高度なハンティング イベントを Azure Event Hub にストリーミングするようにMicrosoft Defender XDRを構成する

適用対象:

• Microsoft Defender XDR

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

前提条件

Event Hubs にデータをストリーミングするようにMicrosoft Defender XDRを構成する前に、次の前提条件が満たされていることを確認してください。

1. Event Hubs をCreateします (詳細については、「Event Hubs のセットアップ」を参照してください)。

2. Event Hubs 名前空間の作成 (詳細については、「 Event Hubs 名前空間のセットアップ」を参照してください)。

3. このエンティティが Event Hubs にデータをエクスポートできるように、 共同作成者 の権限を持つエンティティにアクセス許可を追加します。 アクセス許可の追加の詳細については、「アクセス許可の追加」を参照してください。

注:

ストリーミング API は、Event Hubs または Azure Storage アカウントを介して統合できます。

生データ ストリーミングを有効にする

1. グローバル管理者またはセキュリティ管理者としてMicrosoft Defenderポータルにログオンします。

2. [ ストリーミング API の設定] ページに移動します。

3. [追加] をクリックします。

4. 新しい設定の名前を選択します。

5. [ イベントを Azure Event Hub に転送する] を選択します。

6. イベント データを 1 つの Event Hub にエクスポートするか、各イベント テーブルを Event Hubs 名前空間の別の Event Hubs にエクスポートするかを選択できます。

7. イベント データを 1 つの Event Hub にエクスポートするには、 Event Hub 名 と Event Hub リソース ID を入力します。

   Event Hub リソース ID を取得するには、[Azure>プロパティ] タブの [Azure Event Hubs名前空間] ページに移動し、[リソース ID] のテキストをコピーします>。

   

8. Microsoft 365 ストリーミング API のイベントの種類のサポート状態を確認するには、イベント ストリーミング API でサポートされているMicrosoft Defender XDRイベントの種類に移動します。

9. ストリーミングするイベントを選択し、[ 保存] をクリックします。

Azure Event Hub のイベントのスキーマ

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Azure Event Hubs内の各 Event Hubs メッセージには、レコードの一覧が含まれています。

• 各レコードには、イベント名、イベントMicrosoft Defender XDR受信した時刻、属するテナント (テナントからのみイベントを取得します)、および "properties" というプロパティの JSON 形式のイベントが含まれます。

• Microsoft Defender XDR イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。

• Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の手順を実行します。

1. Microsoft Defender XDRにログオンし、[高度なハンティング] ページに移動します。

2. 次のクエリを実行して、各イベントのデータ型マッピングを取得します。

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• デバイス情報イベントの例を次に示します。

  

初期 Event Hub 容量の見積もり

次の高度なハンティング クエリは、イベント/秒と推定 MB/秒に基づいて、データ ボリュームのスループットと初期イベント ハブ容量の大まかな見積もりを提供するのに役立ちます。"実際の" スループットをキャプチャするために、通常の営業時間中にクエリを実行することをお勧めします。

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

作成されたリソースの監視

ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 Azure Monitor での Log Analytics ワークスペースのデータ エクスポート」を参照してください。

関連項目

• Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

• 高度なハンティングの概要

• Microsoft Defender XDR ストリーミング API

• イベント ストリーミング API でサポートされているMicrosoft Defender XDR イベントの種類

• Azure ストレージ アカウントにイベントをStream Microsoft Defender XDRする

• Azure Event Hubsドキュメント

• 接続の問題のトラブルシューティング - Azure Event Hubs

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。