次の方法で共有

データ接続の使用

  • [アーティクル]

この記事では、Microsoft Defender 外部攻撃面管理 (Defender EASM) のデータ接続機能について説明します。

概要

Defender EASM では、既存のワークフローを新しい分析情報で補完するために、攻撃面データを他の Microsoft ソリューションにシームレスに統合するのに役立つデータ接続が提供されるようになりました。 攻撃面データを最大限に活用するには、Defender EASM から、修復目的で使用する他のセキュリティ ツールにデータを取得する必要があります。

データ コネクタは、Defender EASM 資産データを Log Analytics と Azure Data Explorer という 2 つの異なるプラットフォームに送信します。 Defender EASM データを、いずれかのツールにエクスポートする必要があります。 データ接続は、各プラットフォームの価格モデルの対象となります。

Log Analytics は、セキュリティ情報イベント管理とセキュリティ オーケストレーション、自動化、および応答の各機能を提供します。 Defender EASM の資産または分析情報を Log Analytics で使用することで、既存のワークフローを他のセキュリティ データで強化できます。 この情報により、ファイアウォールと構成情報、脅威インテリジェンス、コンプライアンス データを補完して、オープン インターネット上の外部に接続するインフラストラクチャを可視化できます。

次のことを実行できます。

  • セキュリティ インシデントを作成または強化します。
  • 調査プレイブックを作成します。
  • 機械学習アルゴリズムをトレーニングします。
  • 修復アクションをトリガーします。

Azure Data Explorer は、柔軟なカスタマイズ機能を使用してさまざまなソースからの大量のデータを分析するのに役立つビッグ データ分析プラットフォームです。 Defender EASM の資産および分析情報データを統合して、プラットフォーム内で視覚化、クエリ、インジェスト、管理の各機能を使用できます。

Power BI を使用してカスタム レポートを作成する場合でも、正確な KQL クエリに一致する資産を追求する場合でも、Defender EASM データを Azure Data Explorer にエクスポートすることで、無限のカスタマイズの可能性を持つ攻撃面データを使用できます。

データ コンテンツ オプション

Defender EASM データ接続を使用すると、異なる 2 種類の攻撃表面データを任意のツールに統合できます。 資産データ、攻撃面分析情報、または両方の種類のデータを移行することを選択できます。 資産データは、インベントリ全体に関する詳細を提供します。 攻撃面分析情報は、Defender EASM ダッシュボードに基づいてすぐに実用的な分析情報を提供します。

組織にとって最も重要なインフラストラクチャを正確に表示するために、どちらのコンテンツ オプションにも、承認済みインベントリ状態の資産のみが含まれます。

資産データ: [資産データ] オプションは、すべてのインベントリ資産に関するデータを任意のツールに送信します。 このオプションは、Defender EASM 統合において、詳細な基礎となるメタデータが重要なユース ケースに最適です。 たとえば、Microsoft Sentinel や Azure Data Explorer のカスタマイズされたレポートなどがあります。 インベントリ内のすべての資産に関するコンテキストの概要と、特定の資産の種類に固有の詳細をエクスポートできます。

このオプションでは、資産に関する事前定義された分析情報は提供されません。 代わりに、膨大な量のデータが提供されるため、最も関心のあるカスタマイズされた分析情報を見つけることができます。

攻撃面分析情報: 攻撃面分析情報は、Defender EASM のダッシュボードを通じて提供される主要な分析情報に基づいて、実用的な結果セットを提供します。 このオプションでは、各資産のメタデータの詳細度が低くなります。 対応する分析情報に基づいて資産が分類され、さらに調査するために必要なコンテキストの概要が提供されます。 このオプションは、これらの事前定義された分析情報を、他のツールのデータと共にカスタム レポート ワークフローに統合する場合に最適です。

構成の概要

このセクションでは、構成に関する一般的な情報を示します。

データ接続へのアクセス

Defender EASM リソース ペインの左端のペインの [管理] で、[データ接続] を選択します。 このページには、Log Analytics と Azure Data Explorer の両方のデータ コネクタが表示されます。 現在の接続がリストされ、接続を追加、編集、または削除するオプションが提供されます。

[データ接続] ページを示すスクリーンショット。

接続の前提条件

データ接続を正常に作成するには、まず、選択したツールに Defender EASM のアクセス許可を付与するために必要な手順が完了していることを確認する必要があります。 このプロセスにより、エクスポートされたデータをアプリケーションが取り込めるようになります。 また、接続を構成するために必要な認証資格情報も提供されます。

Note

Defender EASM データ接続は、プライベート リンクまたはプライベート ネットワークをサポートしていません。

Log Analytics のアクセス許可の構成

  1. Defender EASM データを取り込む Log Analytics ワークスペースを開くか、新しいワークスペースを作成します

  2. 左端のペインの [設定] で、[エージェント] を選択します。

    Log Analytics エージェントを示すスクリーンショット。

  3. [Log Analytics agent instructions]\(Log Analytics エージェントの手順\) セクションを展開して、ワークスペース ID と主キーを表示します。 これらの値は、データ接続を設定するために使用されます。

