Microsoft Defender for Cloud データを継続的にエクスポートする

Microsoft Defender for Cloud では、詳細なセキュリティ アラートと推奨事項が生成されます。 これらのアラートとレコメンデーションに含まれる情報を分析するには、それらを Azure Monitor の Log Analytics、Azure Event Hubs、または別のセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR) や IT クラシック デプロイ モデル ソリューションにエクスポートできます。 生成されたままのアラートとレコメンデーションをストリーミングしたり、すべての新しいデータの定期的なスナップショットを送信するスケジュールを定義したりできます。

連続エクスポートを設定すると、エクスポートする情報と情報の行く先を完全にカスタマイズできます。 たとえば、次のように構成できます。

  • 重大度が高いすべてのアラートは Azure のイベント ハブに送られます。
  • SQL Server を実行しているコンピューターの脆弱性評価スキャンからの中以上の重大度の結果はすべて、特定の Log Analytics ワークスペースに送信されます。
  • 特定のレコメンデーションは、生成されるたびにイベント ハブまたは Log Analytics ワークスペースに配信されます。
  • サブスクリプションのセキュリティ スコアは、特定のコントロールについて 0.01 以上で変化するたびに、Log Analytics ワークスペースに送信されます。

この記事では、Log Analytics ワークスペースまたは Azure のイベント ハブへの連続エクスポートを設定する方法について説明します。

ヒント

Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 詳細については、「アラートとレコメンデーションを手動でエクスポートする」を参照してください

可用性

側面 詳細
リリースの状態: 一般公開 (GA)
価格: Free
必要なロールとアクセス許可:
  • リソース グループのセキュリティ管理者または所有者。
  • ターゲット リソースに対する書き込みアクセス許可。
  • Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
  • Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
  • Log Analytics ワークスペースにエクスポートするには:
    • SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です: Microsoft.OperationsManagement/solutions/read
    • SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です: Microsoft.OperationsManagement/solutions/action
    • Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。
クラウド: 商用クラウド
National (Azure Government、21Vianet によって運営される Microsoft Azure)

エクスポートできるデータの種類

連続エクスポートでは、次の種類のデータが、変更されるたびにエクスポートされます:

連続エクスポートを設定する

連続エクスポートは、Azure ポータルの Microsoft Defender for Cloud ページで、REST API を使用して、または提供されている Azure Policy テンプレートを使用して大規模に設定できます。

Azure portal の Defender for Cloud ページで連続エクスポートを設定する

Azure portal を使用して Log Analytics または Azure Event Hubs への連続エクスポートを設定するには:

  1. Defender for Cloud リソース メニューで、[環境設定] を選択します。

  2. データ エクスポートを構成するサブスクリプションを選択します。

  3. リソース メニューの [設定] で、[連続エクスポート] を選択します。

    Screenshot that shows the export options in Microsoft Defender for Cloud.

    エクスポート オプションが表示されます。 使用可能なエクスポート ターゲット (Event Hubs または Log Analytics ワークスペース) ごとにタブがあります。

  4. エクスポートするデータの種類を選択し、それぞれの種類に対するフィルターを選択します (たとえば、重大度が高いアラートのみをエクスポートするなど)。

  5. 次のようにエクスポート頻度を選択します。

    • ストリーミング。 リソースの正常性状態が更新されると、評価が送信されます (更新がなければ、データは送信されません)。
    • "スナップショット"。 選択したデータ型の現在の状態のスナップショットが、サブスクリプションごとに 1 週間に 1 回送信されます。 スナップショット データを識別するには、IsSnapshot フィールドを探します。

    選択範囲にこれらのレコメンデーションのいずれかが含まれている場合は、脆弱性評価の結果を含めることができます:

    結果とこれらのレコメンデーションを含めるには、[セキュリティに関する調査結果を含める] オプションを [はい] に設定します。

    Screenshot that shows the Include security findings toggle in a continuous export configuration.

  6. [エクスポート先] で、データを保存する場所を選択します。 データは別のサブスクリプションのターゲットにも保存できます (たとえば、中央の Event Hubs インスタンスや中央の Log Analytics ワークスペースなど)。

    別のテナントのイベント ハブや Log Analytics ワークスペースにデータを送信することもできます。

  7. [保存] を選択します。

Note

Log Analytics では、最大 32 KB のサイズのレコードのみがサポートされます。 データ制限に達すると、データ制限超過のメッセージがアラートに表示されます。

Log Analytics ワークスペースへのエクスポート

Log Analytics ワークスペース内の Microsoft Defender for Cloud データを分析する場合、または Defender for Cloud アラートと共に Azure アラートを使用する場合は、Log Analytics ワークスペースへの連続エクスポートを設定します。

Log Analytics のテーブルとスキーマ

セキュリティのアラートと推奨事項はそれぞれ、SecurityAlert テーブルと SecurityRecommendation テーブルに格納されます。

これらのテーブルを含む Log Analytics ソリューションの名前は、セキュリティ強化機能 (Security and Audit ソリューション) または SecurityCenterFree のどちらを有効にしたかによって異なります。

ヒント

エクスポート先ワークスペースのデータを表示するには、Security and Audit ソリューションまたは SecurityCenterFree ソリューションのいずれかを有効にする必要があります。

Screenshot that shows the SecurityAlert table in Log Analytics.

