스토리지 계정에 이벤트 Stream Microsoft Defender XDR

적용 대상:

• Microsoft Defender XDR

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

시작하기 전에

• 테넌트에서 Storage 계정을 만듭니다.
• Azure 테넌트에서 로그인하고 구독>구독>리소스 공급자Microsoft.Insights>에 등록으로 이동합니다.

기여자 권한 추가

스토리지 계정이 만들어지면 로그인하는 사용자를 기여자 정의해야 합니다.

1. 스토리지 계정>액세스 제어(IAM)로 이동한 다음 추가를 선택합니다.

2. 사용자가 역할 할당 아래에 나열되어 있는지 확인합니다.

원시 데이터 스트리밍 사용

참고

Azure Storage 계정에 스트리밍 API를 사용하는 경우 스토리지 계정 설정에서 옵션을 Allow trusted Microsoft services to access this storage account 사용하도록 설정하여 엔드포인트용 Microsoft Defender 데이터를 스트리밍할 수 있도록 합니다.

1. Microsoft Defender 포털로 이동하여 보안 관리자 권한이 있는 계정을 사용하여 로그인합니다.

   중요

   사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

2. 설정>Microsoft Defender XDR>Streaming API로 이동합니다. 스트리밍 API 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. 추가를 선택합니다.

4. 표시되는 새 스트리밍 API 설정 플라이아웃 추가에서 다음 설정을 구성합니다.

   • 이름: 새 설정의 이름을 선택합니다.
   • Azure Storage에 이벤트 전달을 선택합니다.

5. Azure Portal 스토리지 계정에 대한 Azure Resource Manager 리소스 ID를 표시하려면 다음 단계를 수행합니다.

   1. Azure Portal 스토리지 계정으로 이동합니다.

   2. 개요 페이지의 Essentials 섹션에서 JSON 보기 링크를 선택합니다.

   3. 스토리지 계정의 리소스 ID는 페이지 맨 위에 표시됩니다. 스토리지 계정 리소스 ID 아래에 있는 텍스트를 복사합니다.

   4. 새 스트리밍 API 설정 추가 플라이아웃에서 스트리밍하려는 이벤트 유형을 선택합니다.

   5. 완료되면 제출을 선택합니다.

Storage 계정의 이벤트 스키마

• Blob 컨테이너는 각 이벤트 유형에 대해 만들어집니다.

  

• Blob에 있는 각 행의 스키마는 다음 JSON입니다.

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• 각 Blob에는 여러 행이 포함됩니다.

• 각 행에는 이벤트 이름, 엔드포인트용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트를 가져올 수 있음) 및 "properties"라는 속성의 JSON 형식의 이벤트가 포함됩니다.

• Microsoft Defender XDR 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.

데이터 형식 매핑

이벤트 속성에 대한 데이터 형식을 얻으려면 다음 단계를 수행합니다.

1. Microsoft Defender 포털로 이동하여 로그인합니다.

2. 헌팅고급 헌팅>으로 이동합니다. 고급 헌팅 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/advanced-hunting.

3. 쿼리 탭에서 다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   디바이스 정보 이벤트의 예는 다음과 같습니다.

   

생성된 리소스 모니터링

Azure Monitor를 사용하여 스트리밍 API에서 만든 리소스를 모니터링할 수 있습니다. 자세한 내용은 대상 모니터링 - Azure Monitor를 참조하세요.

관련 문서

• Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn
• 고급 헌팅 개요
• 스트리밍 API Microsoft Defender XDR
• Azure Storage 계정에 이벤트 Stream Microsoft Defender XDR
• Azure Storage 계정 설명서

팁

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.