Stream Microsoft Defender XDR zdarzenia do konta magazynu

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ważne

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Przed rozpoczęciem

Dodawanie uprawnień współautora

Po utworzeniu konta magazynu należy zdefiniować użytkownika, który loguje się jako współautor.

  1. Przejdź do obszaru Kontrola dostępu do konta> magazynu(IAM), a następnie wybierz pozycję Dodaj.

  2. Sprawdź, czy użytkownik znajduje się na liście w obszarze Przypisania ról.

Włączanie przesyłania strumieniowego danych pierwotnych

Uwaga

W przypadku korzystania z interfejsu API przesyłania strumieniowego do konta usługi Azure Storage upewnij się, że opcja Allow trusted Microsoft services to access this storage account jest włączona w ustawieniach konta magazynu, aby umożliwić przesyłanie strumieniowe danych z Ochrona punktu końcowego w usłudze Microsoft Defender.

  1. Przejdź do portalu Microsoft Defender i zaloguj się przy użyciu konta z co najmniej uprawnieniami administratora zabezpieczeń.

    Ważne

    Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  2. Przejdź do pozycji Ustawienia>Microsoft Defender XDR>Ustawienia interfejsu API transmisji strumieniowej. Aby przejść bezpośrednio do strony interfejsu API przesyłania strumieniowego , użyj polecenia https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  3. Wybierz opcję Dodaj.

  4. W wyświetlonym menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego skonfiguruj następujące ustawienia:

    • Nazwa: wybierz nazwę nowych ustawień.
    • Wybierz pozycję Prześlij zdarzenia do usługi Azure Storage.
  5. Aby wyświetlić identyfikator zasobu usługi Azure Resource Manager dla konta magazynu w Azure Portal, wykonaj następujące kroki:

    1. Przejdź do konta magazynu w Azure Portal.

    2. Na stronie Przegląd w sekcji Essentials wybierz link Widok JSON.

    3. Identyfikator zasobu konta magazynu jest wyświetlany w górnej części strony. Skopiuj tekst w obszarze Identyfikator zasobu konta magazynu.

    4. W menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego wybierz typy zdarzeń , które chcesz przesyłać strumieniowo.

    5. Po zakończeniu wybierz pozycję Prześlij.

Schemat zdarzeń na koncie magazynu

  • Kontener obiektów blob jest tworzony dla każdego typu zdarzenia:

    Przykład kontenera obiektów blob

  • Schemat każdego wiersza w obiektach blob to następujący kod JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Każdy obiekt blob zawiera wiele wierszy.

  • Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender for Endpoint, dzierżawę, do której należy (będziesz pobierać tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties".

  • Aby uzyskać więcej informacji na temat schematu zdarzeń Microsoft Defender XDR, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

Mapowanie typów danych

Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące kroki:

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. Przejdź do obszaru Wyszukiwanie zagrożeń zaawansowanych>. Aby przejść bezpośrednio do strony Zaawansowane wyszukiwanie zagrożeń , użyj polecenia https://security.microsoft.com/advanced-hunting.

  3. Na karcie Zapytanie uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    

    Oto przykład zdarzenia Informacje o urządzeniu:

    Przykładowe zapytanie dotyczące informacji o urządzeniu

Monitorowanie utworzonych zasobów

Zasoby utworzone przez interfejs API przesyłania strumieniowego można monitorować przy użyciu usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie miejsc docelowych — Azure Monitor.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.