このデータ接続の使用は、Log Analytics の価格設定構造の対象になります。 詳細については、「Azure Monitor の価格」を参照してください。

Azure Data Explorer のアクセス許可の構成

Defender EASM API サービス プリンシパルが、攻撃面データをエクスポートするデータベース内の正しいロールにアクセスできることを確認します。 まず、Defender EASM リソースが適切なテナントに作成されていることを確認します。これは、このアクションによって EASM API プリンシパルがプロビジョニングされるためです。

  1. Defender EASM データを取り込む Azure Data Explorer クラスターを開くか、新しいクラスターを作成します

  2. 左端のペインの [データ] で、[データベース] を選択します。

  3. [データベースの追加] を選択して、Defender EASM データを格納するデータベースを作成します。

    Azure Data Explorer の [データベースの追加] を示すスクリーンショット。

  4. データベースに名前を付け、データ保持とキャッシュの期間を構成し、[作成] を選択します。

    新しいデータベースの作成を示すスクリーンショット。

  5. Defender EASM データベースが作成されたら、データベース名を選択して詳細ページを開きます。 左端のペインの [概要] で、[アクセス許可] を選択します。 Defender EASM データを Azure Data Explorer に正常にエクスポートするには、EASM API 用に、ユーザーインジェスターという 2 つの新しいアクセス許可を作成する必要があります。

    Azure Data Explorer のアクセス許可を示すスクリーンショット。

  6. [追加] を選択し、ユーザーを作成します。 EASM API を検索し、値を選択して [選択] を選択します。

  7. [追加] を選択して、インジェスターを作成します。 前に説明したのと同じ手順に従って、EASM API をインジェスターとして追加します。

  8. これで、データベースを Defender EASM に接続する準備ができました。 データ接続を構成する際には、クラスター名、データベース名、リージョンが必要です。

データ接続を追加する

Defender EASM データは、Log Analytics または Azure Data Explorer に接続できます。 これを行うには、[データ接続] ページから、該当するツールに対する [接続の追加] を選択します。

[データ接続] ページの右側に構成ウィンドウが開きます。 各ツールには、以下のフィールドが必要です。

Log Analytics

  • 名前: この接続の名前を入力します。

  • ワークスペース ID: Defender EASM データをエクスポートする Log Analytics インスタンスのワークスペース ID を入力します。

  • API キー: Log Analytics インスタンスの API キーを入力します。

  • コンテンツ: 資産データ、攻撃面分析情報、またはその両方のデータセットを統合する場合に選択します。

  • 頻度: Defender EASM 接続が選択したツールに更新データを送信する頻度を選択します。 使用可能なオプションは、日単位、週単位、月単位です。

    Log Analytics の [データ接続の追加] 画面を示すスクリーンショット。

Azure Data Explorer

  • 名前: この接続の名前を入力します。

  • クラスター名: Defender EASM データをエクスポートする Azure Data Explorer クラスターの名前を入力します。

  • リージョン: Azure Data Explorer クラスターのリージョンを入力します。

  • [データベース名]: 目的のデータベースの名前を入力します。

  • コンテンツ: 資産データ、攻撃面分析情報、またはその両方のデータセットを統合する場合に選択します。

  • 頻度: Defender EASM 接続が選択したツールに更新データを送信する頻度を選択します。 使用可能なオプションは、日単位、週単位、月単位です。

    Azure Data Explorer の [データ接続の追加] 画面を示すスクリーンショット。

    すべてのフィールドが構成されたら、[追加] を選択してデータ接続を作成します。 この時点で、[データ接続] ページに、リソースが正常に作成されたことを示すバナーが表示されます。 30 分後に、データの入力が開始されます。 接続が作成されると、メインの [データ接続] ページの該当するツールの下にリストされます。

データ接続の編集または削除

データ接続を編集または削除できます。 たとえば、接続が [切断] と表示されている場合があります。 この場合は、構成の詳細を再入力して問題を解決する必要があります。

データ接続を編集または削除するには、次の手順を実行します。

  1. メインの [データ接続] ページのリストから該当する接続を選択します。

    切断されたデータ接続を示すスクリーンショット。

  2. 接続に関する詳細データを提供するページが開きます。 接続の作成時に選択した構成とエラー メッセージが表示されます。 また、次のデータも表示されます。

    • 定期スケジュール: Defender EASM が接続されたツールに更新データを送信する曜日または日付。

    • 作成日時: データ接続が作成された日時。

    • 更新日時: データ接続が最後に更新された日時。

      テスト接続を示すスクリーンショット。

  3. このページから、データ接続を再接続、編集、または削除できます。

    • 再接続: 構成を変更せずにデータ接続の検証を試みます。 このオプションは、データ接続に使用される認証資格情報を検証済みの場合に最適です。
    • 編集: データ接続の構成の変更を許可します。
    • 削除: データ接続を削除します。