Del via


Konfigurer Microsoft Defender XDR til at streame avancerede jagthændelser til din lagerkonto

Gælder for:

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Før du begynder

  1. Opret en lagerkonto i din lejer.

  2. Log på din Azure-lejer, gå til Abonnementer > Dine abonnementsressourceudbydere >> Tilmeld dig Microsoft.Insights.

Tilføj bidragydertilladelser

Når lagerkontoen er oprettet, skal du:

  1. Definer den bruger, der logger på Microsoft Defender XDR som bidragyder.

    Gå til IAM (Storage Account > Access Control) > Tilføj og bekræft under Rolletildelinger.

Aktivér rå datastreaming

  1. Log på Microsoft Defender XDR som sikkerhedsadministrator som minimum.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

  1. Gå til Indstillinger>Microsoft Defender XDR-streaming-API>. Hvis du vil gå direkte til siden Streaming-API , skal du bruge https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  2. Vælg Tilføj.

  3. I pop op-vinduet Tilføj nye streaming-API-indstillinger , der vises, skal du konfigurere følgende indstillinger:

    1. Navn: Vælg et navn til de nye indstillinger.
    2. Vælg Videresend hændelser til Azure Storage.
  4. Hvis du vil have vist ressource-id'et for Azure Resource Manager for en lagerkonto på Azure Portal, skal du følge disse trin:

    1. Gå til din lagerkonto på Azure Portal.

    2. På siden Oversigt i afsnittet Essentials skal du vælge linket JSON View .

    3. Ressource-id'et for lagerkontoen vises øverst på siden. Kopiér teksten under Ressource-id for lagerkonto.

    4. Tilbage på pop op-vinduet Tilføj nye streaming-API-indstillinger skal du vælge de hændelsestyper , du vil streame.

    Når du er færdig, skal du vælge Send.

Skemaet for hændelserne på lagerkontoen

  • Der oprettes en blobobjektbeholder for hver hændelsestype:

    Eksempel på en blobobjektbeholder

  • Skemaet for hver række i en blob er følgende JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Hver blob indeholder flere rækker.

  • Hver række indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

  • Du kan finde flere oplysninger om skemaet for Microsoft Defender XDR-hændelser under Oversigt over avanceret jagt.

Tilknytning af datatyper

Hvis du vil hente datatyperne for vores hændelsesegenskaber, skal du gøre følgende:

  1. Log på Microsoft Defender XDR , og gå til Jagt>Avanceret jagt. Hvis du vil gå direkte til siden Avanceret jagt , skal du bruge <security.microsoft.com/advanced-hunting>.

  2. Kør følgende forespørgsel under fanen Forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Her er et eksempel på hændelsen Enhedsoplysninger:

    Et eksempel på en forespørgsel om enhedsoplysninger

Overvågning af oprettede ressourcer

Du kan overvåge de ressourcer, der oprettes af streaming-API'en, ved hjælp af Azure Monitor. Du kan få flere oplysninger under Overvåg destinationer – Azure Monitor | Microsoft Docs.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.