データ接続を使用する

この記事では、Microsoft Defender 外部攻撃面管理 (Defender EASM) のデータ接続機能について説明します。

概要

Defender EASMでは、既存のワークフローを新しい分析情報で補完するために、攻撃対象のデータを他の Microsoft ソリューションにシームレスに統合するのに役立つデータ接続が提供されるようになりました。攻撃面データを最大限に活用するには、修復のために使用する他のセキュリティツールにDefender EASMからデータを取得する必要があります。

データコネクタは、Defender EASM資産データを Log Analytics と Azure Data Explorer という 2 つの異なるプラットフォームに送信します。 Defender EASMデータをいずれかのツールにエクスポートする必要があります。データ接続は、各プラットフォームの価格モデルの対象となります。

Log Analytics には、セキュリティ情報とイベント管理とセキュリティオーケストレーション、自動化、応答機能が用意されています。 Defender EASM資産または分析情報を Log Analytics で使用して、既存のワークフローを他のセキュリティデータと共に強化できます。この情報は、ファイアウォールと構成情報、脅威インテリジェンス、コンプライアンスデータを補完して、オープンインターネット上の外部向けインフラストラクチャを可視化できます。

次の操作を行うことができます:

セキュリティインシデントを作成または強化する。
調査プレイブックを構築します。
機械学習アルゴリズムをトレーニングする。
修復アクションをトリガーします。

Azure Data Explorerは、柔軟なカスタマイズ機能を使用して、さまざまなソースから大量のデータを分析するのに役立つビッグデータ分析プラットフォームです。 Defender EASM資産と分析情報のデータを統合して、プラットフォーム内で視覚化、クエリ、インジェスト、管理機能を使用できます。

Power BI を使用してカスタムレポートを作成する場合でも、正確な KQL クエリに一致する資産を検索する場合でも、Defender EASMデータをAzure Data Explorerにエクスポートすると、無限のカスタマイズの可能性がある攻撃面データを使用できます。

データコンテンツオプション

Defender EASMデータ接続を使用すると、2 種類の攻撃面データを任意のツールに統合できます。資産データ、攻撃面の分析情報、または両方のデータ型を移行することを選択できます。資産データは、インベントリ全体に関する詳細を提供します。攻撃面の分析情報は、Defender EASMダッシュボードに基づいてすぐに実用的な分析情報を提供します。

organizationにとって最も重要なインフラストラクチャを正確に提示するために、両方のコンテンツオプションには承認済みインベントリ状態の資産のみが含まれます。

資産データ: [資産データ] オプションは、すべてのインベントリ資産に関するデータを任意のツールに送信します。このオプションは、詳細な基になるメタデータがDefender EASM統合の鍵となるユースケースに最適です。たとえば、Azure Data ExplorerのMicrosoft Sentinelレポートやカスタマイズされたレポートなどがあります。インベントリ内のすべての資産に対して高レベルのコンテキストをエクスポートし、特定の資産タイプに固有の詳細をエクスポートできます。

このオプションでは、資産に関する事前に定義された分析情報は提供されません。代わりに、膨大な量のデータを提供して、最も関心のあるカスタマイズされた分析情報を見つけることができます。

攻撃面の分析情報: 攻撃表面の分析情報は、Defender EASMのダッシュボードを通じて提供される主要な分析情報に基づいて、実用的な結果のセットを提供します。このオプションでは、各資産に対してより詳細なメタデータが提供されます。対応する分析情報に基づいて資産を分類し、さらに調査するために必要な高レベルのコンテキストを提供します。このオプションは、これらの事前に定義された分析情報を、他のツールのデータとカスタムレポートワークフローに統合する場合に最適です。

構成の概要

このセクションでは、構成に関する一般的な情報を示します。

データ接続にアクセスする

Defender EASM リソースペインの左端のウィンドウの [管理] で、[データ接続] を選択します。このページには、Log Analytics とAzure Data Explorerの両方のデータコネクタが表示されます。現在の接続が一覧表示され、接続を追加、編集、または削除するオプションが提供されます。

[データ接続] ページを示すスクリーンショット。

接続の前提条件

データ接続を正常に作成するには、まず、必要な手順を完了して、任意のツールDefender EASMアクセス許可を付与する必要があります。このプロセスにより、アプリケーションはエクスポートされたデータを取り込みます。また、接続を構成するために必要な認証資格情報も提供されます。

注:

Defender EASMデータ接続では、プライベートリンクやネットワークはサポートされていません。

Log Analytics のアクセス許可を構成する

Defender EASM データを取り込むか、新しいワークスペースを作成する Log Analytics ワークスペースを開きます。
左端のウィンドウの [ 設定] で、[エージェント] を選択 します。
[Log Analytics エージェントの指示] セクションを展開して、ワークスペース ID と主キーを表示します。これらの値は、データ接続を設定するために使用されます。

注:

Defender EASM Log Analytics Data Connector で現在使用されている HTTP データコレクター API は、2026 年 9 月 14 日に非推奨になります。

新しい Log Analytics データコネクタはすべて 、ログインジェスト API を使用します。これには、次に示すように追加のアクセス許可構成が必要です。

リソースグループロールの割り当てを構成する

左端のウィンドウで [概要] を選択し、メインウィンドウの [要点] の [リソース] グループに移動します。
Log Analytics ワークスペースを含むリソースグループを開きます。
左端のウィンドウで、[ アクセス制御 (IAM)] を選択します。
閲覧者ロールを検索して選択します。
ロールの割り当てのメンバーとしてEASM API を検索して選択します。
[割り当ての種類] が [永続的] になっていることを確認し、[ 確認と割り当て] をクリックします。
これを繰り返し、EASM API アプリの監視共同作成者、Log Analytics 共同作成者、監視メトリックパブリッシャーロールを追加します。

