Konfigurieren von Microsoft Defender XDR zum Streamen von Erweiterten Hunting-Ereignissen an Ihr Speicherkonto

Gilt für:

• Microsoft Defender XDR

Hinweis

Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Bevor Sie beginnen

1. Erstellen Sie ein Speicherkonto in Ihrem Mandanten.

2. Melden Sie sich bei Ihrem Azure-Mandanten an, und wechseln Sie zu Abonnements > Ihr Abonnement > Ressourcenanbieter > Registrieren bei Microsoft.Insights.

Hinzufügen von Berechtigungen für Mitwirkende

Nachdem das Speicherkonto erstellt wurde, müssen Sie Folgendes ausführen:

1. Definieren Sie den Benutzer, der sich bei Microsoft Defender XDR anmeldet, als Mitwirkender.

   Wechseln Sie unter Rollenzuweisungen zu Speicherkontozugriffssteuerung > (IAM) > Hinzufügen und überprüfen.

Aktivieren des Rohdatenstreamings

1. Melden Sie sich mindestens als Sicherheitsadministrator bei Microsoft Defender XDR an.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

2. Wechseln Sie zu Einstellungen>Microsoft Defender XDR>Streaming API. Um direkt zur Seite Streaming-API zu wechseln, verwenden Sie https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Klicken Sie auf Hinzufügen.

4. Konfigurieren Sie im angezeigten Flyout Neue Einstellungen der Streaming-API hinzufügen die folgenden Einstellungen:

   1. Name: Wählen Sie einen Namen für Ihre neuen Einstellungen aus.
   2. Wählen Sie Ereignisse an Azure Storage weiterleiten aus.

5. Führen Sie die folgenden Schritte aus, um die Azure Resource Manager-Ressourcen-ID für ein Speicherkonto im Azure-Portal anzuzeigen:

   1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto.

   2. Wählen Sie auf der Seite Übersicht im Abschnitt Essentials den Link JSON-Ansicht aus.

   3. Die Ressourcen-ID für das Speicherkonto wird oben auf der Seite angezeigt. Kopieren Sie den Text unter Ressourcen-ID des Speicherkontos.

   4. Wählen Sie im Flyout Neue Streaming-API-Einstellungen hinzufügen die Ereignistypen aus, die Sie streamen möchten.

   Klicken Sie nach Abschluss des Vorgangs auf Absenden.

Das Schema der Ereignisse im Speicherkonto

• Für jeden Ereignistyp wird ein Blobcontainer erstellt:

  

• Das Schema jeder Zeile in einem Blob ist der folgende JSON-Code:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Jedes Blob enthält mehrere Zeilen.

• Jede Zeile enthält den Ereignisnamen, den Zeitpunkt, zu dem Defender für Endpunkt das Ereignis empfangen hat, den Mandanten, zu dem es gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens "properties".

• Weitere Informationen zum Schema von Microsoft Defender XDR-Ereignissen finden Sie unter Übersicht über die erweiterte Suche.

Datentypzuordnung

Gehen Sie wie folgt vor, um die Datentypen für unsere Ereigniseigenschaften abzurufen:

1. Melden Sie sich bei Microsoft Defender XDR an, und wechseln Sie zu HuntingAdvanced hunting (Erweiterte Suche>). Um direkt zur Seite Erweiterte Suche zu wechseln, verwenden Sie <security.microsoft.com/advanced-hunting>.

2. Führen Sie auf der Registerkarte Abfrage die folgende Abfrage aus, um die Datentypzuordnung für jedes Ereignis abzurufen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Hier sehen Sie ein Beispiel für das Device Info-Ereignis:

  

Überwachen erstellter Ressourcen

Sie können die von der Streaming-API erstellten Ressourcen mithilfe von Azure Monitor überwachen. Weitere Informationen finden Sie unter Überwachen von Zielen – Azure Monitor | Microsoft-Dokumentation.

Verwandte Themen

• Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn

• Übersicht über die erweiterte Suche

• Microsoft Defender XDR Streaming-API

• Streamen von Microsoft Defender XDR-Ereignissen an Ihr Azure-Speicherkonto

• Dokumentation zum Azure Storage-Konto

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.