エクスポートされたデータを Azure Monitor に表示する
Microsoft Defender for Cloud セキュリティ アラートとレコメンデーションの連続エクスポートを設定した後、データを Azure Monitor に表示することができます。 この記事では、Log Analytics または Azure Event Hubs でデータを表示する方法について説明します。
前提条件
エクスポートされたアラートと推奨事項を Azure Monitor で表示する
Azure Monitor は、診断ログ、メトリック アラート、Log Analytics ワークスペース クエリに基づくカスタム アラートなど、さまざまな Azure アラートの統合されたアラート エクスペリエンスを提供します。
Azure Monitor で Defender for Cloud からのアラートとレコメンデーションを表示するには、Log Analytics クエリ (ログ アラート ルール) に基づくアラート ルールを構成します。
アラート ルールの構成方法:
Azure portal にサインインします。
[モニター] を検索して選択します。
[警告(アラート)] (アラート) を選択します。
[新しいアラート ルール] を選択します。
Azure Monitor のログ警告ルールを構成するのと同じ方法で新しいルールを設定します。
[リソース] には、セキュリティ アラートと推奨事項のエクスポート先の Log Analytics ワークスペースを選択します。
[条件] には、 [Custom log search](カスタム ログ検索) を選択します。 表示されたページで、クエリ、ルックバック期間、および頻度の期間を構成します。 検索クエリでは、「SecurityAlert」または「SecurityRecommendation」 と入力して、Log Analytics への連続エクスポート機能を有効にした場合に、Defender for Cloud が連続的にエクスポートするデータ型に対してクエリを実行できます。
必要に応じて、トリガーするアクション グループを作成します。 アクション グループは、環境内のイベントに基づいて、メールの送信、ITSM チケットの作成、Webhook の実行などを自動化できます。
Azure Monitor アラートに Defender for Cloud のアラートまたはレコメンデーション (構成済みの連続エクスポート ルールと Azure Monitor 警告ルールで定義した条件に応じて) が表示され、アクション グループが自動的にトリガーされます (指定されている場合)。