Stream Microsoft Defender XDR eventos en la cuenta de almacenamiento

Se aplica a:

• Microsoft Defender XDR

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Antes de empezar

• Cree una cuenta de almacenamiento en el inquilino.
• Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Losproveedores de recursos> de suscripción >se registran en Microsoft.Insights.

Agregar permisos de colaborador

Una vez creada la cuenta de almacenamiento, debe definir el usuario que inicia sesión como colaborador.

1. Vaya a Control de acceso a la cuenta> de almacenamiento(IAM) y, a continuación, seleccione Agregar.

2. Compruebe que el usuario aparece en Asignaciones de roles.

Habilitación del streaming de datos sin procesar

Nota:

Al usar la API de streaming en una cuenta de Azure Storage, asegúrese de que la opción Allow trusted Microsoft services to access this storage account está habilitada en la configuración de la cuenta de almacenamiento para permitir la transmisión de datos desde Microsoft Defender para punto de conexión.

1. Vaya al portal de Microsoft Defender e inicie sesión con una cuenta con al menos permisos de administrador de seguridad.

   Importante

   Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

2. Vaya a Configuración>Microsoft Defender XDR>Streaming API. Para ir directamente a la página de Streaming API , use https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Seleccione Agregar.

4. En el control flotante Agregar nueva configuración de Streaming API que aparece, configure las siguientes opciones:

   • Nombre: elija un nombre para la nueva configuración.
   • Seleccione Reenviar eventos a Azure Storage.

5. Para mostrar el identificador de recurso de Azure Resource Manager para una cuenta de almacenamiento en el Azure Portal, siga estos pasos:

   1. Vaya a la cuenta de almacenamiento en el Azure Portal.

   2. En la página Información general, en la sección Essentials, seleccione el vínculo Vista JSON.

   3. El identificador de recurso de la cuenta de almacenamiento se muestra en la parte superior de la página. Copie el texto en Id. de recurso de la cuenta de almacenamiento.

   4. En el control flotante Agregar nueva configuración de Streaming API , elija los tipos de eventos que desea transmitir.

   5. Cuando haya terminado, seleccione Enviar.

Esquema de los eventos de la cuenta de almacenamiento

• Se crea un contenedor de blobs para cada tipo de evento:

  

• El esquema de cada fila de un blob es el siguiente JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Cada blob contiene varias filas.

• Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

• Para obtener más información sobre el esquema de eventos de Microsoft Defender XDR, vea Información general sobre la búsqueda avanzada.

Asignación de tipos de datos

Para obtener los tipos de datos de las propiedades de eventos, siga estos pasos:

1. Vaya al portal de Microsoft Defender e inicie sesión.

2. Vaya a Caza>avanzada de caza. Para ir directamente a la página Búsqueda avanzada , use https://security.microsoft.com/advanced-hunting.

3. En la pestaña Consulta , ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Este es un ejemplo del evento Device Info:

   

Supervisión de los recursos creados

Puede supervisar los recursos creados por la API de streaming mediante Azure Monitor. Para obtener más información, consulte Supervisión de destinos: Azure Monitor.

Artículos relacionados

• Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn
• Introducción a la búsqueda avanzada
• MICROSOFT DEFENDER XDR STREAMING API
• Stream Microsoft Defender XDR eventos en la cuenta de Azure Storage
• Documentación de la cuenta de Azure Storage

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.