Stream Microsoft Defender XDR hændelser til din lagerkonto

Gælder for:

• Microsoft Defender XDR

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Før du begynder

• Opret en lagerkonto i din lejer.
• Log på din Azure-lejer, og gå til Abonnementer>Dit abonnement>Ressourceudbydere>Tilmeld dig Microsoft.Insights.

Tilføj bidragydertilladelser

Når lagerkontoen er oprettet, skal du definere den bruger, der logger på som bidragyder.

1. Gå til Lagerkontoadgangskontrol>(IAM), og vælg derefter Tilføj.

2. Kontrollér, at brugeren er angivet under Rolletildelinger.

Aktivér rå datastreaming

Bemærk!

Når du bruger Streaming-API'en til en Azure Storage-konto, skal du sørge for, at indstillingen Allow trusted Microsoft services to access this storage account er aktiveret i indstillingerne for lagerkontoen, så data kan streames fra Microsoft Defender for Endpoint.

1. Gå til Microsoft Defender-portalen, og log på med en konto med som minimum sikkerhedsadministratortilladelser.

   Vigtigt!

   Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

2. Gå til Indstillinger>Microsoft Defender XDR>Streaming API. Hvis du vil gå direkte til siden Streaming-API , skal du bruge https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Vælg Tilføj.

4. I pop op-vinduet Tilføj nye streaming-API-indstillinger , der vises, skal du konfigurere følgende indstillinger:

   • Navn: Vælg et navn til de nye indstillinger.
   • Vælg Videresend hændelser til Azure Storage.

5. Hvis du vil have vist Azure Resource Manager-ressource-id'et for en lagerkonto i Azure Portal, skal du følge disse trin:

   1. Gå til din lagerkonto i Azure Portal.

   2. På siden Oversigt i afsnittet Essentials skal du vælge linket JSON-visning.

   3. Ressource-id'et for lagerkontoen vises øverst på siden. Kopiér teksten under Ressource-id for lagerkonto.

   4. I pop op-vinduet Tilføj nye streaming-API-indstillinger skal du vælge de hændelsestyper , du vil streame.

   5. Når du er færdig, skal du vælge Send.

Skemaet for hændelserne på lagerkontoen

• Der oprettes en blobobjektbeholder for hver hændelsestype:

  

• Skemaet for hver række i en blob er følgende JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Hver blob indeholder flere rækker.

• Hver række indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

• Du kan finde flere oplysninger om skemaet for Microsoft Defender XDR begivenheder under Oversigt over avanceret jagt.

Tilknytning af datatyper

Følg disse trin for at hente datatyperne for hændelsesegenskaber:

1. Gå til Microsoft Defender-portalen, og log på.

2. Gå til Jagt>Avanceret jagt. Hvis du vil gå direkte til siden Avanceret jagt , skal du bruge https://security.microsoft.com/advanced-hunting.

3. Kør følgende forespørgsel under fanen Forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Her er et eksempel på hændelsen Enhedsoplysninger:

   

Overvågning af oprettede ressourcer

Du kan overvåge de ressourcer, der oprettes af streaming-API'en, ved hjælp af Azure Monitor. Du kan få flere oplysninger under Overvåg destinationer – Azure Monitor.

Relaterede artikler

• Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
• Oversigt over avanceret jagt
• api til Microsoft Defender XDR streaming
• Stream Microsoft Defender XDR hændelser til din Azure Storage-konto
• Dokumentation til Azure Storage-konto

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.