Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートを設定した後、データを Azure Monitor に表示することができます。 この記事では、Log Analytics または Azure Event Hubs でデータを表示し、そのデータに基づいて Azure Monitor でアラート ルールを作成する方法について説明します。
[前提条件]
開始する前に、次のいずれかの方法で連続エクスポートを設定します。
Log Analytics でエクスポートされたデータを表示する
Defender for Cloud データを Log Analytics ワークスペースにエクスポートすると、次の 2 つのメイン テーブルが自動的に作成されます。
SecurityAlertSecurityRecommendation
Log Analytics でこれらのテーブルに対してクエリを実行して、連続エクスポートが機能していることを確認できます。
Azure portal にサインインします。
Log Analytics ワークスペースを検索して選択します。
連続エクスポート ターゲットとして構成したワークスペースを選択します。
ワークスペース メニューの [ 全般] で、[ログ] を選択 します。
クエリ ウィンドウで、次のいずれかのクエリを入力し、[ 実行] を選択します。
SecurityAlertまたは
SecurityRecommendation
Azure Event Hubs でエクスポートされたデータを表示する
Azure Event Hubs にデータをエクスポートすると、Defender for Cloud はイベント メッセージとしてアラートと推奨事項を継続的にストリーミングします。 これらのエクスポートされたイベントは、Azure portal で表示し、ダウンストリーム サービスに接続することでさらに分析できます。
Azure portal にサインインします。
Event Hubs 名前空間を検索して選択します。
連続エクスポート用に構成した名前空間とイベント ハブを選択します。
イベント ハブ メニューで、[メトリック] を選択してメッセージ アクティビティを表示するか、[データの処理>キャプチャ先に格納されているイベントの内容を確認するCapture を選択します。
必要に応じて、 Microsoft Sentinel、SIEM、カスタム コンシューマー アプリなどの接続されたツールを使用して、エクスポートされたイベントを読み取って処理します。
注
Defender for Cloud は、JSON 形式でデータを送信します。 Event Hubs Capture またはコンシューマー グループを使用して、エクスポートされたイベントを格納および分析できます。
Azure Monitor でアラート ルールを作成する (省略可能)
エクスポートした Defender for Cloud データに基づいて Azure Monitor アラートを作成できます。 これらのアラートを使用すると、特定のセキュリティ イベントが発生したときに、電子メール通知の送信や ITSM チケットの作成などのアクションを自動的にトリガーできます。
Azure portal にサインインします。
[モニター] を検索して選択します。
[Alerts](アラート) を選択します。
[+ 作成]>[アラート ルール] を選択します。
![[Azure Monitor アラート] ページを示すスクリーンショット。](media/continuous-export-view-data/azure-monitor-alerts.png)
Azure Monitor のログ警告ルールを構成するのと同じ方法で新しいルールを設定します。
- [リソースの種類] で、セキュリティ アラートと推奨事項をエクスポートした Log Analytics ワークスペースを選択します。
- [条件] には、[Custom log search]\(カスタム ログ検索\) を選択します。 表示されたページで、クエリ、ルックバック期間、および頻度の期間を構成します。 クエリに「 SecurityAlert 」または 「SecurityRecommendation」と入力します。
- 必要に応じて、トリガーするアクション グループを作成します。 アクション グループは、環境内のイベントに基づいて、メールの送信、ITSM チケットの作成、Webhook の実行などを自動化できます。
![[Azure Monitor アラート] ページを示すスクリーンショット。](media/continuous-export-view-data/azure-monitor-alerts.png#lightbox)
ルールを保存すると、継続的エクスポートの構成とアラート ルールの条件に基づいて、Defender for Cloud のアラートまたは推奨事項が Azure Monitor に表示されます。 アクション グループをリンクした場合、ルールの条件が満たされると自動的にトリガーされます。