Azure Policy を使用して連続エクスポートを設定する
Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートは、Log Analytics または Azure Event Hubs のデータを分析するのに役立ちます。 提供されている Azure Policy テンプレートを使用して、Defender for Cloud で大規模な連続エクスポートを設定できます。
ヒント
Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。
前提条件
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
必要なロールとアクセス許可:
リソース グループのセキュリティ管理者または所有者
ターゲット リソースに対する書き込みアクセス許可。
Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
Log Analytics ワークスペースにエクスポートするには:
- SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/read。 - SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/action。
Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。
- SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です:
Azure Policy を使用して大規模な連続エクスポートを設定する
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を短縮できます。
組織全体に連続エクスポート構成をデプロイするには、提供されている Azure Policy DeployIfNotExist ポリシーを使用して、連続エクスポート手順を作成して構成します。
これらのポリシーを実装するには:
適用するポリシーを選択します。
目標 ポリシー ポリシー ID イベント ハブへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項のために Event Hubs にエクスポートをデプロイする cdfcce10-4578-4ecd-9703-530938e4abcb Log Analytics ワークスペースへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項のために Log Analytics ワークスペースにエクスポートをデプロイする ffb6f416-7bd2-4488-8828-56585fef2be9 割り当てを選びます。
各タブを選択し、要件を満たすようにパラメーターを設定します:
[基本] タブで、ポリシーのスコープを設定します。 一元管理を使用するには、連続エクスポート構成を使用するサブスクリプションを含む管理グループにポリシーを割り当てます。
[パラメーター] タブで、リソース グループの名前、場所、イベント ハブの詳細を設定します。
必要に応じて、この割り当てを既存のサブスクリプションに適用するには、[修復] タブを選択し、修復タスクを作成するためのオプションを選択します。
概要ページをレビューしてから、[完了] を選択します。