可以在资源组级别定义导出。 如果使用 Azure 门户中的“连续导出”页面,则必须在订阅级别定义它。
提示
这些仅限 API 的选项未显示在 Azure 门户中。 如果使用它们,横幅会通知你存在其他配置。