高度なハンティング イベントをストレージ アカウントにストリーミングするようにMicrosoft Defender XDRを構成する
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
はじめに
テナント内のストレージ アカウントをCreateします。
Azure テナントにログインし、[サブスクリプション] > [サブスクリプション > リソース プロバイダーが Microsoft.Insights > に登録する] に移動します。
共同作成者のアクセス許可を追加する
ストレージ アカウントが作成されたら、次の手順を実行する必要があります。
Microsoft Defender XDRに共同作成者としてログインするユーザーを定義します。
[ストレージ アカウント > アクセス制御 (IAM)] > [ロールの割り当て] の下にある [追加と確認] に移動します。
生データ ストリーミングを有効にする
グローバル管理者またはセキュリティ管理者としてMicrosoft Defender XDRにログインします。
[設定Microsoft Defender XDR>ストリーミング API] > に移動します。 ストリーミング API ページに直接移動するには、 を使用https://security.microsoft.com/settings/mtp_settings/raw_data_exportします。
[追加] を選択します。
表示される [ 新しいストリーミング API 設定の追加] ポップアップで、次の設定を構成します。
- [名前]: 新しい設定の名前を選択します。
- [ イベントを Azure Storage に転送する] を選択します。
Azure portalでストレージ アカウントの Azure Resource Manager リソース ID を表示するには、次の手順に従います。
Azure portalでストレージ アカウントに移動します。
[概要] ページの [Essentials] セクションで、[JSON ビュー] リンクを選択します。
ストレージ アカウントのリソース ID がページの上部に表示され、[ ストレージ アカウント リソース ID] のテキストをコピーします。
[ 新しいストリーミング API 設定の追加] ポップアップに戻り、ストリーミングする イベントの種類 を選択します。
完了したら、[送信] を選択します。
ストレージ アカウント内のイベントのスキーマ
BLOB コンテナーは、イベントの種類ごとに作成されます。
BLOB 内の各行のスキーマは、次の JSON です。
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
各 BLOB には複数の行が含まれています。
各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。
Microsoft Defender XDR イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。
データ型のマッピング
イベント プロパティのデータ型を取得するには、次の操作を行います。
Microsoft Defender XDRにログインし、[ハンティング][高度なハンティング>] に移動します。 [高度なハンティング] ページに直接移動するには、security.microsoft.com/advanced-hunting> を使用<します。
[ クエリ ] タブで、次のクエリを実行して、各イベントのデータ型マッピングを取得します。
{EventType} | getschema | project ColumnName, ColumnType
作成されたリソースの監視
ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「ターゲットの監視 - Azure Monitor |Microsoft Docs。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示