Microsoft Defender for Cloud の Log Analytics ワークスペース向けの連続エクスポートを Azure ポリシーで設定してみる
2025.09.07Microsoft Defender for Cluod にはレコメンデーションやセキュリティスコアなどの情報を継続的にエクスポートする「連続エクスポート」設定があり、エクスポート先として Log Analytics ワークスペースを指定できます。
連続エクスポート設定は、サブスクリプション毎に設定する必要があります。1 つずつ設定するのは手間となるため、今回は連続エクスポートを設定する修復タスクが含まれる組み込みの Azure ポリシーを利用して、管理グループ単位で 1 つのサブスクリプション内の Log Analytics ワークスペースにエクスポートする設定をしてみます。
なお、1 サブスクリプションずつ連続エクスポートを設定する場合は、「Microsoft Defender for Cloud」の「環境設定」画面において、 Azure サブスクリプション右横の「…」から「設定の編集」をクリックすることで実施できます。
連続エクスポートの設定画面です。Log Analytics ワークスペースの他にイベントハブにもエクスポートできることがわかります。
Log Analytics ワークスペースへの連続エクスポートを設定する修復タスクが含まれる組み込みポリシーは「Deploy export to Log Analytics workspace for Microsoft Defender for Cloud data」です。下記の Microsoft Learn で設定方法が紹介されています。今回のこの手順を参考にします。
以降では、実際に Azure ポリシーを利用して Log Analytics ワークスペースに対して Microsoft Defender for Cloud の連続エクスポートを次の流れで設定してみます。
- 連続エクスポートを集約するサブスクリプションで Log Analytics ワークスペースを作成
- 連続エクスポートをデプロイする Azure ポリシーを設定
連続エクスポートを集約するサブスクリプションで Log Analytics ワークスペースを作成
はじめに Log Analytics ワークスペースを格納するリソースグループを作成します。
Azure ポータルのリソースグループ画面で「作成」をクリックします。
「基本情報」タブで、リソースグループを作成するサブスクリプションとリソースグループ名、およびリージョンを入力します。タグは設定しないため、このまま「レビューと作成」をクリックして作成します。
リソースグループの作成を確認できました。
次に、Log Analytics ワークスペース画面から「作成」をクリックして、ワークスペースを作成します。
「基本」タブで先ほど作成したリソースグループを選択して、ワークスペースの名前を入力します。タグは設定しないため、このまま「確認と作成」をクリックして作成します。
Log Analytics ワークスペースの作成を確認できました。
必要に応じて、Log Analytics ワークスペース内の各テーブルのログ保管期間を設定します。
設定方法は以前に別のブログで記載しているためリンクを掲載します。参考にしていていただければと思います。「6. ログ保管期間の変更」をご参照ください。
連続エクスポートをデプロイする Azure ポリシーを設定
続きて、Log Analytics ワークスペース向けに連続エクスポートを構成する Azure ポリシーを設定していきます。
Azure ポータルのポリシー画面において、「割り当て」をクリックします。
「ポリシーの割り当て」をクリックして、新しいポリシーを作成します。
「基本情報」タブでは、今回の環境に合わせて次の情報を入力します。他の設定項目はデフォルトにしています。
| 設定項目 | 設定値 | 備考 |
|---|---|---|
| スコープ | IntermediateRoot | 本環境における中間管理ルートとなる管理グループ |
| ポリシー定義 | Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートをデプロイする | ポリシー定義を検索するときは英語名「Deploy export to Log Analytics workspace for Microsoft Defender for Cloud data」で検索 |
| バージョン (プレビュー) | 4.*.* | 「*」は自動でバージョンアップされる範囲 |
| 割り当て名 | Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートをデプロイする | |
| ポリシーの適用 | 有効 |
「パラメーター」タブでは、連続エクスポートの設定を指定します。今回は、組み込みポリシーが対応している全てのエクスポートを有効化してみます。「リソース グループ名」と「リソース グループの場所」は、各サブスクリプションで作成されるこになる連続エクスポート構成を格納するリソースグループに関する設定となります。「Log Analytics ワークスペース」には連続エクスポートの宛先として上記で作成したワークスペースを指定しています。
「修復」タブでは、修復タスクが利用するマネージド ID として、システム割り当てマネージド ID を指定します。
「コンプライアンス非対応のメッセージ」タブは、入力せずに進みます。
さいごに「レビューと作成」タブで設定に問題がないことを確認して「作成」を実行します。
割り当ては数十秒程度で作成されました。
その後、しばらくして「コンプライアンス」画面でコンプライアンス非対応が確認できました。今回の環境ではどのサブスクリプションも連続エクスポートを設定していないので、全てのサブスクリプションがコンプライアンス非対応になっています。
コンプライアンス画面で割り当て名をクリックして、このまま既存のサブスクリプションに対して設定するために修復タスクを手動実行します。
画面下部の「リソース コンプライアンス」に設定したい対象のサブスクリプションが表示されていることを確認して、「修復タスクの作成」をクリックします。
スコープが修復タスクを実行したい管理グループになっているかを確認して、「修復」をクリックして実行します。
「修復」画面において、修復タスクの実行状況を確認できます。今回の環境では 1〜2 分で「完了」状態になりました。
修復タスクで設定された連続エクスポートの構成を確認してみます。
組み込みポリシーのパラメーターで指定できなかった「セキュリティ攻撃パス」を除き、設定項目は意図どおり全てエクスポートする設定となっていました。「セキュリティ攻撃パス」についても今後のアップデートで設定できるようになることを期待したいです。
リソースグループに関しても、修復タスクの対象となっていた 3 つのサブスクリプションでそれぞれ作成されていることを確認できました。リージョンも指定どおりでした。
deployIfNotExists 効果のため、今後はポリシーのスコープとしている管理グループ内で作成されるサブスクリプションに対しても自動設定されると思われます。
さいごに
Microsoft Defender for Cloud の Log Analytics ワークスペース向けの連続エクスポートを Azure ポリシーで設定してみました。連続エクスポートを設定しておくことでセキュリティスコアを時系列で長期保管できるため、セキュリティ対策の改善状況を可視化するなどの使い方もできそうです。
以上、このブログがどなたかのご参考になれば幸いです。
