Konfigurálja Microsoft Defender XDR a Speciális veszélyforrás-keresés eseményeinek streameléséhez a Tárfiókba
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Az első lépések
Létrehozás egy Storage-fiókot a bérlőben.
Jelentkezzen be az Azure-bérlőbe, majd lépjen az Előfizetések > Az előfizetés > erőforrás-szolgáltatói > regisztráljon a Microsoft.Insights szolgáltatásba.
Közreműködői engedélyek hozzáadása
A Tárfiók létrehozása után a következőkre lesz szüksége:
Adja meg a Microsoft Defender XDR bejelentkező felhasználót Közreműködőként.
Lépjen a Tárfiók > hozzáférés-vezérlése (IAM) > Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.
Nyers adatstreamelés engedélyezése
Jelentkezzen be Microsoft Defender XDRglobális rendszergazdaként vagy biztonsági rendszergazdaként.
Lépjen a Beállítások>Microsoft Defender XDR>Streaming API területre. Ha közvetlenül a Streaming API oldalára szeretne lépni, használja a következőt https://security.microsoft.com/settings/mtp_settings/raw_data_export: .
Válassza a Hozzáadás lehetőséget.
A megjelenő Új streamelési API-beállítások hozzáadása úszó panelen konfigurálja a következő beállításokat:
- Név: Válasszon nevet az új beállításoknak.
- Válassza az Események továbbítása az Azure Storage-ba lehetőséget.
Ha meg szeretné jeleníteni egy tárfiók Azure Resource Manager erőforrás-azonosítóját a Azure Portal, kövesse az alábbi lépéseket:
Lépjen a tárfiókra a Azure Portal.
Az Áttekintés lap Essentials szakaszában válassza a JSON-nézet hivatkozást.
A tárfiók erőforrás-azonosítója az oldal tetején jelenik meg, és másolja a tárfiók erőforrás-azonosítója alatti szöveget.
Az Add new Streaming API settings (Új streamelési API-beállítások hozzáadása ) úszó panelen válassza ki a streamelni kívánt eseménytípusokat .
Ha végzett, válassza a Küldés lehetőséget.
A Storage-fiókban lévő események sémája
Minden eseménytípushoz létrejön egy blobtároló:
A blobok egyes sorainak sémája a következő JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
Minden blob több sort tartalmaz.
Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:
Jelentkezzen be a Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés elemre>. Ha közvetlenül a Speciális veszélyforrás-keresés lapra szeretne lépni, használja <a security.microsoft.com/advanced-hunting>.
A Lekérdezés lapon futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Létrehozott erőforrások monitorozása
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Célhelyek monitorozása – Azure Monitor | Microsoft Docs.
Kapcsolódó témakörök
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
események Stream Microsoft Defender XDR az Azure Storage-fiókba
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: