REST API を使用して連続エクスポートを設定する
Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートは、Log Analytics または Azure Event Hubs のデータを分析するのに役立ちます。 REST API を使用して、Defender for Cloud で連続エクスポートを設定できます。
ヒント
Defender for Cloud には、コンマ区切り値 (CSV) ファイルに 1 回限りの手動エクスポートを行うオプションも用意されています。 CSV ファイルをダウンロードする方法をご確認ください。
前提条件
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
必要なロールとアクセス許可:
- リソース グループのセキュリティ管理者または所有者
- ターゲット リソースに対する書き込みアクセス許可。
- Azure Policy DeployIfNotExist ポリシーを使用する場合は、ポリシーを割り当てできるアクセス許可が必要です。
- Event Hubs にデータをエクスポートするには、Event Hubs ポリシーに対する書き込みアクセス許可が必要です。
- Log Analytics ワークスペースにエクスポートするには:
SecurityCenterFree ソリューションがある場合は、少なくともワークスペース ソリューションに対する読み取りアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/read
。SecurityCenterFree ソリューションがない場合は、ワークスペース ソリューションに対する書き込みアクセス許可が必要です:
Microsoft.OperationsManagement/solutions/action
。Azure Monitor と Log Analytics ワークスペース ソリューションについての詳細をご覧ください。
REST API を使用して連続エクスポートを設定する
Microsoft Defender for Cloud のオートメーション API を使用して、連続エクスポートを設定および管理できます。 この API を使用して、次のいずれかの宛先にエクスポートするための規則を作成または更新します:
- Azure Event Hubs
- Log Analytics ワークスペース
- Azure Logic Apps
別のテナントのイベント ハブや Log Analytics ワークスペースにデータを送信することもできます。
Note
REST API で連続エクスポートを構成している場合は、結果が含まれている親を常に含めます。
API でのみ使用できるオプションの例を次に示します:
より大きなボリューム: API を使用して 1 つのサブスクリプションに複数のエクスポート構成を作成できます。 Azure portal の [連続エクスポート] ページでは、サブスクリプションごとに 1 つのエクスポート構成のみがサポートされます。
追加の機能: API には、Azure portal では表示されないパラメーターが用意されています。 たとえば、オートメーション リソースにタグを追加したり、Azure portal の [連続エクスポート] ページで提供されているものよりも幅広い一連のアラートとレコメンデーションのプロパティに基づいて、エクスポートを定義したりすることができます。
焦点を絞ったスコープ: API では、エクスポート構成のスコープに対してよりきめ細かなレベルが提供されます。 API を使用してエクスポートを定義する場合は、リソース グループ レベルで定義できます。 Azure portal の [連続エクスポート] ページを使用している場合は、サブスクリプション レベルで定義する必要があります。
ヒント
これらの API 専用オプションは、Azure portal には表示されません。 これらを使用すると、バナーによって他の構成が存在することが通知されます。