קביעת התצורה של Microsoft Defender XDR להזרמת אירועי ציד מתקדמים לחשבון האחסון שלך
חל על:
הערה
נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
לפני שתתחיל
צור חשבון אחסון בדייר שלך.
היכנס לדייר Azure שלך, עבור אל מנויים ספקי >>> המשאבים של המנוי שלך רשומים ל- Microsoft.Insights.
הוספת הרשאות משתתף
לאחר יצירת חשבון האחסון, יהיה עליך:
הגדר את המשתמש שנכנס ל- Microsoft Defender XDR כמשתתף.
עבור אל בקרת גישה לחשבון > אחסון (IAM) > הוסף ואמת תחת הקצאות תפקידים.
הפוך זרימת נתונים גולמית לזמינה
- היכנס ל- Microsoft Defender XDR כמנהל אבטחה לכל הפחות.
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
עבור אל הגדרות ה-> APIשל הזרמת XDR>של Microsoft Defender. כדי לעבור ישירות לדף API של זרימה, השתמש ב- https://security.microsoft.com/settings/mtp_settings/raw_data_export.
בחר הוסף.
בתפריט הנשלף הוסף הגדרות API חדשות של זרימה שמופיע, קבע את תצורת ההגדרות הבאות:
- שם: בחר שם עבור ההגדרות החדשות שלך.
- בחר העבר אירועים ל- Azure Storage.
כדי להציג את מזהה המשאב של Azure Resource Manager עבור חשבון אחסון בפורטל Azure, בצע את הפעולות הבאות:
נווט אל חשבון האחסון שלך בפורטל Azure.
בדף Overview , במקטע Essentials , בחר את הקישור תצוגת JSON .
מזהה המשאב עבור חשבון האחסון מוצג בחלק העליון של הדף, העתק את הטקסט תחת מזהה משאב של חשבון אחסון.
בתפריט הנשלף הוסף הגדרות API חדשות של זרימה, בחר את סוגי האירועים שברצונך להזרים.
לאחר שתסיים, בחר שלח.
סכימת האירועים בחשבון האחסון
גורם מכיל של Blob נוצר עבור כל סוג אירוע:
הסכימה של כל שורה ב- blob היא ה- JSON הבא:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
כל Blob מכיל שורות מרובות.
כל שורה מכילה את שם האירוע, השעה שבה Defender for Endpoint קיבל את האירוע, הדייר שהוא שייך לו (תקבל רק אירועים מהדויר שלך) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".
לקבלת מידע נוסף אודות הסכימה של אירועי XDR של Microsoft Defender, ראה מבט כולל על ציד מתקדם.
מיפוי סוגי נתונים
כדי לקבל את סוגי הנתונים עבור מאפייני האירועים שלנו, בצע את הפעולות הבאות:
היכנס ל- XDR של Microsoft Defender ועבור אל ציד>מתקדם לציד. כדי לעבור ישירות לדף הציד המתקדם, השתמש security.microsoft.com/advanced-hunting<>.
בכרטיסיה שאילתה , הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:
{EventType} | getschema | project ColumnName, ColumnType
ניטור משאבים שנוצרו
באפשרותך לנטר את המשאבים שנוצרו על-ידי ה- API של הזרימה באמצעות Azure Monitor. לקבלת מידע נוסף, ראה ניטור יעדים - Azure Monitor | Microsoft Docs.
נושאים קשורים
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
הזרמת אירועי XDR של Microsoft Defender לחשבון האחסון שלך ב- Azure
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.