Microsoft Defender for Cloud データを継続的にエクスポートする

Microsoft Defender for Cloud では、詳細なセキュリティ アラートと推奨事項が生成されます。 これらのアラートと推奨事項の情報を分析するために、それらを Azure Log Analytics、Event Hubs、または別の SIEM、SOAR、または IT サービス管理ソリューションにエクスポートできます。 生成されたアラートと推奨事項をストリーミングしたり、すべての新しいデータの定期的なスナップショットを送信するスケジュールを定義したりできます。

連続エクスポートでは、エクスポートする "内容" とエクスポート先の "場所" を完全にカスタマイズします。 たとえば、次のように構成できます。

  • 重大度が高いすべてのアラートを Azure Event Hubs に送信する
  • SQL サーバーの脆弱性評価スキャンで検出された重大度が中程度または高いすべての結果を、特定の Log Analytics ワークスペースに送信する
  • 生成されるたびに特定の推奨事項を、Event Hubs または Log Analytics ワークスペースに送信する
  • サブスクリプションのセキュリティ スコアは、特定のコントロールについて 0.01 以上で変化するたびに、Log Analytics ワークスペースに送信されます

この記事では、Log Analytics ワークスペースまたは Azure Event Hubs への連続エクスポートの構成方法について説明します。

ヒント

Defender for Cloud には、CSV への 1 回の手動エクスポートを実行するオプションも用意されています。 詳細については、アラートと推奨事項の手動によるエクスポートに関する記事を参照してください。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
価格: Free
必要なロールとアクセス許可:
  • リソース グループに対するセキュリティ管理者または所有者
  • ターゲット リソースに対する書き込みアクセス許可。
  • 後述する Azure Policy の "DeployIfNotExist" ポリシーを使用する場合は、ポリシーを割り当てるためのアクセス許可も必要です。
  • Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
  • Log Analytics ワークスペースにエクスポートするには:
    • SecurityCenterFree ソリューションがある場合は、ワークスペース ソリューションに対する少なくとも読み取りアクセス許可が必要です: Microsoft.OperationsManagement/solutions/read
    • SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です: Microsoft.OperationsManagement/solutions/action
    • Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細を確認してください
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)

エクスポートできるデータの種類

連続エクスポートでは、次の種類のデータが、変更されるたびにエクスポートされます。

連続エクスポートを設定する

Azure portal の Microsoft Defender for Cloud ページから、REST API を介して、または指定された Azure Policy テンプレートを使用して大規模に連続エクスポートを構成できます。 それぞれの詳細については、下の適切なタブを選択してください。

Azure portal の Defender for Cloud ページから連続エクスポートを構成する

連続エクスポート先として Log Analytics と Azure Event Hubs のどちらを設定する場合でも、次の手順を実行する必要があります。

  1. [Defender for Cloud] メニューで、 [環境設定] を開きます。

  2. データのエクスポートを構成する特定のサブスクリプションを選択します。

  3. そのサブスクリプションの設定ページのサイドバーで、[連続エクスポート] を選択します。

    Microsoft Defender for Cloud のエクスポート オプション。

    ご覧のようにエクスポート オプションが表示されます。 使用可能なエクスポート ターゲット (Event Hubs または Log Analytics ワークスペース) ごとにタブがあります。

  4. エクスポートするデータの種類を選択し、それぞれの種類に対するフィルターを選択します (たとえば、重大度が高いアラートのみをエクスポートするなど)。

  5. 次のようにエクスポート頻度を選択します。

    • ストリーミング – リソースの正常性状態が更新されると、評価が送信されます (更新がなければ、データは送信されません)。
    • スナップショット –選択したデータ型の現在の状態のスナップショットが、サブスクリプションごとに 1 週間に 1 回送信されます。 スナップショット データを識別するには、IsSnapshot フィールドを探します。

