다음을 통해 공유

고급 헌팅 이벤트를 스토리지 계정으로 스트리밍하도록 엔드포인트용 Microsoft Defender 구성

  • 아티클

적용 대상:

참고

사용 가능한 전체 데이터 스트리밍 환경은 Microsoft Defender XDR 이벤트 스트리밍 | Microsoft Learn.

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

시작하기 전에

  1. 테넌트에서 Storage 계정을 만듭니다.

  2. Azure 테넌트에서 구독구독>리소스 공급자Microsoft.insights>에 등록으로 이동합니다>.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.

원시 데이터 스트리밍 사용

  1. Microsoft Defender 포털에 보안 관리자로 로그인합니다.

  2. Microsoft Defender XDR의 데이터 내보내기 설정 페이지 로 이동합니다.

  3. 데이터 내보내기 설정 추가를 선택합니다.

  4. 새 설정의 이름을 선택합니다.

  5. Azure Storage에 이벤트 전달을 선택합니다.

  6. 스토리지 계정 리소스 ID를 입력합니다. Storage 계정 리소스 ID를 가져오려면 Azure Portal> 속성 탭 > 의 스토리지 계정 페이지로 이동하여 Storage 계정 리소스 ID 아래에 있는 텍스트를 복사합니다.

    리소스 ID가 1인 Event Hubs

  7. 스트리밍할 이벤트를 선택하고 저장을 선택합니다.

Storage 계정의 이벤트 스키마

  • Blob 컨테이너는 각 이벤트 유형에 대해 만들어집니다.

    리소스 ID2가 있는 Event Hubs

  • Blob에 있는 각 행의 스키마는 다음 JSON입니다.

    {
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

  • 각 Blob에는 여러 행이 포함됩니다.

  • 각 행에는 이벤트 이름, 엔드포인트용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트 가져오기) 및 라는 속성 properties의 JSON 형식으로 이벤트가 포함됩니다.

  • 엔드포인트용 Microsoft Defender 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.

  • 고급 헌팅에서 DeviceInfo 테이블에는 디바이스 그룹이 포함된 MachineGroup 이라는 열이 있습니다. 여기서는 모든 이벤트도 이 열로 데코레이트됩니다. 자세한 내용은 디바이스 그룹을 참조하세요.

    참고

    디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

데이터 형식 매핑

이벤트 속성에 대한 데이터 형식을 얻으려면 다음 단계를 수행합니다.

  1. Microsoft Defender 포털에 로그인하고 고급 헌팅 페이지로 이동합니다.

  2. 다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.

    {EventType}
| getschema
| project ColumnName, ColumnType

    디바이스 정보 이벤트의 예는 다음과 같습니다.

    리소스 ID3이 있는 Event Hubs

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.