Stream Microsoft Defender XDR hendelser til lagringskontoen

Gjelder for:

• Microsoft Defender XDR

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Før du starter

• Opprett en lagringskonto i leieren.
• Logg deg på Azure-leieren, og gå til Abonnementer> Somressursleverandører for abonnement>registrerer>du deg for Microsoft.Insights.

Legg til bidragsytertillatelser

Når lagringskontoen er opprettet, må du definere brukeren som logger på som bidragsyter.

1. Gå til tilgangskontroll for lagringskonto>(IAM), og velg deretter Legg til.

2. Kontroller at brukeren er oppført under Rolletildelinger.

Aktiver strømming av rådata

Obs!

Når du bruker streaming-API-en til en Azure Storage-konto, må du sørge for at alternativet Allow trusted Microsoft services to access this storage account er aktivert i innstillingene for lagringskontoen for å tillate at data strømmes fra Microsoft Defender for endepunkt.

1. Gå til Microsoft Defender-portalen, og logg på med en konto med minst sikkerhetsadministratortillatelser.

   Viktig

   Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

2. Gå til Innstillinger>Microsoft Defender XDR>Strøms-API. Hvis du vil gå direkte til siden for strømming av API , bruker https://security.microsoft.com/settings/mtp_settings/raw_data_exportdu .

3. Velg Legg til.

4. Konfigurer følgende innstillinger i undermenyen Legg til nye API-innstillinger for strømming som vises:

   • Navn: Velg et navn for de nye innstillingene.
   • Velg Videresend hendelser til Azure Storage.

5. Følg disse trinnene for å vise Ressurs-ID-en for Azure Resource Manager for en lagringskonto i Azure Portal:

   1. Gå til lagringskontoen i Azure Portal.

   2. Velg JSON-visningskoblingen under Essentials på Oversikt-siden.

   3. Ressurs-ID-en for lagringskontoen vises øverst på siden. Kopier teksten under Ressurs-ID for lagringskonto.

   4. Velg hendelsestypene du vil strømme, i undermenyen Legg til ny strømming av API-innstillinger.

   5. Når du er ferdig, velger du Send.

Skjemaet for hendelsene i Storage-kontoen

• Det opprettes en blob-beholder for hver hendelsestype:

  

• Skjemaet for hver rad i en blob er følgende JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Hver blob inneholder flere rader.

• Hver rad inneholder hendelsesnavnet, tidspunktet Defender for Endpoint mottok hendelsen, leieren den tilhører (du får bare hendelser fra leieren) og hendelsen i JSON-format i en egenskap kalt Egenskaper.

• Hvis du vil ha mer informasjon om skjemaet for Microsoft Defender XDR hendelser, kan du se Oversikt over Avansert jakt.

Tilordning av datatyper

Følg disse trinnene for å hente datatypene for hendelsesegenskaper:

1. Gå til Microsoft Defender-portalen, og logg på.

2. Gå til jakt>avansert jakt. Hvis du vil gå direkte til siden Avansert jakt , bruker https://security.microsoft.com/advanced-huntingdu .

3. Kjør følgende spørring på Spørring-fanen for å få tilordningen av datatypene for hver hendelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Her er et eksempel på enhetsinformasjonshendelse:

   

Overvåke opprettede ressurser

Du kan overvåke ressursene som opprettes av API-en for strømming ved hjelp av Azure Monitor. Hvis du vil ha mer informasjon, kan du se Monitor-destinasjoner – Azure Monitor.

Relaterte artikler

• Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn
• Oversikt over avansert jakt
• Microsoft Defender XDR strømming av API
• Stream Microsoft Defender XDR hendelser til Azure-lagringskontoen
• Dokumentasjon for Azure Storage-konto

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.