Konfigurálja Microsoft Defender XDR a Speciális veszélyforrás-keresés eseményeinek streameléséhez a Tárfiókba

Érintett szolgáltatás:

• Microsoft Defender XDR

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Az első lépések

1. Létrehozás egy Storage-fiókot a bérlőben.

2. Jelentkezzen be az Azure-bérlőbe, majd lépjen az Előfizetések > Az előfizetés > erőforrás-szolgáltatói > regisztráljon a Microsoft.Insights szolgáltatásba.

Közreműködői engedélyek hozzáadása

A Tárfiók létrehozása után a következőkre lesz szüksége:

1. Adja meg a Microsoft Defender XDR bejelentkező felhasználót Közreműködőként.

   Lépjen a Tárfiók > hozzáférés-vezérlése (IAM) > Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.

Nyers adatstreamelés engedélyezése

1. Jelentkezzen be Microsoft Defender XDRglobális rendszergazdaként vagy biztonsági rendszergazdaként.

2. Lépjen a Beállítások>Microsoft Defender XDR>Streaming API területre. Ha közvetlenül a Streaming API oldalára szeretne lépni, használja a következőt https://security.microsoft.com/settings/mtp_settings/raw_data_export: .

3. Válassza a Hozzáadás lehetőséget.

4. A megjelenő Új streamelési API-beállítások hozzáadása úszó panelen konfigurálja a következő beállításokat:

   1. Név: Válasszon nevet az új beállításoknak.
   2. Válassza az Események továbbítása az Azure Storage-ba lehetőséget.

5. Ha meg szeretné jeleníteni egy tárfiók Azure Resource Manager erőforrás-azonosítóját a Azure Portal, kövesse az alábbi lépéseket:

   1. Lépjen a tárfiókra a Azure Portal.

   2. Az Áttekintés lap Essentials szakaszában válassza a JSON-nézet hivatkozást.

   3. A tárfiók erőforrás-azonosítója az oldal tetején jelenik meg, és másolja a tárfiók erőforrás-azonosítója alatti szöveget.

   4. Az Add new Streaming API settings (Új streamelési API-beállítások hozzáadása ) úszó panelen válassza ki a streamelni kívánt eseménytípusokat .

   Ha végzett, válassza a Küldés lehetőséget.

A Storage-fiókban lévő események sémája

• Minden eseménytípushoz létrejön egy blobtároló:

  

• A blobok egyes sorainak sémája a következő JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Minden blob több sort tartalmaz.

• Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.

• A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:

1. Jelentkezzen be a Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés elemre>. Ha közvetlenül a Speciális veszélyforrás-keresés lapra szeretne lépni, használja <a security.microsoft.com/advanced-hunting>.

2. A Lekérdezés lapon futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Íme egy példa az Eszközadatok eseményre:

  

Létrehozott erőforrások monitorozása

A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Célhelyek monitorozása – Azure Monitor | Microsoft Docs.

Kapcsolódó témakörök

• A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

• A speciális veszélyforrás-keresés áttekintése

• Microsoft Defender XDR Streaming API

• események Stream Microsoft Defender XDR az Azure Storage-fiókba

• Az Azure Storage-fiók dokumentációja

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.