重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 生成详细的安全警报和建议。 若要分析这些警报和建议中的信息,可以将这些信息导出到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理(SIEM)、安全业务流程自动响应(SOAR)或 IT 经典 部署模型解决方案。 可以实时流式传输已生成的警报和建议,或定义计划以定期发送所有新数据的快照。
本文介绍如何在 Azure 中设置到 Log Analytics 工作区或事件中心的连续导出。
小窍门
Defender for Cloud 还提供一次性手动导出到由逗号分隔的值 (CSV) 文件的选项。 了解如何下载 CSV 文件。
先决条件
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上 启用 Microsoft Defender for Cloud 。
所需的角色和权限:
- 资源组的安全管理员或所有者
- 对目标资源的写入权限。
- 如果使用 Azure Policy DeployIfNotExist 策略,则必须具有允许分配策略的权限。
- 若要将数据导出到事件中心,必须对事件中心策略具有写入权限。
- 导出到 Log Analytics 工作区:
如果它具有 SecurityCenterFree 解决方案,则必须至少具有工作区解决方案的读取权限:
Microsoft.OperationsManagement/solutions/read。如果它没有 SecurityCenterFree 解决方案,则必须具有工作区解决方案的写入权限:
Microsoft.OperationsManagement/solutions/action。
在 Azure 门户中设置连续导出
可以在 Azure 门户的 Microsoft Defender for Cloud 页面中设置连续导出、使用 REST API,或通过提供的 Azure Policy 模板大规模应用此功能。
若要使用 Azure 门户设置到 Log Analytics 或 Azure 事件中心的连续导出,请执行以下操作:
在 Defender for Cloud 资源菜单上,选择 “环境设置”。
选择要配置数据导出的订阅。
在 “设置”下的“资源”菜单中,选择“ 连续导出”。
将显示导出选项。 每个可用的导出目标(事件中心或 Log Analytics 工作区)都有一个选项卡。
选择要导出的数据类型,然后从每种类型的筛选器中进行选择(例如,仅导出高严重性警报)。
选择导出频率:
- 流媒体。 更新资源运行状况时会发送评估(如果未发生更新,则不发送任何数据)。
- 快照。 每周为每个订阅发送一次的选定数据类型当前状态快照。 若要标识快照数据,请查找字段 IsSnapshot。
如果你的选择包括其中一项建议,则可以将漏洞评估结果包含在其中:
若要包含这些建议的调查结果,请将 “包括安全发现 ”设置为 “是”。
在 “导出目标”下,选择要保存数据的位置。 数据可以保存到不同订阅的目标中(例如,在中心 Event Hubs 实例或中心 Log Analytics 工作区中)。
还可以将数据发送到 不同租户中的事件中心或 Log Analytics 工作区
选择“保存”。
注释
Log Analytics 仅支持大小高达 32 KB 的记录。 达到数据限制后,警报会显示消息 “数据限制已超出”。
相关内容
本文介绍了如何配置建议和警报的持续导出。 你还了解了如何将警报数据下载为 CSV 文件。
若要查看相关内容:
- 详细了解 工作流自动化模板。
- 请参阅 Azure 事件中心文档。
- 详细了解 Microsoft Sentinel。
- 查看 Azure Monitor 文档。
- 了解如何 导出数据类型架构。
- 查看有关连续导出 的常见问题 。