Konfigurera Microsoft Defender XDR för att strömma Advanced Hunting-händelser till ditt lagringskonto
Gäller för:
Obs!
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Innan du börjar
Skapa ett lagringskonto i din klientorganisation.
Logga in på din Azure-klientorganisation och gå till Prenumerationer > Din prenumerationsresursproviders >> registrerar sig på Microsoft.Insights.
Lägga till deltagarbehörigheter
När lagringskontot har skapats måste du:
Definiera den användare som loggar in på Microsoft Defender XDR som deltagare.
Gå till Åtkomstkontroll för lagringskonto > (IAM) > Lägg till och verifiera under Rolltilldelningar.
Aktivera direktuppspelning av rådata
- Logga in på Microsoft Defender XDR som säkerhetsadministratör minst.
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Gå till Inställningar>Microsoft Defender XDR>Streaming API. Om du vill gå direkt till sidan API för direktuppspelning använder du https://security.microsoft.com/settings/mtp_settings/raw_data_export.
Välj Lägg till.
I den utfällbara menyn Lägg till nya api-inställningar för direktuppspelning som visas konfigurerar du följande inställningar:
- Namn: Välj ett namn för de nya inställningarna.
- Välj Vidarebefordra händelser till Azure Storage.
Följ dessa steg om du vill visa Azure Resource Manager-resurs-ID:t för ett lagringskonto i Azure-portalen:
Gå till ditt lagringskonto i Azure-portalen.
På sidan Översikt går du till avsnittet Essentials och väljer länken JSON-vy .
Resurs-ID:t för lagringskontot visas överst på sidan och kopierar texten under Resurs-ID för lagringskonto.
Gå tillbaka till den utfällbara menyn Lägg till nya api-inställningar för direktuppspelning och välj de händelsetyper som du vill strömma.
När du är klar väljer du Skicka.
Schemat för händelserna i lagringskontot
En blobcontainer skapas för varje händelsetyp:
Schemat för varje rad i en blob är följande JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }Varje blob innehåller flera rader.
Varje rad innehåller händelsenamnet, den tid då Defender för Endpoint tog emot händelsen, den klientorganisation som den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap med namnet "properties".
Mer information om schemat för Microsoft Defender XDR-händelser finns i Översikt över avancerad jakt.
Mappning av datatyper
För att hämta datatyperna för våra händelseegenskaper gör du följande:
Logga in på Microsoft Defender XDR och gå till Jakt>Avancerad jakt. Om du vill gå direkt till sidan Avancerad jakt använder du <security.microsoft.com/advanced-hunting>.
På fliken Fråga kör du följande fråga för att hämta datatypernas mappning för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Här är ett exempel på händelsen Enhetsinformation:
Övervaka skapade resurser
Du kan övervaka de resurser som skapas av API:et för direktuppspelning med hjälp av Azure Monitor. Mer information finns i Övervaka mål – Azure Monitor | Microsoft Docs.
Relaterade ämnen
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Strömma Microsoft Defender XDR-händelser till ditt Azure Storage-konto
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.