雰囲気でMDfEのログを365日間保存をする

Microsoft Defender for Endpointではデータが180日間しか保存できません。それ以降のものは消えてしまって管理画面から閲覧できなくなってしまうのでしょう。

企業のセキュリティポリシーによっては180日間保存では足りなくて、もっと保存する場面もでてきます。

今回はそんな課題を解決します。保存先にはAzure StorageとAzure Event Hubが選べますが、今回はAzure Storageを保存先にしています。

結論これをみる

タイトル未設定

Stream Microsoft Defender for Endpoint events to your Storage account

1. ストレージアカウントを作成する

MDfE保存用のストレージアカウントを1つ作成します。
作成する際にストレージアカウントの種類やレプリケーション、パフォーマンス、アクセス層を設定する必要があります。

こちらに書いてあるのですが、正直良くわかりません。
できるだけ費用を抑えたいので、比較的安価になるように設定しました。

アカウントの種類 : 汎用V2
レプリケーション : ローカル冗長ストレージ（LRS）
パフォーマンス層 : スタンダード
アクセス層 : ホット

Storage account overview - Azure Storage

こちらが作成後の画面です。作成したら[プロパティ]-[ストレージアカウントのリソースID]の値をメモっておきます。

2. Microsoft.insightsが登録されていることを確認する

この設定の意味はよくわかりませんｗ
MSのDocsに書いてあったのでやっておきます。

3. Microsoft Defender Security Centerにストレージアカウントを設定する

Microsoft Defender Security Centerにログインし、Data export settingsにデータ保存先を指定します。前にメモっていおいたリソースIDをここで設定します。

4. ローテーション設定をする

ストレージアカウントのライフサイクル管理で設定をします。正直、ここの日本語が理解できませんが、動画を見るとこの設定は

- 90日経過したらクールストレージに移動する
- 180日経過したらアーカイブストレージに移動する
- 365日経過したら削除

という設定になります。もし違っていたら教えて下さい

5. 保存チェック

しばらくするとコンテナーにファイルみたいなのが見えてきます。この中にデータが保存されています。階層を降りていくと、jsonファイルがあり、その中にデータが入っています。

6. データ容量

コストに直結するので、データ容量が気になると思います。ストレージアカウントの概要のところで容量がチェックできます。

イングレスの合計というところがデータ容量だと思っています。

以上の設定で、MDfEのデータがAzure Storageに365日間保存されるようになりました。

もしなにかあって保存データがみたいというときはコンテナーのところからjsonファイルをダウンロードする形になると思っています。

最後に宣伝！

いま、Microsoft Defender for EndpointとAzure Sentinelを使いこなすために学習中です。こういうことやりたいなど、ネタの提供をお待ちしています。

こちらで調べてわかったものはノウハウを共有していこうと思います。

最終的には上記ツールを使って、お一人様SOC体制を作るために最低限の設定や運用をまとめられたらと目論んでます。