Configurar o Microsoft Defender XDR para transmitir eventos de Investigação Avançada para a sua conta de Armazenamento

Aplica-se a:

• Microsoft Defender XDR

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Antes de começar

1. Crie uma conta de Armazenamento no seu inquilino.

2. Inicie sessão no inquilino do Azure e aceda a Subscrições > Os Fornecedores > de Recursos da subscrição > Registem-se no Microsoft.Insights.

Adicionar permissões de contribuidor

Assim que a conta de Armazenamento for criada, terá de:

1. Defina o utilizador que está a iniciar sessão no Microsoft Defender XDR como Contribuidor.

   Aceda a Controlo de Acesso à Conta > de Armazenamento (IAM) > Adicionar e verificar em Atribuições de funções.

Ativar a transmissão em fluxo de dados não processados

1. No mínimo, inicie sessão no Microsoft Defender XDR como Administrador de Segurança .

Importante

A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

2. Aceda a Definições> daAPI de Transmissão em Fluxodo Microsoft Defender XDR>. Para aceder diretamente à página da API de Transmissão em Fluxo , utilize https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Selecione Adicionar.

4. Na lista de opções Adicionar novas definições da API de Transmissão em Fluxo que é apresentada, configure as seguintes definições:

   1. Nome: selecione um nome para as suas novas definições.
   2. Selecione Reencaminhar eventos para o Armazenamento do Azure.

5. Para apresentar o ID de recurso do Azure Resource Manager para uma conta de armazenamento no portal do Azure, siga estes passos:

   1. Navegue para a sua conta de armazenamento no portal do Azure.

   2. Na página Descrição geral , na secção Essentials , selecione a ligação Vista JSON .

   3. O ID de recurso da conta de armazenamento é apresentado na parte superior da página e copia o texto em ID de Recurso da Conta de Armazenamento.

   4. Novamente na lista de opções Adicionar novas definições da API de Transmissão em Fluxo, selecione os Tipos de eventos que pretende transmitir em fluxo.

   Quando terminar, selecione Enviar.

O esquema dos eventos na conta de Armazenamento

• É criado um contentor de blobs para cada tipo de evento:

  

• O esquema de cada linha num blob é o seguinte JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Cada blob contém várias linhas.

• Cada linha contém o nome do evento, a hora em que o Defender para Endpoint recebeu o evento, o inquilino ao qual pertence (só obterá eventos do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades".

• Para obter mais informações sobre o esquema dos eventos XDR do Microsoft Defender, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

Mapeamento de tipos de dados

Para obter os tipos de dados para as nossas propriedades de eventos, faça o seguinte:

1. Inicie sessão no Microsoft Defender XDR e aceda a Investigação>Avançada de Investigação. Para aceder diretamente à página Investigação avançada , utilize <security.microsoft.com/advanced-hunting>.

2. No separador Consulta , execute a seguinte consulta para obter o mapeamento dos tipos de dados para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Eis um exemplo do evento Informações do Dispositivo:

  

Monitorizar recursos criados

Pode monitorizar os recursos criados pela API de transmissão em fluxo com o Azure Monitor. Para obter mais informações, veja Monitorizar destinos - Azure Monitor | Microsoft Docs.

Tópicos relacionados

• Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

• Descrição geral da Investigação Avançada

• API de Transmissão em Fluxo do Microsoft Defender XDR

• Transmitir eventos XDR do Microsoft Defender para a sua conta de armazenamento do Azure

• Documentação da Conta de Armazenamento do Azure

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.