使用 Azure 原則設定連續匯出
適用於雲端的 Microsoft Defender 安全性警示和建議的連續匯出可協助您分析 Log Analytics 或 Azure 事件中樞中的資料。 您可以使用提供的 Azure 原則範本,在適用於雲端的 Defender 中大規模設定連續匯出。
提示
適用於雲端的 Defender 也提供選項,讓您可以執行一次性手動匯出至逗號分隔值 (CSV) 檔案。 了解如何下載 CSV 檔案。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
必要的角色和權限:
資源群組的安全性系統管理員或擁有者
目標資源的寫入權限。
如果您使用 Azure 原則 DeployIfNotExist 原則,則必須擁有可以指派原則的權限。
若要將資料匯出至事件中樞,您必須具備事件中樞原則的寫入權限。
若要匯出至 Log Analytics 工作區:
- 如果該工作區使用 SecurityCenterFree 解決方案,您必須至少具備該工作區解決方案的讀取權限:
Microsoft.OperationsManagement/solutions/read。 - 如果該工作區沒有使用 SecurityCenterFree 解決方案,則您必須具備該工作區解決方案的寫入權限:
Microsoft.OperationsManagement/solutions/action。
- 如果該工作區使用 SecurityCenterFree 解決方案,您必須至少具備該工作區解決方案的讀取權限:
使用 Azure 原則大規模設定連續匯出
自動化組織的監視和事件回應程程序,可協助您縮減調查和緩解安全性事件所需的時間。
若要在整個組織中部署連續匯出設定,請使用提供的 Azure 原則 DeployIfNotExist 原則,建立和設定連續匯出程序。
若要實作這些原則:
選取要套用的原則:
Goal 原則 原則識別碼 連續匯出至事件中樞 針對「適用於雲端的 Microsoft Defender 」警示和建議來部署匯出至事件中樞 cdfcce10-4578-4ecd-9703-530938e4abcb 連續匯出至 Log Analytics 工作區 針對「適用於雲端的 Microsoft Defender 」警示和建議來部署匯出至 Log Analytics 工作區 ffb6f416-7bd2-4488-8828-56585fef2be9 選取指派。
選取每個索引標籤,然後設定參數以符合您的需求:
在 [基本] 索引標籤中,設定原則的範圍。 若要使用集中式管理,請將原則指派給管理群組,該群組包含使用連續匯出設定的訂用帳戶。
在 [參數] 索引標籤上,設定資源群組名稱、位置和事件中樞詳細資料。
或者,若要將此指派套用至現有的訂用帳戶,請選取 [補救] 索引標籤,然後選取要建立補救工作的選項。
檢閱 [摘要] 頁面,然後選取 [建立]。