问题标签 [securitycenter]

我在一年前启用了 Azure 安全中心。一年后，收集安全中心数据的存储帐户大小为 1.5 TB，成本开始增加。

有没有办法清除旧的安全数据？

有没有办法将安全/审计数据限制在某个时间段，比如 2 个月？

当安全中心出现安全警报时，我有一个逻辑应用程序被触发。

我有一个步骤，我将输入的子集映射到 JSON 文档并使用它来创建文件。

我需要将正在创建的 JSON 文档全部放在一行中，因此我需要确保替换输入中的任何控制换行符。

示例输入：

我的映射（在设计器中）：

但是，我的 JSON 文档中仍然有新的行。

我在安全中心创建了一个剧本，可以通过转到安全警报并单击剧本上的“运行”来手动触发剧本。

现在我想在有新的安全警报时自动触发这个剧本。

最初，我认为这些 Playbook 会自动触发，但是，仔细查看文档，它确实暗示它是手动执行的：

https://docs.microsoft.com/en-us/azure/security-center/security-center-playbooks

安全手册是一组程序，一旦从选定的警报触发某个手册，就可以从安全中心执行这些程序 。

是否有任何内置机制可以自动触发剧本，或者我是否需要设置一个SecurityAlert在 OMS 中查询的警报，然后有一个操作组将我的逻辑应用程序指定为操作类型？

这是我的代码：

这是这段代码的结果：

我正在尝试根据需要发布内容类型和凭据的文档使用 API 和 python3 从安全中心获取令牌，但是像上面一样它不起作用:(

我正在创建一个 ARM 模板，它将为我的订阅启用 Azure 安全中心，但在 ASC、安全策略和数据收集中的订阅设置下，我希望在部署模板时选择“最小”。我找不到与“自动配置”属性相同的属性

“Windows 安全事件”是否有资源定义？

我想使用 python SDK 列出 azure 安全中心警报。

我找到了这个包： https ://pypi.org/project/azure-mgmt-security/

它必须包含在 microsoft 文档中：

https://docs.microsoft.com/en-gb/python/azure/?view=azure-python https://github.com/Azure/azure-sdk-for-python

但我找不到任何参考或示例。

有谁知道我在哪里可以找到这些信息？

此致。

我有实施文件完整性监控的法规要求，但是，我正在 Azure Web App Services 上部署我的应用程序，所有第三方 FIM 工具都需要安装代理。这是不可能的，因为操作系统是在 Azure Web 应用服务中抽象出来的。

在 Azure 安全中心，我可以看到文件完整性（FIM）监控，但它仅适用于 VM。有什么方法可以为应用服务工作 FIM？

谢谢

在我们的订阅中，我们有大约 480 台虚拟机。我想利用安全中心的一些功能，但仅限于托管面向公众的服务的虚拟机上。这大约是 120 个虚拟机。如果我启用 SC，它似乎会在图表上显示 $15/月/VM，这将是大约 $7ka 月，而如果我只启用 120，它只是 $1,800/月/VM。

如果我启用代理，然后仅在选定的虚拟机上手动安装代理，我将只为运行代理的虚拟机付费，还是为每台符合条件的虚拟机付费？

谢谢，约翰

我有一个云函数调用 SCC 的 list_assets 并将分页输出转换为 List（以获取所有结果）。但是，由于我在组织树中有很多资产，因此需要大量时间来获取和云功能超时（最大超时 540 秒）。

我尝试通过 WebUI 导出，它工作正常（大约需要 5 分钟）。有没有办法使用 API 将资产从 SCC 直接导出到 Cloud Storage 存储桶？

我已经研究了一些答案，但没有找到正确的解决方案。有什么方法可以使用 Microsoft Graph API 或任何其他方式消除 Azure 安全中心中的警报。我不想压制任何规则。我只是想解除警报。我查看了一些 Microsoft 文档，但没有实现这一点。

如果有人知道该怎么做，请告诉我。

谢谢！