Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kontinuerlig export av Microsoft Defender för molnet aviseringar och rekommendationer hjälper dig att analysera data i Log Analytics eller Azure Event Hubs. Du kan konfigurera och hantera kontinuerlig export i Defender för molnet med hjälp av REST-API:et.
Tips
Defender för molnet stöder även manuell engångsexport till en fil med kommaavgränsade värden (CSV). Anvisningar finns i Exportera aviseringar till CSV.
Förutsättningar
Kontrollera att du uppfyller följande krav innan du konfigurerar kontinuerlig export med REST-API:et:
Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.
Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.
Nödvändiga roller och behörigheter:
Säkerhetsadministratör eller ägare för resursgruppen
Skrivbehörigheter för målresursen.
Om du använder Azure Policy DeployIfNotExist-principer måste du ha behörigheter som gör att du kan tilldela principer.
Om du vill exportera data till Event Hubs måste du ha skrivbehörighet för Event Hubs-principen.
Så här exporterar du till en Log Analytics-arbetsyta:
Om den har SecurityCenterFree-lösningen måste du ha minst läsbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/read.Om den inte har Lösningen SecurityCenterFree måste du ha skrivbehörighet för arbetsytelösningen:
Microsoft.OperationsManagement/solutions/action.Läs mer om lösningar för Azure Monitor- och Log Analytics-arbetsytor.
Konfigurera kontinuerlig export med hjälp av REST-API:et
Du kan konfigurera och hantera kontinuerlig export med Microsoft Defender för molnets automations-API. Använd det här API:et för att skapa eller uppdatera regler för export till något av följande mål:
- Azure Event Hubs
- Log Analytics-arbetsyta
- Azure Logic Apps
Du kan också skicka data till en händelsehubb eller Log Analytics-arbetsyta i en annan klientorganisation.
Kommentar
Om du konfigurerar kontinuerlig export med REST-API:et ska du alltid inkludera den överordnade resursen med fynden.
Här är alternativ som endast är tillgängliga via API:et:
Större volym: Du kan skapa flera exportkonfigurationer för en enskild prenumeration med hjälp av API:et. Sidan Kontinuerlig export i Azure Portal stöder endast en exportkonfiguration per prenumeration.
Ytterligare funktioner: API:et erbjuder parametrar som inte visas i Azure Portal. Du kan till exempel lägga till taggar till din automationsresurs och definiera din export baserat på en bredare uppsättning aviserings- och rekommendationsegenskaper än de som erbjuds på sidan Kontinuerlig export i Azure Portal.
Fokuserat omfång: API:et ger dig en mer detaljerad nivå för omfånget för dina exportkonfigurationer. När du definierar en export med hjälp av API:et kan du definiera den på resursgruppsnivå. Om du använder sidan Kontinuerlig export i Azure Portal måste du definiera den på prenumerationsnivå.
Tips
Dessa API-alternativ visas inte i Azure-portalen. Om du använder dem informerar en banderoll dig om att det finns andra konfigurationer.