Partager via


Configurer Microsoft Defender XDR pour diffuser en continu les événements de repérage avancé vers votre compte de stockage

S’applique à :

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Avant de commencer

  1. Créez un compte de stockage dans votre locataire.

  2. Connectez-vous à votre locataire Azure, accédez à Abonnements > Vos fournisseurs de ressources > d’abonnement > Inscrivez-vous à Microsoft.Insights.

Ajouter des autorisations de contributeur

Une fois le compte de stockage créé, vous devez :

  1. Définissez l’utilisateur qui se connecte à Microsoft Defender XDR en tant que Contributeur.

    Accédez à Contrôle d’accès au compte > de stockage (IAM) > Ajouter et vérifier sous Attributions de rôles.

Activer la diffusion en continu de données brutes

  1. Connectez-vous à Microsoft Defender XDR en tant qu’administrateur de sécurité au minimum.

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  1. Accédez à Paramètres API> destreamingMicrosoft Defender XDR>. Pour accéder directement à la page de l’API de streaming , utilisez https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  2. Sélectionnez Ajouter.

  3. Dans le menu volant Ajouter de nouveaux paramètres d’API de streaming qui s’affiche, configurez les paramètres suivants :

    1. Nom : choisissez un nom pour vos nouveaux paramètres.
    2. Sélectionnez Transférer des événements vers stockage Azure.
  4. Pour afficher l’ID de ressource Azure Resource Manager pour un compte de stockage dans le portail Azure, procédez comme suit :

    1. Accédez à votre compte de stockage dans le portail Azure.

    2. Dans la page Vue d’ensemble , dans la section Essentials , sélectionnez le lien Affichage JSON .

    3. L’ID de ressource du compte de stockage s’affiche en haut de la page. Copiez le texte sous ID de ressource du compte de stockage.

    4. De retour dans le menu volant Ajouter de nouveaux paramètres d’API de streaming , choisissez les types d’événements que vous souhaitez diffuser en continu.

    Lorsque vous avez terminé, sélectionnez Envoyer.

Schéma des événements dans le compte de stockage

  • Un conteneur d’objets blob est créé pour chaque type d’événement :

    Exemple de conteneur d’objets blob

  • Le schéma de chaque ligne d’un objet blob est le code JSON suivant :

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Chaque objet blob contient plusieurs lignes.

  • Chaque ligne contient le nom de l’événement, l’heure à laquelle Defender pour point de terminaison a reçu l’événement, le locataire auquel il appartient (vous obtiendrez uniquement les événements de votre locataire) et l’événement au format JSON dans une propriété appelée « properties ».

  • Pour plus d’informations sur le schéma des événements Microsoft Defender XDR, consultez Vue d’ensemble de la chasse avancée.

Mappage des types de données

Pour obtenir les types de données de nos propriétés d’événements, procédez comme suit :

  1. Connectez-vous à Microsoft Defender XDR et accédez à Repérage>avancé. Pour accéder directement à la page Repérage avancé , utilisez <security.microsoft.com/advanced-hunting>.

  2. Sous l’onglet Requête , exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Voici un exemple pour l’événement Device Info :

    Exemple de requête d’informations sur l’appareil

Surveillance des ressources créées

Vous pouvez surveiller les ressources créées par l’API de streaming à l’aide d’Azure Monitor. Pour plus d’informations, consultez Surveiller les destinations - Azure Monitor | Microsoft Docs.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.