Configurare l'esportazione continua con l'API REST
L'esportazione continua di Microsoft Defender per il cloud avvisi di sicurezza e raccomandazioni consente di analizzare i dati in Log Analytics o Hub eventi di Azure. È possibile configurare l'esportazione continua in Defender per il cloud usando l'API REST.
Suggerimento
Defender per il cloud offre anche la possibilità di eseguire un'esportazione manuale una volta in un file con valori delimitati da virgole (CSV). Informazioni su come scaricare un file CSV.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Autorizzazioni e ruoli obbligatori:
Amministrazione di sicurezza o proprietario per il gruppo di risorse
Autorizzazioni di scrittura per la risorsa di destinazione.
Se si usano i criteri di Criteri di Azure DeployIfNotExist, è necessario disporre delle autorizzazioni che consentono di assegnare i criteri.
Per esportare i dati in Hub eventi, è necessario disporre delle autorizzazioni di scrittura per i criteri di Hub eventi.
Per esportare in un'area di lavoro Log Analytics:
- Se ha la soluzione SecurityCenterFree, è necessario avere almeno le autorizzazioni di lettura per la soluzione dell'area di lavoro:
Microsoft.OperationsManagement/solutions/read. - Se non ha la soluzione SecurityCenterFree, è necessario disporre delle autorizzazioni di scrittura per la soluzione dell'area di lavoro:
Microsoft.OperationsManagement/solutions/action.
Altre informazioni sulle soluzioni di Monitoraggio di Azure e dell'area di lavoro Log Analytics.
- Se ha la soluzione SecurityCenterFree, è necessario avere almeno le autorizzazioni di lettura per la soluzione dell'area di lavoro:
Configurare l'esportazione continua usando l'API REST
È possibile configurare e gestire l'esportazione continua usando l'API di automazione Microsoft Defender per il cloud. Usare questa API per creare o aggiornare regole per l'esportazione in una delle destinazioni seguenti:
- Hub eventi di Azure
- Area di lavoro Log Analytics
- App per la logica di azure
È anche possibile inviare i dati a un hub eventi o a un'area di lavoro Log Analytics in un tenant diverso.
Nota
Se si configura l'esportazione continua usando l'API REST, includere sempre l'elemento padre con i risultati.
Ecco alcuni esempi di opzioni che è possibile usare solo nell'API:
Volume maggiore: è possibile creare più configurazioni di esportazione in una singola sottoscrizione usando l'API. La pagina Esportazione continua nella portale di Azure supporta una sola configurazione di esportazione per sottoscrizione.
Funzionalità aggiuntive: l'API offre parametri non visualizzati nella portale di Azure. Ad esempio, è possibile aggiungere tag alla risorsa di automazione e definire l'esportazione in base a un set più ampio di proprietà di avviso e raccomandazione rispetto a quelle offerte nella pagina Esportazione continua nel portale di Azure.
Ambito mirato: l'API offre un livello più granulare per l'ambito delle configurazioni di esportazione. Quando si definisce un'esportazione usando l'API, è possibile definirla a livello di gruppo di risorse. Se si usa la pagina Esportazione continua nella portale di Azure, è necessario definirla a livello di sottoscrizione.
Suggerimento
Queste opzioni solo API non vengono visualizzate nella portale di Azure. Se vengono usati, un banner informa che esistono altre configurazioni.