ストレージ アカウントにイベントをStream Microsoft Defender XDRする

適用対象:

• Microsoft Defender XDR

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

開始する前に

• テナントに ストレージ アカウント を作成します。
• Azure テナントにサインインし、サブスクリプション>サブスクリプション>リソース プロバイダー>Microsoft.Insights への登録に移動します。

共同作成者のアクセス許可を追加する

ストレージ アカウントが作成されたら、共同作成者としてサインインするユーザーを定義する必要があります。

1. [ストレージ アカウント>アクセス 制御 (IAM) に移動し、[追加] を選択します。

2. [ ロールの割り当て] にユーザーが表示されていることを確認します。

生データ ストリーミングを有効にする

注:

Azure Storage アカウントにストリーミング API を使用する場合は、ストレージ アカウント設定で [Allow trusted Microsoft services to access this storage account] オプションが有効になっていることを確認して、Microsoft Defender for Endpointからデータをストリーミングできるようにします。

1. Microsoft Defender ポータルに移動し、少なくともセキュリティ管理者のアクセス許可を持つアカウントを使用してサインインします。

   重要

   Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

2. [設定>Microsoft Defender XDR>Streaming API] に移動します。 ストリーミング API ページに直接移動するには、https://security.microsoft.com/settings/mtp_settings/raw_data_exportを使用します。

3. [追加] を選択します。

4. 表示される [ 新しいストリーミング API 設定の追加] ポップアップで、次の設定を構成します。

   • [名前]: 新しい設定の名前を選択します。
   • [ イベントを Azure Storage に転送する] を選択します。

5. Azure portalでストレージ アカウントの Azure Resource Manager リソース ID を表示するには、次の手順に従います。

   1. Azure portalでストレージ アカウントに移動します。

   2. [概要] ページの [Essentials] セクションで、[JSON ビュー] リンクを選択します。

   3. ストレージ アカウントのリソース ID がページの上部に表示されます。 [ストレージ アカウント リソース ID] のテキストをコピーします。

   4. [ 新しいストリーミング API 設定の追加] ポップアップで、ストリーミングする イベントの種類 を選択します。

   5. 完了したら、[送信] を選択します。

ストレージ アカウント内のイベントのスキーマ

• BLOB コンテナーは、イベントの種類ごとに作成されます。

  

• BLOB 内の各行のスキーマは、次の JSON です。

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• 各 BLOB には複数の行が含まれています。

• 各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。

• Microsoft Defender XDR イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の手順に従います。

1. Microsoft Defender ポータルに移動し、サインインします。

2. [ハンティング>Advanced ハンティング] に移動します。 [高度なハンティング] ページに直接移動するには、https://security.microsoft.com/advanced-huntingを使用します。

3. [ クエリ ] タブで、次のクエリを実行して、各イベントのデータ型マッピングを取得します。

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   デバイス情報イベントの例を次に示します。

   

作成されたリソースの監視

ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 ターゲットの監視 - Azure Monitor」を参照してください。

関連記事

• Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
• 高度なハンティングの概要
• Microsoft Defender XDR ストリーミング API
• Azure ストレージ アカウントにイベントをStream Microsoft Defender XDRする
• Azure Storage アカウントのドキュメント

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。