Azure portal で連続エクスポートを設定する

Microsoft Defender for Cloud では、詳細なセキュリティ アラートと推奨事項が生成されます。 これらのアラートとレコメンデーションに含まれる情報を分析するには、それらを Azure Monitor の Log Analytics、Azure Event Hubs、または別のセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR) や IT クラシック デプロイ モデル ソリューションにエクスポートできます。 生成されたままのアラートとレコメンデーションをストリーミングしたり、すべての新しいデータの定期的なスナップショットを送信するスケジュールを定義したりできます。

この記事では、Log Analytics ワークスペースまたは Azure のイベント ハブへの連続エクスポートを設定する方法について説明します。

ヒント

Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。

前提条件

• Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。

• Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。

必要なロールとアクセス許可:

• リソース グループのセキュリティ管理者または所有者
• ターゲット リソースに対する書き込みアクセス許可。
• Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
• Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
• Log Analytics ワークスペースにエクスポートするには:

  • SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です: Microsoft.OperationsManagement/solutions/read。

  • SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です: Microsoft.OperationsManagement/solutions/action。

    Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。

Azure portal で連続エクスポートを設定する

連続エクスポートは、Azure ポータルの Microsoft Defender for Cloud ページで、REST API を使用して、または提供されている Azure Policy テンプレートを使用して大規模に設定できます。

Azure portal を使用して Log Analytics または Azure Event Hubs への連続エクスポートを設定するには:

1. Defender for Cloud リソース メニューで、[環境設定] を選択します。

2. データ エクスポートを構成するサブスクリプションを選択します。

3. リソース メニューの [設定] で、[連続エクスポート] を選択します。

   

   エクスポート オプションが表示されます。 使用可能なエクスポート ターゲット (Event Hubs または Log Analytics ワークスペース) ごとにタブがあります。

4. エクスポートするデータの種類を選択し、それぞれの種類に対するフィルターを選択します (たとえば、重大度が高いアラートのみをエクスポートするなど)。

5. 次のようにエクスポート頻度を選択します。

   • ストリーミング。 リソースの正常性状態が更新されると、評価が送信されます (更新がなければ、データは送信されません)。
   • "スナップショット"。 選択したデータ型の現在の状態のスナップショットが、サブスクリプションごとに 1 週間に 1 回送信されます。 スナップショット データを識別するには、IsSnapshot フィールドを探します。

   選択範囲にこれらのレコメンデーションのいずれかが含まれている場合は、脆弱性評価の結果を含めることができます:

   • SQL データベースでは脆弱性の検出結果を解決する必要がある
   • マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある
   • コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys)
   • マシンでは、脆弱性の検出結果が解決されている必要がある
   • システム更新プログラムをマシンにインストールする必要がある

   結果とこれらのレコメンデーションを含めるには、[セキュリティに関する調査結果を含める] オプションを [はい] に設定します。

   

6. [エクスポート先] で、データを保存する場所を選択します。 データは別のサブスクリプションのターゲットにも保存できます (たとえば、中央の Event Hubs インスタンスや中央の Log Analytics ワークスペースなど)。

   別のテナントのイベント ハブや Log Analytics ワークスペースにデータを送信することもできます

7. [保存] を選択します。

Note

Log Analytics では、最大 32 KB のサイズのレコードのみがサポートされます。 データ制限に達すると、データ制限超過のメッセージがアラートに表示されます。

関連するコンテンツ

この記事では、推奨事項とアラートの連続エクスポートを構成する方法について説明しました。 また、アラート データを CSV ファイルとしてダウンロードする方法も説明しました。

関連するコンテンツの表示するには:

• ワークフローの自動化テンプレートの詳細を確認します。
• Azure Event Hubs のドキュメントを参照してください。
• Microsoft Sentinel の詳細情報。
• Azure Monitor のドキュメントを確認してください。
• データ型スキーマをエクスポートする方法について説明します。
• 連続エクスポートに関する一般的な質問を確認してください。