Configuración de la exportación continua con la API REST
La exportación continua de alertas y recomendaciones de seguridad de Microsoft Defender for Cloud puede ayudarle a analizar los datos en Log Analytics o Azure Event Hubs. Puede configurar la exportación continua en Defender for Cloud mediante la API REST.
Sugerencia
Defender for Cloud también ofrece la opción de realizar una exportación manual puntual a un archivo de valores separados por comas (CSV). Obtenga información sobre cómo descargar un archivo .csv.
Requisitos previos
Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
Debe haber habilitado Defender for Cloud en la suscripción de Azure.
Roles y permisos necesarios:
Administrador de seguridad o propietario del grupo de recursos
Permisos de escritura para el recurso de destino.
Si usa las directivas DeployIfNotExist de Azure Policy, debe tener permisos que le permitan asignar directivas.
Para exportar datos a Event Hubs, debe tener permisos de escritura en la directiva de Event Hubs.
Para exportar a un área de trabajo de Log Analytics:
- Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/read. - Si no tienen la solución SecurityCenterFree, debe tener permisos de escritura para la solución del área de trabajo:
Microsoft.OperationsManagement/solutions/action.
Más información sobre las soluciones de Azure Monitor y de área de trabajo de Log Analytics.
- Si tienen la solución SecurityCenterFree, debe tener al menos permisos de lectura para la solución del área de trabajo:
Configuración de la exportación continua mediante la API de REST
Puede configurar y administrar la exportación continua mediante la API de automatización de Microsoft Defender for Cloud. Use esta API para crear o actualizar reglas para exportarlas a cualquiera de los siguientes destinos:
- Azure Event Hubs
- Área de trabajo de Log Analytics
- Azure Logic Apps
También puede enviar los datos a un centro de eventos o a un área de trabajo de Log Analytics de otro inquilino.
Nota:
Si va a configurar una exportación continua con la API de REST, incluya siempre la principal con los resultados.
Estos son algunos ejemplos de opciones que solo puede usar en la API:
Mayor volumen: con la API, puede crear varias configuraciones de exportación en una sola suscripción. La página de Exportación continua en Azure Portal solo admite una configuración de exportación por suscripción.
Características adicionales: la API ofrece parámetros que no se muestran en Azure Portal. Por ejemplo, puede agregar etiquetas a su recurso de automatización y definir su exportación en función de un conjunto más amplio de propiedades y recomendaciones de alertas que las ofrecidas en la página Exportación continua de Azure Portal.
Ámbito centrado: la API ofrece un nivel más detallado del ámbito de sus configuraciones de exportación. Al definir una exportación mediante la API, puede definirla a nivel de grupo de recursos. Si usa la página Exportación continua de Azure Portal, debe definirla a nivel de suscripción.
Sugerencia
Estas opciones de solo API no se muestran en el Azure Portal. Si los usa, un banner le informa de que existen otras configuraciones.