Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートは、Log Analytics または Azure Event Hubs のデータを分析するのに役立ちます。 提供されている Azure Policy テンプレートを使用して、Defender for Cloud で継続的エクスポートを大規模に設定できます。
ヒント
Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。
[前提条件]
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
必要なロールとアクセス許可:
リソース グループのセキュリティ管理者または所有者
ターゲット リソースに対する書き込みアクセス許可。
Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
Log Analytics ワークスペースにエクスポートするには:
-
SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/read。 -
SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/action。
Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。
-
SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です:
Azure Policy を使用して大規模な連続エクスポートを設定する
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を短縮できます。
組織全体に連続エクスポート構成をデプロイするには、提供されている Azure Policy DeployIfNotExist ポリシーを使用して、連続エクスポート手順を作成して構成します。
これらのポリシーを実装するには:
適用するポリシーを選択します。
目標 Policy ポリシー ID イベント ハブへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項の Event Hubs へのエクスポートを展開する cdfcce10-4578-4ecd-9703-530938e4abcb Log Analytics ワークスペースへの連続エクスポート Microsoft Defender for Cloud のアラートと推奨事項のために Log Analytics ワークスペースにエクスポートをデプロイする ffb6f416-7bd2-4488-8828-56585fef2be9 割り当てを選択します。
各タブを選択し、要件を満たすようにパラメーターを設定します。
[ 基本 ] タブで、ポリシーのスコープを設定します。 一元管理を使用するには、連続エクスポート構成を使用するサブスクリプションを含む管理グループにポリシーを割り当てます。
[ パラメーター ] タブで、リソース グループ名、場所、および Event Hubs の詳細を設定します。
必要に応じて、この割り当てを既存のサブスクリプションに適用するには、[ 修復 ] タブを選択し、修復タスクを作成するオプションを選択します。
概要ページを確認し、[ 作成] を選択します。
