次の方法で共有


REST API を使用して連続エクスポートを設定する

Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートは、Log Analytics または Azure Event Hubs のデータを分析するのに役立ちます。 REST API を使用して、Defender for Cloud で連続エクスポートを設定できます。

ヒント

Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。

前提条件

必要なロールとアクセス許可:

  • リソース グループのセキュリティ管理者または所有者
  • ターゲット リソースに対する書き込みアクセス許可。
  • Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
  • Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
  • Log Analytics ワークスペースにエクスポートするには:
    • SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です: Microsoft.OperationsManagement/solutions/read

    • SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です: Microsoft.OperationsManagement/solutions/action

      Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。

REST API を使用して連続エクスポートを設定する

Microsoft Defender for Cloud のオートメーション API を使用して、連続エクスポートを設定および管理できます。 この API を使用して、次のいずれかの宛先にエクスポートするための規則を作成または更新します:

  • Azure Event Hubs
  • Log Analytics ワークスペース
  • Azure Logic Apps

別のテナントのイベント ハブや Log Analytics ワークスペースにデータを送信することもできます。

Note

REST API で連続エクスポートを構成している場合は、結果が含まれている親を常に含めます。

API でのみ使用できるオプションの例を次に示します:

  • より大きなボリューム: API を使用して 1 つのサブスクリプションに複数のエクスポート構成を作成できます。 Azure portal の [連続エクスポート] ページでは、サブスクリプションごとに 1 つのエクスポート構成のみがサポートされます。

  • 追加の機能: API には、Azure portal では表示されないパラメーターが用意されています。 たとえば、オートメーション リソースにタグを追加したり、Azure portal の [連続エクスポート] ページで提供されているものよりも幅広い一連のアラートとレコメンデーションのプロパティに基づいて、エクスポートを定義したりすることができます。

  • 焦点を絞ったスコープ: API では、エクスポート構成のスコープに対してよりきめ細かなレベルが提供されます。 API を使用してエクスポートを定義する場合は、リソース グループ レベルで定義できます。 Azure portal の [連続エクスポート] ページを使用している場合は、サブスクリプション レベルで定義する必要があります。

    ヒント

    これらの API 専用オプションは、Azure portal には表示されません。 これらを使用すると、バナーによって他の構成が存在することが通知されます。

次のステップ