エクスポートされたデータ型のイベント スキーマを表示するには、Log Analytics テーブル スキーマにアクセスします。

別のテナントのイベント ハブまたは Log Analytics ワークスペースにデータをエクスポートする

Azure Policy を使用して構成を割り当てる場合、別のテナントの Log Analytics ワークスペースにエクスポートするようにデータを構成することはできません。 このプロセスは、REST API を使用して構成を割り当て、構成が Azure portal でサポートされていない場合にのみ機能します (マルチテナント コンテキストが必要であるため)。 Azure Lighthouse では、Azure Policy を使ってこの問題が解決されるわけではありませんが、認証方法として Azure Lighthouse を使用することはできます。

テナントでデータを収集すると、1 つの中央の場所からデータを分析できます。

別のテナントのイベント ハブまたは Log Analytics ワークスペースにデータをエクスポートするには:

  1. イベント ハブまたは Log Analytics ワークスペースを持つテナントで、連続エクスポート構成をホストするテナントからユーザーを招待するか、またはソース テナントとエクスポート先テナント用に Azure Lighthouse を構成します。
  2. Microsoft Entra ID で企業間 (B2B) ゲスト ユーザー アクセスを使用する場合は、ユーザーがゲストとしてテナントにアクセスするための招待を受け入れられるようにします。
  3. Log Analytics ワークスペースを使用する場合は、ワークスペース テナントのユーザーに、所有者、共同作成者、Log Analytics 共同作成者、Sentinel 共同作成者、監視共同作成者のいずれかのロールを割り当てます。
  4. 要求を作成して Azure REST API に送信して、必要なリソースを構成します。 ローカル (ワークスペース) テナントとリモート (連続エクスポート) テナントの両方のコンテキストでベアラー トークンを管理する必要があります。

ファイアウォールの内側にあるイベント ハブに連続的にエクスポートする

信頼できるサービスとして連続エクスポートを有効にすると、Azure Firewall が有効になっているイベント ハブにデータを送信できます。

信頼できるサービスとして連続エクスポートへのアクセスを許可するには:

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud]>[環境設定] に移動します。

  3. 関連するリソースを選択します。

  4. [連続エクスポート] を選択します。

  5. [Export as a trusted service] (信頼できるサービスとしてエクスポート) を選択します。

    Screenshot that shows where the checkbox is located to select export as trusted service.

関連するロールの割り当てをエクスポート先イベント ハブに追加する必要があります。

エクスポート先のイベント ハブに関連するロールの割り当てを追加するには:

  1. 選択したイベント ハブに移動します。

  2. リソース メニューで、[アクセス制御 (IAM)]>[ロール割り当ての追加] の順に選択します

    Screenshot that shows the Add role assignment button.

  3. [Azure Event Hubs データ送信者] を選択します。

  4. [メンバー] タブを選択します。

  5. 次に、[メンバーの選択] を選択します。

  6. [Windows Azure セキュリティ リソース プロバイダー] を検索して選択します。

    Screenshot that shows you where to enter and search for Microsoft Azure Security Resource Provider.

  7. [レビューと割り当て] を選択します。

エクスポートされたアラートと推奨事項を Azure Monitor で表示する

エクスポートされたセキュリティ アラートやレコメンデーションを Azure Monitor で表示することもできます。

Azure Monitor は、診断ログ、メトリック アラート、および Log Analytics ワークスペース クエリに基づくカスタム アラートなどの、さまざまな Azure アラートの統合されたアラート エクスペリエンスを提供します。

Azure Monitor で Defender for Cloud からのアラートとレコメンデーションを表示するには、Log Analytics クエリ (ログ アラート ルール) に基づくアラート ルールを構成します:

  1. Azure Monitor の [アラート] ページで、[新しい警告ルール] 選択します。

    Screenshot that shows the Azure Monitor alerts page.

  2. [ルールの作成] ウィンドウで、Azure Monitor のログ警告ルールを構成するのと同じ方法で新しいルールを設定します:

    • [リソース] には、セキュリティ アラートと推奨事項のエクスポート先の Log Analytics ワークスペースを選択します。

    • [条件] には、 [Custom log search](カスタム ログ検索) を選択します。 表示されたページで、クエリ、ルックバック期間、および頻度の期間を構成します。 検索クエリでは、「SecurityAlert」または「SecurityRecommendation」 と入力して、Log Analytics への連続エクスポート機能を有効にした場合に、Defender for Cloud が連続的にエクスポートするデータ型に対してクエリを実行できます。

    • 必要に応じて、トリガーするアクション グループを作成します。 アクション グループは、環境内のイベントに基づいて、メールの送信、ITSM チケットの作成、Webhook の実行などを自動化できます。

    Screenshot that shows the Azure Monitor create alert rule pane.

Azure Monitor アラートに Defender for Cloud のアラートまたはレコメンデーション (構成済みの連続エクスポート ルールと Azure Monitor 警告ルールで定義した条件に応じて) が表示され、アクション グループが自動的にトリガーされます (指定されている場合)。

アラートとレコメンデーションの手動エクスポート

アラートまたはレコメンデーションをリスト表示する CSV ファイルをダウンロードするには、[セキュリティ アラート] ページまたは [レコメンデーション] ページに移動し、[CSV レポートのダウンロード] ボタンを選択します。

ヒント

Azure Resource Graph の制限により、レポートのファイル サイズは 13,000 行に制限されています。 エクスポートされるデータが多すぎることに関連するエラーが表示される場合は、エクスポート対象としてより少ないサブスクリプション セットを選択して出力を制限してみてください。

Screenshot that shows how to download alerts data as a CSV file.

Note

これらのレポートには、現在選択されているサブスクリプションのリソースに関するアラートと推奨事項が含まれています。

この記事では、推奨事項とアラートの連続エクスポートを構成する方法について説明しました。 また、アラート データを CSV ファイルとしてダウンロードする方法も説明しました。

関連するコンテンツの表示するには: