tapahtumien Stream Microsoft Defender XDR tallennustilillesi

Koskee seuraavia:

• Microsoft Defender XDR

Huomautus

Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Alkuvalmistelut

• Luo tallennustili vuokraajassasi.
• Kirjaudu sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>resurssintarjoajien>rekisteröinti Microsoft.Insightsiin.

Osallistujan käyttöoikeuksien lisääminen

Kun tallennustili on luotu, sinun on määritettävä osallistujana kirjautuva käyttäjä.

1. Siirry kohtaan Tallennustilin>käyttöoikeuksien valvonta (IAM) ja valitse sitten Lisää.

2. Varmista, että käyttäjä on roolimääritysten kohdassa.

Ota raakatietojen virtauttaminen käyttöön

Huomautus

Kun käytät suoratoiston ohjelmointirajapintaa Azure-tallennustiliin, varmista, että asetus Allow trusted Microsoft services to access this storage account on käytössä tallennustilin asetuksissa, jotta tietoja voidaan suoratoistaa Microsoft Defender for Endpoint.

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään tilillä, jolla on vähintään suojauksen järjestelmänvalvojan oikeudet.

   Tärkeää

   Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

2. Valitse Asetukset>Microsoft Defender XDR>Virtautettava ohjelmointirajapinta. Jos haluat siirtyä suoraan suoratoiston ohjelmointirajapintasivulle , käytä -parametria https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Valitse Lisää.

4. Määritä avautuvassa Lisää uusi suoratoiston ohjelmointirajapinnan asetukset -pikaikkunassa seuraavat asetukset:

   • Nimi: Valitse nimi uusille asetuksille.
   • Valitse Välitä tapahtumat Azure-tallennustilaan.

5. Jos haluat näyttää tallennustilin Azure-Resource Manager resurssitunnuksen Azure-portaali, toimi seuraavasti:

   1. Siirry tallennustiliisi Azure-portaali.

   2. Valitse Yleiskatsaus-sivunEssentials-osassaJSON-näkymälinkki.

   3. Tallennustilin resurssitunnus näkyy sivun yläreunassa. Kopioi teksti kohdassa Tallennustilin resurssitunnus.

   4. Valitse Lisää uusi suoratoiston ohjelmointirajapinnan asetukset -pikaikkunassa tapahtumatyypit , jotka haluat suoratoistaa.

   5. Kun olet valmis, valitse Lähetä.

Tallennustilin tapahtumien rakenne

• Kullekin tapahtumatyypille luodaan blob-säilö:

  

• Blob-objektin kunkin rivin rakenne on seuraava JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Jokainen blob-objekti sisältää useita rivejä.

• Jokainen rivi sisältää tapahtuman nimen, ajan, jolloin Defender for Endpoint vastaanotti tapahtuman, vuokraajan, jolle se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä "ominaisuudet".

• Lisätietoja Microsoft Defender XDR tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.

Tietotyyppien yhdistäminen

Voit hakea tapahtumien ominaisuuksien tietotyypit seuraavasti:

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

2. Mene metsästykseen>Kehittyneeseen metsästykseen. Jos haluat siirtyä suoraan kehittyneen metsästyksen sivulle, käytä .https://security.microsoft.com/advanced-hunting

3. Suorita Kysely-välilehdessä seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tässä on esimerkki laitetietojen tapahtumasta:

   

Luotujen resurssien valvonta

Voit valvoa suoratoiston ohjelmointirajapinnan luomia resursseja Azure Monitorin avulla. Lisätietoja on artikkelissa Kohteiden valvonta – Azure Monitor.

Aiheeseen liittyviä artikkeleita

• Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
• Kehittyneen metsästyksen yleiskatsaus
• Microsoft Defender XDR suoratoiston ohjelmointirajapinta
• tapahtumien Stream Microsoft Defender XDR Azure-tallennustiliisi
• Azure-tallennustilin dokumentaatio

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.