    選択範囲に次の推奨事項のいずれかが含まれている場合は、脆弱性評価の結果を含めることができます。

    結果とこれらの推奨事項を含めるには、 [セキュリティに関する調査結果を含める] オプションを有効にします。

    連続エクスポート構成でのセキュリティに関する調査結果トグルを含める。

  6. [エクスポート ターゲット] 領域で、データを保存する場所を選択します。 データは別のサブスクリプションのターゲットにも保存できます (たとえば、中央のイベント ハブ インスタンスや中央の Log Analytics ワークスペースなど)。

    別のテナントの Event Hubs または Log Analytics ワークスペースにデータを送信することもできます。

  7. [保存] を選択します。

注意

ログ分析では、32 KB までのサイズのレコードがサポートされます。 データの制限に達すると、Data limit has been exceeded を示すアラートが表示されます。

Log Analytics ワークスペースにエクスポートする

Log Analytics ワークスペース内の Microsoft Defender for Cloud データを分析する場合、または Defender for Cloud アラートと共に Azure アラートを使用する場合は、Log Analytics ワークスペースへの連続エクスポートを設定します。

Log Analytics のテーブルとスキーマ

セキュリティのアラートと推奨事項はそれぞれ、SecurityAlert テーブルと SecurityRecommendation テーブルに格納されます。

これらのテーブルを含む Log Analytics ソリューションの名前は、強化されたセキュリティ機能 (Security ('Security and Audit') または SecurityCenterFree) を有効にしたかどうかによって異なります。

ヒント

宛先ワークスペースのデータを表示するには、Security and Audit または SecurityCenterFree ソリューションのいずれかを有効にする必要があります。

Log Analytics の SecurityAlert テーブル。

エクスポートされたデータ型のイベント スキーマを表示するには、Log Analytics テーブル スキーマにアクセスします。

別のテナントの Azure Event Hubs または Log Analytics ワークスペースにデータをエクスポートする

データを別のテナントの Azure Event Hubs または Log Analytics ワークスペースにエクスポートできます。これは、データを収集して一元的に分析するのに役立ちます。

別のテナントの Azure Event Hubs または Log Analytics ワークスペースにデータをエクスポートするには:

  1. Azure Event Hubs または Log Analytics ワークスペースがあるテナントで、連続エクスポート構成をホストするテナントからユーザーを招待します。
  2. Log Analytics ワークスペースの場合: ユーザーがテナントへの参加の招待を承諾したら、ワークスペース テナントのユーザーに、所有者、共同作成者、Log Analytics 共同作成者、Sentinel 共同作成者、監視共同作成者のいずれかのロールを割り当てます。
  3. 連続エクスポート構成を設定し、データを送信する Event Hubs または Analytics ワークスペースを選択します。

エクスポートされたアラートと推奨事項を Azure Monitor で表示する

エクスポートされたセキュリティ アラートや推奨事項を Azure Monitor で表示することもできます。

Azure Monitor は、診断ログ、メトリック アラート、および Log Analytics ワークスペース クエリに基づくカスタム アラートなどの、さまざまな Azure アラートの統合されたアラート エクスペリエンスを提供します。

Azure Monitor で Defender for Cloud からのアラートと推奨事項を表示するには、Log Analytics クエリ (ログ アラート) に基づいてアラート ルールを構成します。

  1. Azure Monitor の [アラート] ページから、 [新しいアラート ルール] を選択します。

    Azure Monitor の [アラート] ページ。

  2. ルールの作成ページで、(Azure Monitor でログ アラート ルールを構成するのと同じ方法で) 新しいルールを構成します。

    • [リソース] には、セキュリティ アラートと推奨事項のエクスポート先の Log Analytics ワークスペースを選択します。

    • [条件] には、 [Custom log search](カスタム ログ検索) を選択します。 表示されたページで、クエリ、ルックバック期間、および頻度の期間を構成します。 検索クエリでは 、「SecurityAlert」 または 「SecurityRecommendation」 と入力して、Log Analytics への連続エクスポート機能を有効にした場合に、Defender for Cloud が継続的にエクスポートするデータ型に対してクエリを実行できます。

