Stream Microsoft Defender XDR zdarzenia do konta magazynu
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Ważne
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
- Utwórz konto magazynu w dzierżawie.
- Zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.Insights.
Po utworzeniu konta magazynu należy zdefiniować użytkownika, który loguje się jako współautor.
Przejdź do obszaru Kontrola dostępu do konta> magazynu(IAM), a następnie wybierz pozycję Dodaj.
Sprawdź, czy użytkownik znajduje się na liście w obszarze Przypisania ról.
Uwaga
W przypadku korzystania z interfejsu API przesyłania strumieniowego do konta usługi Azure Storage upewnij się, że opcja Allow trusted Microsoft services to access this storage account
jest włączona w ustawieniach konta magazynu, aby umożliwić przesyłanie strumieniowe danych z Ochrona punktu końcowego w usłudze Microsoft Defender.
Przejdź do portalu Microsoft Defender i zaloguj się przy użyciu konta z co najmniej uprawnieniami administratora zabezpieczeń.
Ważne
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Przejdź do pozycji Ustawienia>Microsoft Defender XDR>Ustawienia interfejsu API transmisji strumieniowej. Aby przejść bezpośrednio do strony interfejsu API przesyłania strumieniowego , użyj polecenia https://security.microsoft.com/settings/mtp_settings/raw_data_export.
Wybierz opcję Dodaj.
W wyświetlonym menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego skonfiguruj następujące ustawienia:
- Nazwa: wybierz nazwę nowych ustawień.
- Wybierz pozycję Prześlij zdarzenia do usługi Azure Storage.
Aby wyświetlić identyfikator zasobu usługi Azure Resource Manager dla konta magazynu w Azure Portal, wykonaj następujące kroki:
Przejdź do konta magazynu w Azure Portal.
Na stronie Przegląd w sekcji Essentials wybierz link Widok JSON.
Identyfikator zasobu konta magazynu jest wyświetlany w górnej części strony. Skopiuj tekst w obszarze Identyfikator zasobu konta magazynu.
W menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego wybierz typy zdarzeń , które chcesz przesyłać strumieniowo.
Po zakończeniu wybierz pozycję Prześlij.
Kontener obiektów blob jest tworzony dla każdego typu zdarzenia:
Schemat każdego wiersza w obiektach blob to następujący kod JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
Każdy obiekt blob zawiera wiele wierszy.
Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender for Endpoint, dzierżawę, do której należy (będziesz pobierać tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties".
Aby uzyskać więcej informacji na temat schematu zdarzeń Microsoft Defender XDR, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.
Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące kroki:
Przejdź do portalu Microsoft Defender i zaloguj się.
Przejdź do obszaru Wyszukiwanie zagrożeń zaawansowanych>. Aby przejść bezpośrednio do strony Zaawansowane wyszukiwanie zagrożeń , użyj polecenia https://security.microsoft.com/advanced-hunting.
Na karcie Zapytanie uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:
{EventType} | getschema | project ColumnName, ColumnType
Oto przykład zdarzenia Informacje o urządzeniu:
Zasoby utworzone przez interfejs API przesyłania strumieniowego można monitorować przy użyciu usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie miejsc docelowych — Azure Monitor.
- Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn
- Omówienie zaawansowanego wyszukiwania zagrożeń
- interfejs API przesyłania strumieniowego Microsoft Defender XDR
- Stream Microsoft Defender XDR zdarzenia do konta usługi Azure Storage
- Dokumentacja konta usługi Azure Storage
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.