Compartir a través de


Configuración de XDR de Microsoft Defender para transmitir eventos de búsqueda avanzada a la cuenta de almacenamiento

Se aplica a:

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Antes de empezar

  1. Cree una cuenta de almacenamiento en el inquilino.

  2. Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Los proveedores de recursos > de suscripción > se registran en Microsoft.Insights.

Agregar permisos de colaborador

Una vez creada la cuenta de almacenamiento, deberá hacer lo siguiente:

  1. Defina el usuario que inicia sesión en XDR de Microsoft Defender como colaborador.

    Vaya a Control de acceso a la cuenta > de almacenamiento (IAM) > Agregar y comprobar en Asignaciones de roles.

Habilitación del streaming de datos sin procesar

  1. Inicie sesión en Microsoft Defender XDR como administrador de seguridad como mínimo.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

  1. Vaya a Configuración de> laAPI de streamingXDR> de Microsoft Defender. Para ir directamente a la página de Streaming API , use https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  2. Seleccione Agregar.

  3. En el control flotante Agregar nueva configuración de Streaming API que aparece, configure las siguientes opciones:

    1. Nombre: elija un nombre para la nueva configuración.
    2. Seleccione Reenviar eventos a Azure Storage.
  4. Para mostrar el identificador de recurso de Azure Resource Manager para una cuenta de almacenamiento en Azure Portal, siga estos pasos:

    1. Vaya a la cuenta de almacenamiento en Azure Portal.

    2. En la página Información general , en la sección Essentials , seleccione el vínculo Vista JSON .

    3. El identificador de recurso de la cuenta de almacenamiento se muestra en la parte superior de la página y copia el texto en Id. de recurso de la cuenta de almacenamiento.

    4. De nuevo en el control flotante Agregar nueva configuración de Streaming API , elija los tipos de eventos que desea transmitir.

    Cuando haya terminado, seleccione Enviar.

Esquema de los eventos de la cuenta de almacenamiento

  • Se crea un contenedor de blobs para cada tipo de evento:

    Ejemplo de un contenedor de blobs

  • El esquema de cada fila de un blob es el siguiente JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Cada blob contiene varias filas.

  • Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

  • Para obtener más información sobre el esquema de eventos XDR de Microsoft Defender, consulte Información general sobre la búsqueda avanzada.

Asignación de tipos de datos

Para obtener los tipos de datos de nuestras propiedades de eventos, haga lo siguiente:

  1. Inicie sesión en XDR de Microsoft Defender y vaya a Búsqueda>de búsqueda avanzada. Para ir directamente a la página Búsqueda avanzada , use <security.microsoft.com/advanced-hunting>.

  2. En la pestaña Consulta , ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Este es un ejemplo del evento Device Info:

    Consulta de información de dispositivo de ejemplo

Supervisión de los recursos creados

Puede supervisar los recursos creados por la API de streaming mediante Azure Monitor. Para obtener más información, consulte Supervisión de destinos: Azure Monitor | Microsoft Docs.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.