Microsoft Defender for Businessでストリーミング API を使用する
organizationに Security Operations Center (SOC) がある場合は、Microsoft Defender for Endpoint ストリーミング API を使用する機能を Defender for Business と Microsoft 365 Business Premiumで使用できます。 この API を使用すると、デバイス ファイル、レジストリ、ネットワーク、サインイン イベントなどのデータを次のいずれかのサービスにストリーミングできます。
- Microsoft Sentinel は、セキュリティ情報とイベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を提供するスケーラブルなクラウドネイティブ ソリューションです。
- Azure Event Hubs、Stream Analytics、Power BI、Event Grid などの他の Azure および Microsoft サービスと Apache Spark などの外部サービスとシームレスに統合できる最新のビッグ データ ストリーミング プラットフォームとイベント インジェスト サービスです。
- Azure Storage は、最新のデータ ストレージ シナリオ向けの Microsoft のクラウド ストレージ ソリューションであり、クラウド内のさまざまなデータ オブジェクトに対して高可用性、非常にスケーラブル、持続性、およびセキュリティで保護されたストレージを備えています。
ストリーミング API を使用すると、Defender for Business とMicrosoft 365 Business Premiumで高度なハンティングと攻撃の検出を使用できます。 ストリーミング API を使用すると、SOC はデバイスに関するより多くのデータを表示し、攻撃がどのように発生したかをよりよく理解し、デバイスのセキュリティを強化するための手順を実行できます。
Microsoft Sentinel でストリーミング API を使用する
注:
Microsoft Sentinel は有料サービスです。 いくつかのプランと価格オプションを利用できます。 「Microsoft Sentinel の価格」を参照してください。
Defender for Business が設定および構成されていること、およびデバイスが既にオンボードされていることを確認します。 「Microsoft Defender for Businessのセットアップと構成」を参照してください。
Sentinel で使用する Log Analytics ワークスペースをCreateします。 Log Analytics ワークスペースのCreateに関するページを参照してください。
Microsoft Sentinel にオンボードします。 「クイック スタート: Microsoft Sentinel のオンボード」を参照してください。
Microsoft Defender XDR コネクタを有効にします。 「Microsoft Defender XDRから Microsoft Sentinel にデータを接続する」を参照してください。
Event Hubs でストリーミング API を使用する
注:
Azure Event Hubsには Azure サブスクリプションが必要です。 開始する前に、テナントに イベント ハブ を作成してください。 次に、Azure portalにサインインし、[サブスクリプション]>[サブスクリプション>リソース プロバイダーがMicrosoft.insights> に登録する] に移動します。
Microsoft Defender ポータルに移動し、グローバル管理者またはセキュリティ管理者としてサインインします。
[データ エクスポート設定] ページに移動します。
[ データ エクスポート設定の追加] を選択します。
新しい設定の名前を選択します。
[イベントをAzure Event Hubsに転送する] を選択します。
Event Hubs 名と Event Hubs ID を入力します。
注:
[Event Hubs name] フィールドを空のままにすると、選択した名前空間内のカテゴリごとにイベント ハブが作成されます。 専用 Event Hubs クラスターを使用していない場合は、10 個の Event Hubs 名前空間の制限があることに注意してください。
Event Hubs ID を取得するには、Azure portalの [Azure Event Hubs名前空間] ページに移動します。 [ プロパティ ] タブで、[ ID] の下のテキストをコピーします。
ストリーミングするイベントを選択し、[保存] を選択 します。
Azure Event Hubsのイベントのスキーマ
Azure Event Hubsのイベントのスキーマは次のようになります。
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs内の各イベント ハブ メッセージには、レコードの一覧が含まれています。 各レコードには、イベント名、Defender for Business がイベントを受信した時刻、イベントが属するテナント (テナントからのみイベントを取得する)、および "properties" というプロパティの JSON 形式のイベントが含まれます。 スキーマの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
Azure Storage でストリーミング API を使用する
Azure Storage には Azure サブスクリプションが必要です。 開始する前に、必ずテナントに ストレージ アカウント を作成してください。 次に、Azure テナントにサインインし、[サブスクリプション]>[サブスクリプション>リソース プロバイダー][Microsoft.insights> への登録] の順に移動します。
生データ ストリーミングを有効にする
Microsoft Defender ポータルに移動し、グローバル管理者またはセキュリティ管理者としてサインインします。
Microsoft Defender XDRの [データ エクスポート設定] ページに移動します。
[ データ エクスポート設定の追加] を選択します。
新しい設定の名前を選択します。
[ イベントを Azure Storage に転送する] を選択します。
ストレージ アカウントのリソース ID を入力します。 ストレージ アカウント リソース ID を取得するには、Azure portalの [ストレージ アカウント] ページに移動します。 次に、[ プロパティ ] タブの [ ストレージ アカウント リソース ID] の下のテキストをコピーします。
ストリーミングするイベントを選択し、[保存] を選択 します。
Azure Storage アカウントのイベントのスキーマ
BLOB コンテナーは、イベントの種類ごとに作成されます。 BLOB 内の各行のスキーマは、次の JSON ファイルです。
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
各 BLOB には複数の行が含まれています。 各行には、イベント名、Defender for Business がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得する)、および JSON 形式のプロパティのイベントが含まれます。 Microsoft Defender for Endpoint イベントのスキーマの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
関連項目
- Defender for Endpoint の生データ ストリーミング API