קביעת Microsoft Defender XDR להזרים אירועי ציד מתקדמים לחשבון האחסון שלך

חל על:

• Microsoft Defender XDR

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

לפני שתתחיל

1. Create חשבון אחסון בדייר שלך.

2. היכנס לדייר Azure שלך, עבור אל מנויים ספקי >>> המשאבים של המנוי שלך רשומים ל- Microsoft.Insights.

הוספת הרשאות משתתף

לאחר יצירת חשבון האחסון, יהיה עליך:

1. הגדר את המשתמש שנכנס ל- Microsoft Defender XDR כמשתתף.

   עבור אל בקרת גישה לחשבון > אחסון (IAM) > הוסף ואמת תחת הקצאות תפקידים.

הפוך זרימת נתונים גולמית לזמינה

1. היכנס כדי Microsoft Defender XDR כמנהל מערכת כללי או כמנהל אבטחה.

2. עבור אל הגדרות>Microsoft Defender XDR>API שלStreaming. כדי לעבור ישירות לדף API של זרימה, השתמש ב- https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. בחר הוסף.

4. בתפריט הנשלף הוסף הגדרות API חדשות של זרימה שמופיע, קבע את תצורת ההגדרות הבאות:

   1. שם: בחר שם עבור ההגדרות החדשות שלך.
   2. בחר העבר אירועים ל- Azure Storage.

5. כדי להציג את מזהה Resource Manager Azure עבור חשבון אחסון בפורטל Azure, בצע את הפעולות הבאות:

   1. נווט אל חשבון האחסון שלך בפורטל Azure.

   2. בדף Overview, במקטע Essentials, בחר את הקישור JSON View.

   3. מזהה המשאב עבור חשבון האחסון מוצג בחלק העליון של הדף, העתק את הטקסט תחת מזהה משאב של חשבון אחסון.

   4. בתפריט הנשלף הוסף הגדרות API חדשות של זרימה, בחר את סוגי האירועים שברצונך להזרים.

   לאחר שתסיים, בחר שלח.

סכימת האירועים בחשבון האחסון

• גורם מכיל של Blob נוצר עבור כל סוג אירוע:

  

• הסכימה של כל שורה ב- blob היא ה- JSON הבא:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• כל Blob מכיל שורות מרובות.

• כל שורה מכילה את שם האירוע, השעה שבה Defender for Endpoint קיבל את האירוע, הדייר שהוא שייך לו (תקבל רק אירועים מהדויר שלך) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".

• לקבלת מידע נוסף אודות הסכימה של Microsoft Defender XDR, ראה מבט כולל על ציד מתקדם.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני האירועים שלנו, בצע את הפעולות הבאות:

1. היכנס כדי Microsoft Defender XDR לצוד >מתקדם. כדי לעבור ישירות לדף הציד המתקדם, השתמש security.microsoft.com/advanced-hunting<>.

2. בכרטיסיה שאילתה , הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• להלן דוגמה לאירוע פרטי מכשיר:

  

ניטור משאבים שנוצרו

באפשרותך לנטר את המשאבים שנוצרו על-ידי ה- API של הזרימה באמצעות Azure Monitor. לקבלת מידע נוסף, ראה ניטור יעדים - Azure Monitor | Microsoft Docs.

נושאים קשורים

• השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn

• מבט כולל על ציד מתקדם

• Microsoft Defender XDR API של זרימת נתונים

• Stream Microsoft Defender XDR אירועים לחשבון האחסון שלך ב- Azure

• תיעוד של חשבון Azure Storage

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.