高度なハンティング イベントを Azure Event Hub にストリーミングするようにMicrosoft Defender XDRを構成する
適用対象:
注意
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
Event Hubs にデータをストリーミングするようにMicrosoft Defender XDRを構成する前に、次の前提条件が満たされていることを確認してください。
Event Hubs を作成します (詳細については、「 Event Hubs のセットアップ」を参照してください)。
Event Hubs 名前空間の作成 (詳細については、「 Event Hubs 名前空間のセットアップ」を参照してください)。
このエンティティが Event Hubs にデータをエクスポートできるように、 共同作成者 の権限を持つエンティティにアクセス許可を追加します。 アクセス許可の追加の詳細については、「アクセス許可の追加」を参照してください。
注意
ストリーミング API は、Event Hubs または Azure Storage アカウントを介して統合できます。
- 少なくともMicrosoft Defenderポータルにセキュリティ管理者としてログオンします。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
[ ストリーミング API の設定] ページに移動します。
[追加] をクリックします。
新しい設定の名前を選択します。
[ イベントを Azure Event Hub に転送する] を選択します。
イベント データを 1 つの Event Hub にエクスポートするか、各イベント テーブルを Event Hubs 名前空間の別の Event Hubs にエクスポートするかを選択できます。
イベント データを 1 つの Event Hub にエクスポートするには、 Event Hub 名 と Event Hub 名前空間リソース ID を入力します。
Event Hub 名前空間リソース ID を取得するには、Azure の [Azure Event Hubs名前空間] ページ> [プロパティ] タブに移動>、[リソース ID] のテキストをコピーします。
Microsoft 365 ストリーミング API のイベントの種類のサポート状態を確認するには、イベント ストリーミング API でサポートされているMicrosoft Defender XDRイベントの種類に移動します。
ストリーミングするイベントを選択し、[ 保存] をクリックします。
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs内の各 Event Hubs メッセージには、レコードの一覧が含まれています。
各レコードには、イベント名、イベントMicrosoft Defender XDR受信した時刻、属するテナント (テナントからのみイベントを取得します)、および "properties" というプロパティの JSON 形式のイベントが含まれます。
Microsoft Defender XDR イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。
Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。
イベント プロパティのデータ型を取得するには、次の手順を実行します。
Microsoft Defender XDRにログオンし、[高度なハンティング] ページに移動します。
次のクエリを実行して、各イベントのデータ型マッピングを取得します。
{EventType} | getschema | project ColumnName, ColumnType
次の高度なハンティング クエリは、イベント/秒と推定 MB/秒に基づいて、データ ボリュームのスループットと初期イベント ハブ容量の大まかな見積もりを提供するのに役立ちます。"実際の" スループットをキャプチャするために、通常の営業時間中にクエリを実行することをお勧めします。
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
さまざまな Event Hub の制限をチェックするには、クォータと制限Azure Event Hubs確認します。
ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 Azure Monitor での Log Analytics ワークスペースのデータ エクスポート」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。