Configureer Microsoft Defender XDR om geavanceerde opsporingsevenementen naar uw opslagaccount te streamen

Van toepassing op:

• Microsoft Defender XDR

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Voordat u begint

1. Creatie een opslagaccount in uw tenant.

2. Meld u aan bij uw Azure-tenant, ga naar Abonnementen > Uw abonnement > resourceproviders > registreren bij Microsoft.Insights.

Inzendermachtigingen toevoegen

Zodra het opslagaccount is gemaakt, moet u het volgende doen:

1. Definieer de gebruiker die zich aanmeldt bij Microsoft Defender XDR als Inzender.

   Ga naar Toegangsbeheer voor opslagaccounts > (IAM) > Toevoegen en controleren onder Roltoewijzingen.

Streaming van onbewerkte gegevens inschakelen

1. Meld u aan bij Microsoft Defender XDR als globale beheerder of beveiligingsbeheerder.

2. Ga naar Instellingen>Microsoft Defender XDR>Streaming-API. Als u rechtstreeks naar de pagina streaming-API wilt gaan, gebruikt u https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Kies Toevoegen.

4. Configureer de volgende instellingen in de flyout Nieuwe streaming-API-instellingen toevoegen die wordt weergegeven:

   1. Naam: kies een naam voor de nieuwe instellingen.
   2. Selecteer Gebeurtenissen doorsturen naar Azure Storage.

5. Voer de volgende stappen uit om de Resource-id van Azure Resource Manager voor een opslagaccount in de Azure Portal weer te geven:

   1. Navigeer naar uw opslagaccount in de Azure Portal.

   2. Selecteer op de pagina Overzicht in de sectie Essentials de koppeling JSON-weergave.

   3. De resource-id voor het opslagaccount wordt boven aan de pagina weergegeven. Kopieer de tekst onder Resource-id van opslagaccount.

   4. Kies in de flyout Nieuwe instellingen voor streaming-API toevoegen de gebeurtenistypen die u wilt streamen.

   Wanneer u klaar bent, selecteert u Verzenden.

Het schema van de gebeurtenissen in het opslagaccount

• Er wordt een blobcontainer gemaakt voor elk gebeurtenistype:

  

• Het schema van elke rij in een blob is de volgende JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Elke blob bevat meerdere rijen.

• Elke rij bevat de naam van de gebeurtenis, het tijdstip waarop Defender voor Eindpunt de gebeurtenis heeft ontvangen, de tenant waartoe deze hoort (u krijgt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'eigenschappen'.

• Zie Overzicht van geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender XDR gebeurtenissen.

Toewijzing van gegevenstypen

Ga als volgt te werk om de gegevenstypen voor onze gebeurteniseigenschappen op te halen:

1. Meld u aan bij Microsoft Defender XDR en ga naar Hunting>Advanced hunting. Gebruik <security.microsoft.com/advanced-hunting> om rechtstreeks naar de pagina Geavanceerde opsporing te gaan.

2. Voer op het tabblad Query de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:

  

Gemaakte resources bewaken

U kunt de resources bewaken die door de streaming-API zijn gemaakt met behulp van Azure Monitor. Zie Bestemmingen bewaken - Azure Monitor | Microsoft Docs.

Verwante onderwerpen

• De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

• Overzicht van geavanceerde opsporing

• Microsoft Defender XDR Streaming-API

• gebeurtenissen Stream Microsoft Defender XDR naar uw Azure Storage-account

• Documentatie voor Azure Storage-account

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.