    • 必要に応じて、トリガーするアクション グループを構成します。 アクション グループは、メール送信、ITSM チケット、Webhook などをトリガーできます。 Azure Monitor のアラート ルール。

Azure Monitor アラートに新しい Microsoft Defender for Cloud アラートまたは推奨事項 (構成済みの連続エクスポート ルールと Azure Monitor アラート ルールで定義した条件に応じて) が表示され、アクション グループが自動的にトリガーされます (指定されている場合)。

アラートと推奨事項の手動による 1 回限りのエクスポート

アラートまたは推奨事項の CSV レポートをダウンロードするには、 [セキュリティ アラート] または [推奨事項] ページを開き、 [レポートを CSV にダウンロード] ボタンを選択します。

ヒント

Azure Resource Graph の制限により、レポートのファイル サイズは 13,000 行に制限されています。 エクスポートされるデータが多すぎることに関連するエラーが表示される場合は、エクスポート対象として少ないサブスクリプション セットを選択して出力を制限してみてください。

アラート データを CSV ファイルとしてダウンロードする。

Note

これらのレポートには、現在選択されているサブスクリプションのリソースに関するアラートと推奨事項が含まれています。

FAQ - 連続エクスポート

データのエクスポートには、どのようなコストがかかりますか。

連続エクスポートを有効にするためにコストはかかりません。 Log Analytics ワークスペースでの構成によっては、そこでのデータの取り込みと保持についてコストが発生する可能性があります。

多くのアラートは、リソースに対して Defender プランを有効にしたときにのみ提供されます。 エクスポートされたデータに表示されるアラートをプレビューする良い方法は、Defender for Cloud のページに表示されるアラートを Azure portal に表示することです。

Log Analytics ワークスペースの価格の詳細を確認してください。

Azure Event Hubs の価格に関するページで詳細を確認してください。

エクスポートには、すべてのリソースの現在の状態に関するデータが含まれますか?

いいえ。 連続エクスポートは、イベントのストリーミング用に構築されています。

  • エクスポートを有効にする前に受信したアラートはエクスポートされません。
  • 推奨事項は、リソースのコンプライアンスの状態が変化するたびに送信されます。 たとえば、リソースの状態が正常から異常に変わった場合などです。 そのため、アラートと同様に、エクスポートを有効にした後に状態が変わっていないリソースの推奨事項はエクスポートされません。
  • セキュリティ コントロールまたはサブスクリプションごとのセキュリティ スコアは、セキュリティ コントロールのスコアが 0.01 以上で変化したときに送信されます。
  • 規制に対するコンプライアンス対応状態は、リソースのコンプライアンスの状態が変化したときに送信されます。

推奨事項が異なる間隔で送信されるのはなぜですか?

推奨事項が異なると、コンプライアンス評価間隔が異なり、数分ごとから数日ごとまでの範囲にわたります。 そのため、推奨事項がエクスポートに表示されるまでにかかる時間が異なります。

連続エクスポートでは、ビジネス継続性またはディザスター リカバリー (BCDR) のシナリオはサポートされていますか。

連続エクスポートは、ターゲット リソースで障害またはその他の災害が発生している BCDR シナリオの準備に役立ちます。 ただし、組織の責任で、Azure Event Hubs、Log Analytics ワークスペース、ロジック アプリのガイドラインに従ってバックアップを確立して、データ損失を防止する必要があります。

詳細については、「Azure Event Hubs - geo ディザスター リカバリー」を参照してください。

次のステップ

この記事では、推奨事項とアラートの連続エクスポートを構成する方法について説明しました。 また、アラート データを CSV ファイルとしてダウンロードする方法も説明しました。

関連資料については、次のドキュメントを参照してください。