次の方法で共有


Azure Policy を使用して連続エクスポートを設定する

Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートは、Log Analytics または Azure Event Hubs のデータを分析するのに役立ちます。 提供されている Azure Policy テンプレートを使用して、Defender for Cloud で大規模な連続エクスポートを設定できます。

ヒント

Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。

前提条件

必要なロールとアクセス許可:

  • リソース グループのセキュリティ管理者または所有者

  • ターゲット リソースに対する書き込みアクセス許可。

  • Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。

  • Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。

  • Log Analytics ワークスペースにエクスポートするには:

    • SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です: Microsoft.OperationsManagement/solutions/read
    • SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です: Microsoft.OperationsManagement/solutions/action

    Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。

Azure Policy を使用して大規模な連続エクスポートを設定する

組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を短縮できます。

組織全体に連続エクスポート構成をデプロイするには、提供されている Azure Policy DeployIfNotExist ポリシーを使用して、連続エクスポート手順を作成して構成します。

これらのポリシーを実装するには:

  1. 適用するポリシーを選択します。

    目標 ポリシー ポリシー ID
    イベント ハブへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項のために Event Hubs にエクスポートをデプロイする cdfcce10-4578-4ecd-9703-530938e4abcb
    Log Analytics ワークスペースへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項のために Log Analytics ワークスペースにエクスポートをデプロイする ffb6f416-7bd2-4488-8828-56585fef2be9
  2. 割り当てを選びます。

    Azure Policy の割り当てを示すスクリーンショット。

  3. 各タブを選択し、要件を満たすようにパラメーターを設定します:

    1. [基本] タブで、ポリシーのスコープを設定します。 一元管理を使用するには、連続エクスポート構成を使用するサブスクリプションを含む管理グループにポリシーを割り当てます。

    2. [パラメーター] タブで、リソース グループの名前、場所、イベント ハブの詳細を設定します。

    3. 必要に応じて、この割り当てを既存のサブスクリプションに適用するには、[修復] タブを選択し、修復タスクを作成するためのオプションを選択します。

  4. 概要ページをレビューしてから、[完了] を選択します。

次のステップ