連続エクスポートを使用してアラートとレコメンデーションをエクスポートする

Microsoft Defender for Cloud では、セキュリティ データの連続エクスポートを行えます。 この機能を使用すると、セキュリティ データを Azure Monitor の Log Analytics、Azure Event Hubs、または別のセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、または IT クラシック デプロイ モデル ソリューションにストリーミングできます。 Azure Monitor ログやその他の Azure Monitor 機能を使用して、データを分析および視覚化できます。

連続エクスポートを設定すると、エクスポートする情報と情報の行く先を完全にカスタマイズできます。 たとえば、次のように構成できます。

• 重大度が高いすべてのアラートは Azure のイベント ハブに送られます。
• SQL Server を実行しているコンピューターの脆弱性評価スキャンからの中以上の重大度の結果はすべて、特定の Log Analytics ワークスペースに送信されます。
• 特定のレコメンデーションは、生成されるたびにイベント ハブまたは Log Analytics ワークスペースに配信されます。
• サブスクリプションのセキュリティ スコアは、特定のコントロールについて 0.01 以上で変化するたびに、Log Analytics ワークスペースに送信されます。

エクスポートできるデータの種類

連続エクスポートでは、次の種類のデータが、変更されるたびにエクスポートされます:

• セキュリティに関する推奨事項。
  • レコメンデーションの重要度。
  • セキュリティの調査結果。
• セキュリティ スコア。
  • コントロール
• セキュリティ アラート
• 法令順守。
• 攻撃パス

レコメンデーションの重大度、セキュリティの結果、および制御は、親カテゴリに属するサブ カテゴリとなります。 次に例を示します。

• "システム更新プログラムがマシンにインストールされていること（Powered by Update Center）" や "システム更新プログラムがマシンにインストールされていること" というレコメンデーションには、それぞれ未処理のシステム更新プログラムごとに 1 つの "サブ" レコメンデーションがあります。
• "マシンでは脆弱性の検出結果が解決されている必要がある" というレコメンデーションには、脆弱性スキャナーで発見されたすべての脆弱性に対して "サブ" のレコメンデーションがあります。

Note

REST API で連続エクスポートを構成している場合は、結果が含まれている親を常に含めます。

別のテナントのイベント ハブまたは Log Analytics ワークスペースにデータをエクスポートする

Azure Policy を使用して構成を割り当てる場合、別のテナントの Log Analytics ワークスペースにエクスポートするようにデータを構成することはできません。 このプロセスは、REST API を使用して構成を割り当て、構成が Azure portal でサポートされていない場合にのみ機能します (マルチテナント コンテキストが必要であるため)。 Azure Lighthouse では、Azure Policy を使ってこの問題が解決されるわけではありませんが、認証方法として Azure Lighthouse を使用することはできます。

テナントでデータを収集すると、1 つの中央の場所からデータを分析できます。

別のテナントのイベント ハブまたは Log Analytics ワークスペースにデータをエクスポートするには:

• イベント ハブまたは Log Analytics ワークスペースを持つテナントで、連続エクスポート構成をホストするテナントからユーザーを招待するか、またはソース テナントとエクスポート先テナント用に Azure Lighthouse を構成します。

• Microsoft Entra ID で企業間 (B2B) ゲスト ユーザー アクセスを使用する場合は、ユーザーがゲストとしてテナントにアクセスするための招待を受け入れられるようにします。

• Log Analytics ワークスペースを使用する場合は、ワークスペース テナントのユーザーに、所有者、共同作成者、Log Analytics 共同作成者、Sentinel 共同作成者、監視共同作成者のいずれかのロールを割り当てます。

• 要求を作成して Azure REST API に送信して、必要なリソースを構成します。 ローカル (ワークスペース) テナントとリモート (連続エクスポート) テナントの両方のコンテキストでベアラー トークンを管理する必要があります。

Log Analytics ワークスペースへのエクスポート

Log Analytics ワークスペース内の Microsoft Defender for Cloud データを分析する場合、または Defender for Cloud アラートと共に Azure アラートを使用する場合は、Log Analytics ワークスペースへの連続エクスポートを設定します。

Log Analytics のテーブルとスキーマ

セキュリティのアラートと推奨事項はそれぞれ、SecurityAlert テーブルと SecurityRecommendation テーブルに格納されます。

これらのテーブルを含む Log Analytics ソリューションの名前は、セキュリティ強化機能 (Security and Audit ソリューション) または SecurityCenterFree のどちらを有効にしたかによって異なります。

ヒント

エクスポート先ワークスペースのデータを表示するには、Security and Audit ソリューションまたは SecurityCenterFree ソリューションのいずれかを有効にする必要があります。

エクスポートされたデータ型のイベント スキーマを表示するには、Log Analytics テーブル スキーマにアクセスします。

関連するコンテンツ

• Azure portal で連続エクスポートを設定する
• REST API を使用して連続エクスポートを設定する
• Azure Policy を使用して連続エクスポートを設定する