高度なハンティング イベントをストレージ アカウントにストリーミングするようにMicrosoft Defender XDRを構成する

適用対象:

• Microsoft Defender XDR

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

はじめに

1. テナント内のストレージ アカウントをCreateします。

2. Azure テナントにログインし、[サブスクリプション] > [サブスクリプション > リソース プロバイダーが Microsoft.Insights > に登録する] に移動します。

共同作成者のアクセス許可を追加する

ストレージ アカウントが作成されたら、次の手順を実行する必要があります。

1. Microsoft Defender XDRに共同作成者としてログインするユーザーを定義します。

   [ストレージ アカウント > アクセス制御 (IAM)] > [ロールの割り当て] の下にある [追加と確認] に移動します。

生データ ストリーミングを有効にする

1. グローバル管理者またはセキュリティ管理者としてMicrosoft Defender XDRにログインします。

2. [設定Microsoft Defender XDR>ストリーミング API] > に移動します。 ストリーミング API ページに直接移動するには、 を使用https://security.microsoft.com/settings/mtp_settings/raw_data_exportします。

3. [追加] を選択します。

4. 表示される [ 新しいストリーミング API 設定の追加] ポップアップで、次の設定を構成します。

   1. [名前]: 新しい設定の名前を選択します。
   2. [ イベントを Azure Storage に転送する] を選択します。

5. Azure portalでストレージ アカウントの Azure Resource Manager リソース ID を表示するには、次の手順に従います。

   1. Azure portalでストレージ アカウントに移動します。

   2. [概要] ページの [Essentials] セクションで、[JSON ビュー] リンクを選択します。

   3. ストレージ アカウントのリソース ID がページの上部に表示され、[ ストレージ アカウント リソース ID] のテキストをコピーします。

   4. [ 新しいストリーミング API 設定の追加] ポップアップに戻り、ストリーミングする イベントの種類 を選択します。

   完了したら、[送信] を選択します。

ストレージ アカウント内のイベントのスキーマ

• BLOB コンテナーは、イベントの種類ごとに作成されます。

  

• BLOB 内の各行のスキーマは、次の JSON です。

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• 各 BLOB には複数の行が含まれています。

• 各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。

• Microsoft Defender XDR イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の操作を行います。

1. Microsoft Defender XDRにログインし、[ハンティング][高度なハンティング>] に移動します。 [高度なハンティング] ページに直接移動するには、security.microsoft.com/advanced-hunting> を使用<します。

2. [ クエリ ] タブで、次のクエリを実行して、各イベントのデータ型マッピングを取得します。

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• デバイス情報イベントの例を次に示します。

  

作成されたリソースの監視

ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「ターゲットの監視 - Azure Monitor |Microsoft Docs。

関連項目

• Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

• 高度なハンティングの概要

• Microsoft Defender XDR ストリーミング API

• Azure ストレージ アカウントにイベントをStream Microsoft Defender XDRする

• Azure Storage アカウントのドキュメント

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。