A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez a Storage-fiókba
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Az első lépések
Hozzon létre egy Tárfiókot a bérlőben.
Jelentkezzen be az Azure-bérlőbe, majd lépjen az Előfizetések > Az előfizetés > erőforrás-szolgáltatói > regisztráljon a Microsoft.Insights szolgáltatásba.
Közreműködői engedélyek hozzáadása
A Tárfiók létrehozása után a következőkre lesz szüksége:
Adja meg közreműködőként a Microsoft Defender XDR-be bejelentkező felhasználót.
Lépjen a Tárfiók > hozzáférés-vezérlése (IAM) > Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.
Nyers adatstreamelés engedélyezése
- Legalább biztonsági rendszergazdaként jelentkezzen be a Microsoft Defender XDR-be.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Lépjen a Beállítások>Microsoft Defender XDR>Streaming API-hoz. Ha közvetlenül a Streaming API oldalára szeretne lépni, használja a következőt https://security.microsoft.com/settings/mtp_settings/raw_data_export: .
Válassza a Hozzáadás lehetőséget.
A megjelenő Új streamelési API-beállítások hozzáadása úszó panelen konfigurálja a következő beállításokat:
- Név: Válasszon nevet az új beállításoknak.
- Válassza az Események továbbítása az Azure Storage-ba lehetőséget.
Ha meg szeretné jeleníteni egy tárfiók Azure Resource Manager-erőforrás-azonosítóját az Azure Portalon, kövesse az alábbi lépéseket:
Lépjen a tárfiókhoz az Azure Portalon.
Az Áttekintés lap Alapvető erőforrások szakaszában válassza a JSON-nézet hivatkozást.
A tárfiók erőforrás-azonosítója az oldal tetején jelenik meg, és másolja a tárfiók erőforrás-azonosítója alatti szöveget.
Az Add new Streaming API settings (Új streamelési API-beállítások hozzáadása ) úszó panelen válassza ki a streamelni kívánt eseménytípusokat .
Ha végzett, válassza a Küldés lehetőséget.
A Storage-fiókban lévő események sémája
Minden eseménytípushoz létrejön egy blobtároló:
A blobok egyes sorainak sémája a következő JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
Minden blob több sort tartalmaz.
Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR-események sémájáról további információt a Speciális veszélyforrás-keresés áttekintése című témakörben talál.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:
Jelentkezzen be a Microsoft Defender XDR-be, és lépjen aHunting Advanced hunting (Speciális veszélyforrás-keresés)> elemre. Ha közvetlenül a Speciális veszélyforrás-keresés lapra szeretne lépni, használja <a security.microsoft.com/advanced-hunting>.
A Lekérdezés lapon futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Létrehozott erőforrások monitorozása
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Célhelyek monitorozása – Azure Monitor | Microsoft Docs.
Kapcsolódó témakörök
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Microsoft Defender XDR-események streamelése az Azure Storage-fiókba
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.