注:

EASM API のロールの割り当ては、後で割り当てられるまで数分かかる場合があります。割り当てを構成した後、数分待ってから新しいデータ接続を作成してください。

サブスクリプションリソースプロバイダーの構成

リソースグループと Log Analytics ワークスペースを含むサブスクリプションを開きます。
左端のウィンドウの [ 設定] で、[ リソースプロバイダー] を選択します。
microsoft.insights を検索し、プロバイダーを登録します。

注:

新しい Log Analytics API を使用して、Defender EASM データを取り込むDefender EASM リソースと Log Analytics ワークスペースは、同じテナントに存在する必要があります。

このデータ接続の使用は、Log Analytics の価格構造の影響を受けます。詳細については、「Azure Monitor の価格」を参照してください。

Azure Data Explorerアクセス許可を構成する

Defender EASM API サービスプリンシパルが、攻撃対象のサーフェスデータをエクスポートするデータベース内の正しいロールにアクセスできることを確認します。最初に、Defender EASM リソースが適切なテナントに作成されていることを確認します。このアクションでは、EASM API プリンシパルがプロビジョニングされるためです。

Defender EASM データを取り込むAzure Data Explorer クラスターを開くか、新しいクラスターを作成します。
左端のウィンドウの [ データ] で、[データベース] を選択 します。
[データベースの追加] を選択して、Defender EASM データを収容するデータベースを作成します。
データベースに名前を付け、保有期間とキャッシュ期間を構成し、[ 作成] を選択します。
Defender EASM データベースが作成されたら、データベース名を選択して詳細ページを開きます。左端のウィンドウの [ 概要] で、[ アクセス許可] を選択します。 Defender EASMデータをAzure Data Explorerに正常にエクスポートするには、EASM API に対してユーザーとインジェスタの 2 つの新しいアクセス許可を作成する必要があります。
[ 追加] を 選択し、ユーザーを作成します。 EASM API を検索し、値を選択し、[選択] を選択します。
[ 追加] を 選択してインジェストを作成します。前述の手順と同じ手順に従って、EASM API をインジェストレーターとして追加します。
これで、データベースをDefender EASMに接続する準備ができました。データ接続を構成するときに、クラスター名、データベース名、リージョンが必要です。

データ接続を追加する

Defender EASM データを Log Analytics または Azure Data Explorer に接続できます。これを行うには、[データ接続 ] ページから適切なツールの [接続 の追加] を選択します。

[ データ接続 ] ページの右側に構成ウィンドウが開きます。各ツールには、次のフィールドが必要です。

Log Analytics

[名前]: このデータ接続の名前を入力します。
ワークスペース ID: Defender EASMデータをエクスポートする Log Analytics インスタンスのワークスペース ID を入力します。
コンテンツ: 資産データ、攻撃サーフェス分析情報、または両方のデータセットを統合する場合に選択します。
頻度: 更新されたデータを任意のツールに送信するためにDefender EASM接続が使用する頻度を選択します。利用できるオプションは、毎日、毎週、毎月です。

注:

すべての新しいデータ接続では Log Analytics API が使用され、API キー は使用されません 。

Azure Data Explorer

[名前]: このデータ接続の名前を入力します。
[クラスター名]: データをエクスポートするAzure Data Explorer クラスターの名前Defender EASM入力します。
リージョン: Azure Data Explorer クラスターのリージョンを入力します。
[データベース名]: 目的のデータベースの名前を入力します。
コンテンツ: 資産データ、攻撃サーフェス分析情報、または両方のデータセットを統合する場合に選択します。
頻度: 更新されたデータを任意のツールに送信するためにDefender EASM接続が使用する頻度を選択します。利用できるオプションは、毎日、毎週、毎月です。

すべてのフィールドが構成されたら、[ 追加 ] を選択してデータ接続を作成します。この時点で、[ データ接続] ページに、リソースが正常に作成されたことを示すバナーが表示されます。 30 分後に、データの設定が開始されます。接続が作成されると、メインの [データ接続 ] ページの該当するツールの下に表示されます。

データ接続を編集または削除する

データ接続を編集または削除できます。たとえば、接続が [切断済み] と表示されている場合があります。この場合は、構成の詳細を再入力して問題を解決する必要があります。

データ接続を編集または削除するには:

メインの [データ接続] ページの一覧から適切な 接続を 選択します。
接続に関する詳細なデータを提供するページが開きます。接続の作成時に選択した構成とエラーメッセージが表示されます。次のデータも表示されます。
- [定期的な日付]: 更新されたデータを接続されたツールに送信Defender EASM曜日または月。
- 作成済み: データ接続が作成された日付と時刻。
- 更新済み: データ接続が最後に更新された日付と時刻。
このページから、データ接続を再接続、編集、または削除できます。
- 再接続: 構成に変更を加えずにデータ接続の検証を試みます。このオプションは、データ接続に使用される認証資格情報を検証した場合に最適です。
- 編集: データ接続の構成を変更できます。
- 削除: データ接続を削除します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-25