Udostępnij za pośrednictwem


Konfigurowanie usługi Microsoft Defender XDR do przesyłania strumieniowego zdarzeń zaawansowanego wyszukiwania zagrożeń do konta magazynu

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Przed rozpoczęciem

  1. Utwórz konto magazynu w dzierżawie.

  2. Zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje > Dostawcy > zasobów subskrypcji > Zarejestruj się w witrynie Microsoft.Insights.

Dodawanie uprawnień współautora

Po utworzeniu konta magazynu należy wykonać następujące czynności:

  1. Zdefiniuj użytkownika logującego się do usługi Microsoft Defender XDR jako współautora.

    Przejdź do obszaru Kontrola dostępu konta > magazynu (IAM) > Dodaj i sprawdź w obszarze Przypisania ról.

Włączanie przesyłania strumieniowego danych pierwotnych

  1. Zaloguj się do usługi Microsoft Defender XDR jako administrator zabezpieczeń co najmniej.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  1. Przejdź do pozycji Ustawienia>interfejsu API przesyłania strumieniowegoXDR> usługi Microsoft Defender. Aby przejść bezpośrednio do strony interfejsu API przesyłania strumieniowego , użyj polecenia https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  2. Wybierz opcję Dodaj.

  3. W wyświetlonym menu wysuwowym Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego skonfiguruj następujące ustawienia:

    1. Nazwa: wybierz nazwę nowych ustawień.
    2. Wybierz pozycję Prześlij zdarzenia do usługi Azure Storage.
  4. Aby wyświetlić identyfikator zasobu usługi Azure Resource Manager dla konta magazynu w witrynie Azure Portal, wykonaj następujące kroki:

    1. Przejdź do konta magazynu w witrynie Azure Portal.

    2. Na stronie Przegląd w sekcji Podstawy wybierz link Widok JSON .

    3. Identyfikator zasobu konta magazynu jest wyświetlany w górnej części strony i kopiuje tekst w obszarze Identyfikator zasobu konta magazynu.

    4. Po powrocie do menu wysuwanego Dodawanie nowych ustawień interfejsu API przesyłania strumieniowego wybierz typy zdarzeń , które chcesz przesyłać strumieniowo.

    Po zakończeniu wybierz pozycję Prześlij.

Schemat zdarzeń na koncie magazynu

  • Kontener obiektów blob jest tworzony dla każdego typu zdarzenia:

    Przykład kontenera obiektów blob

  • Schemat każdego wiersza w obiektach blob to następujący kod JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Każdy obiekt blob zawiera wiele wierszy.

  • Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender for Endpoint, dzierżawę, do której należy (będziesz pobierać tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties".

  • Aby uzyskać więcej informacji na temat schematu zdarzeń XDR usługi Microsoft Defender, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

Mapowanie typów danych

Aby uzyskać typy danych dla naszych właściwości zdarzeń, wykonaj następujące czynności:

  1. Zaloguj się do usługi Microsoft Defender XDR i przejdź do pozycji Wyszukiwanie zagrożeń zaawansowanych>. Aby przejść bezpośrednio do strony Zaawansowane wyszukiwanie zagrożeń, użyj security.microsoft.com/advanced-hunting<>.

  2. Na karcie Zapytanie uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Oto przykład zdarzenia Informacje o urządzeniu:

    Przykładowe zapytanie dotyczące informacji o urządzeniu

Monitorowanie utworzonych zasobów

Zasoby utworzone przez interfejs API przesyłania strumieniowego można monitorować przy użyciu usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie miejsc docelowych — Azure Monitor | Microsoft Docs.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.