Del via


Konfigurer Microsoft Defender XDR til å strømme hendelser for avansert jakt til lagringskontoen

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Før du starter

  1. Opprett en lagringskonto i leieren.

  2. Logg på Azure-leieren, gå til Abonnementer > Ressursleverandørene > registrerer seg for abonnementet > til Microsoft.Insights.

Legg til bidragsytertillatelser

Når lagringskontoen er opprettet, må du:

  1. Definer brukeren som logger på Microsoft Defender XDR som bidragsyter.

    Gå til tilgangskontroll for lagringskonto > (IAM) > Legg til og bekreft under Rolletildelinger.

Aktiver strømming av rådata

  1. Logg på Microsoft Defender XDR som en sikkerhetsadministrator som et minimum.

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

  1. Gå til Innstillinger>for Microsoft Defender XDR>Streaming API. Hvis du vil gå direkte til siden for strømming av API , bruker https://security.microsoft.com/settings/mtp_settings/raw_data_exportdu .

  2. Velg Legg til.

  3. Konfigurer følgende innstillinger i undermenyen Legg til nye API-innstillinger for strømming som vises:

    1. Navn: Velg et navn for de nye innstillingene.
    2. Velg Videresend hendelser til Azure Storage.
  4. Hvis du vil vise Ressurs-ID-en for Azure Resource Manager for en lagringskonto i Azure-portalen, følger du disse trinnene:

    1. Gå til lagringskontoen i Azure-portalen.

    2. Velg JSON-visningskoblingen i Essentials-delenOversikt-siden.

    3. Ressurs-ID-en for lagringskontoen vises øverst på siden og kopierer teksten under Ressurs-ID for lagringskonto.

    4. Gå tilbake til undermenyen Legg til nye innstillinger for strømming av API , og velg hendelsestypene du vil strømme.

    Når du er ferdig, velger du Send.

Skjemaet for hendelsene i Storage-kontoen

  • Det opprettes en blob-beholder for hver hendelsestype:

    Eksempel på en blob-beholder

  • Skjemaet for hver rad i en blob er følgende JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Hver blob inneholder flere rader.

  • Hver rad inneholder hendelsesnavnet, tidspunktet Defender for Endpoint mottok hendelsen, leieren den tilhører (du får bare hendelser fra leieren) og hendelsen i JSON-format i en egenskap kalt Egenskaper.

  • Hvis du vil ha mer informasjon om skjemaet for Microsoft Defender XDR-hendelser, kan du se Oversikt over avansert jakt.

Tilordning av datatyper

Hvis du vil hente datatypene for hendelsesegenskapene våre, gjør du følgende:

  1. Logg på Microsoft Defender XDR , og gå til Jakt>avansert jakt. Bruk security.microsoft.com/advanced-hunting> for å gå direkte til siden<Avansert jakt.

  2. Kjør følgende spørring på Spørring-fanen for å få tilordningen av datatypene for hver hendelse:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Her er et eksempel på enhetsinformasjonshendelse:

    Et eksempel på enhetsinformasjonsspørring

Overvåke opprettede ressurser

Du kan overvåke ressursene som opprettes av API-en for strømming ved hjelp av Azure Monitor. Hvis du vil ha mer informasjon, kan du se Monitor-destinasjoner – Azure Monitor | Microsoft Docs.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.