Condividi tramite

Configurare Microsoft Defender XDR per trasmettere gli eventi di ricerca avanzata all'account di archiviazione

  • Articolo

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prima di iniziare

  1. Creare un account di archiviazione nel tenant.

  2. Accedere al tenant di Azure, passare a Sottoscrizioni > I provider di > risorse della sottoscrizione > Registrarsi a Microsoft.Insights.

Aggiungere autorizzazioni per i collaboratori

Dopo aver creato l'account di archiviazione, è necessario:

  1. Definire l'utente che accede a Microsoft Defender XDR come collaboratore.

    Passare a Controllo di accesso dell'account > di archiviazione (IAM) > Aggiungere e verificare in Assegnazioni di ruolo.

Abilitare lo streaming di dati non elaborati

  1. Accedere almeno a Microsoft Defender XDR come amministratore della sicurezza .

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Passare a Impostazioni>API di streamingXDR> di Microsoft Defender. Per passare direttamente alla pagina DELL'API di streaming , usare https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  2. Selezionare Aggiungi.

  3. Nel riquadro a comparsa Aggiungi nuove impostazioni DELL'API di streaming visualizzato configurare le impostazioni seguenti:

    1. Nome: scegliere un nome per le nuove impostazioni.
    2. Selezionare Inoltra eventi ad Archiviazione di Azure.

  4. Per visualizzare l'ID risorsa di Azure Resource Manager per un account di archiviazione nel portale di Azure, seguire questa procedura:

    1. Passare all'account di archiviazione nel portale di Azure.

    2. Nella sezione Informazioni di base della pagina Panoramica selezionare il collegamento Visualizzazione JSON.

    3. L'ID risorsa per l'account di archiviazione viene visualizzato nella parte superiore della pagina e copia il testo in ID risorsa account di archiviazione.

    4. Nel riquadro a comparsa Aggiungi nuove impostazioni dell'API di streaming scegliere i tipi di evento da trasmettere.

    Al termine, selezionare Invia.

Schema degli eventi nell'account di archiviazione

  • Viene creato un contenitore BLOB per ogni tipo di evento:

    Esempio di contenitore BLOB

  • Lo schema di ogni riga in un BLOB è il codice JSON seguente:

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • Ogni BLOB contiene più righe.

  • Ogni riga contiene il nome dell'evento, l'ora in cui Defender per endpoint ha ricevuto l'evento, il tenant a cui appartiene (si otterranno solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

  • Per altre informazioni sullo schema degli eventi XDR di Microsoft Defender, vedere Panoramica della ricerca avanzata.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà degli eventi, eseguire le operazioni seguenti:

  1. Accedere a Microsoft Defender XDR e passare a Ricerca>avanzata. Per passare direttamente alla pagina Ricerca avanzata , usare <security.microsoft.com/advanced-hunting>.

  2. Nella scheda Query eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Ecco un esempio per l'evento Device Info:

    Una query di informazioni sul dispositivo di esempio

Monitoraggio delle risorse create

È possibile monitorare le risorse create dall'API di streaming usando Monitoraggio di Azure. Per altre informazioni, vedere Monitorare le destinazioni - Monitoraggio di Azure | Microsoft Docs.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.