Stream Microsoft Defender XDR zdarzenia do konta magazynu

Dotyczy:

• Microsoft Defender XDR

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Przed rozpoczęciem

• Utwórz konto magazynu w dzierżawie.
• Zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.Insights.

Dodawanie uprawnień współautora

Po utworzeniu konta magazynu należy zdefiniować użytkownika, który loguje się jako współautor.

1. Przejdź do obszaru Kontrola dostępu do konta> magazynu(IAM), a następnie wybierz pozycję Dodaj.

2. Sprawdź, czy użytkownik znajduje się na liście w obszarze Przypisania ról.

Włączanie przesyłania strumieniowego danych pierwotnych

Uwaga

W przypadku korzystania z interfejsu API przesyłania strumieniowego do konta usługi Azure Storage upewnij się, że opcja Allow trusted Microsoft services to access this storage account jest włączona w ustawieniach konta magazynu, aby umożliwić przesyłanie strumieniowe danych z Ochrona punktu końcowego w usłudze Microsoft Defender.

1. Przejdź do portalu Microsoft Defender i zaloguj się przy użyciu konta z co najmniej uprawnieniami administratora zabezpieczeń.

   Ważna

   Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

2. Przejdź do pozycji Ustawienia>Microsoft Defender XDR>Ustawienia interfejsu API transmisji strumieniowej. Aby przejść bezpośrednio do strony interfejsu API przesyłania strumieniowego , użyj polecenia https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Wybierz opcję Dodaj.

4. W wyświetlonym menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego skonfiguruj następujące ustawienia:

   • Nazwa: wybierz nazwę nowych ustawień.
   • Wybierz pozycję Prześlij zdarzenia do usługi Azure Storage.

5. Aby wyświetlić identyfikator zasobu usługi Azure Resource Manager dla konta magazynu w Azure Portal, wykonaj następujące kroki:

   1. Przejdź do konta magazynu w Azure Portal.

   2. Na stronie Przegląd w sekcji Essentials wybierz link Widok JSON.

   3. Identyfikator zasobu konta magazynu jest wyświetlany w górnej części strony. Skopiuj tekst w obszarze Identyfikator zasobu konta magazynu.

   4. W menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego wybierz typy zdarzeń , które chcesz przesyłać strumieniowo.

   5. Po zakończeniu wybierz pozycję Prześlij.

Schemat zdarzeń na koncie magazynu

• Kontener obiektów blob jest tworzony dla każdego typu zdarzenia:

  

• Schemat każdego wiersza w obiektach blob to następujący kod JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Każdy obiekt blob zawiera wiele wierszy.

• Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender for Endpoint, dzierżawę, do której należy (będziesz pobierać tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties".

• Aby uzyskać więcej informacji na temat schematu zdarzeń Microsoft Defender XDR, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

Mapowanie typów danych

Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące kroki:

1. Przejdź do portalu Microsoft Defender i zaloguj się.

2. Przejdź do obszaru Wyszukiwanie zagrożeń zaawansowanych>. Aby przejść bezpośrednio do strony Zaawansowane wyszukiwanie zagrożeń , użyj polecenia https://security.microsoft.com/advanced-hunting.

3. Na karcie Zapytanie uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Oto przykład zdarzenia Informacje o urządzeniu:

   

Monitorowanie utworzonych zasobów

Zasoby utworzone przez interfejs API przesyłania strumieniowego można monitorować przy użyciu usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie miejsc docelowych — Azure Monitor.

Artykuły pokrewne

• Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn
• Omówienie zaawansowanego wyszukiwania zagrożeń
• interfejs API przesyłania strumieniowego Microsoft Defender XDR
• Stream Microsoft Defender XDR zdarzenia do konta usługi Azure Storage
• Dokumentacja konta usługi Azure Storage

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.