Microsoft Defender XDR'yi Gelişmiş Tehdit Avcılığı olaylarını Depolama hesabınıza akışla aktaracak şekilde yapılandırma

Şunlar için geçerlidir:

• Microsoft Defender XDR

Not

MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Başlamadan önce

1. Kiracınızda bir Depolama hesabı oluşturun.

2. Azure kiracınızda oturum açın, Abonelikler > Aboneliğiniz > Kaynak Sağlayıcıları > Microsoft.Insights'a kaydolun bölümüne gidin.

Katkıda bulunan izinleri ekleme

Depolama hesabı oluşturulduktan sonra şunları yapmanız gerekir:

1. Microsoft Defender XDR'de oturum açan kullanıcıyı Katkıda Bulunan olarak tanımlayın.

   Depolama Hesabı > Erişim denetimi (IAM) >Rol atamaları'nın altında Ekleme ve doğrulama'ya gidin.

Ham veri akışını etkinleştirme

1. Microsoft Defender XDR'de en azından Güvenlik Yöneticisi olarak oturum açın.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

2. Ayarlar>Microsoft Defender XDR>Akış API'sine gidin. Doğrudan Akış API'si sayfasına gitmek için kullanın https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Ekle'yi seçin.

4. Görüntülenen Yeni Akış API'si ayarları ekle açılır penceresinde aşağıdaki ayarları yapılandırın:

   1. Ad: Yeni ayarlarınız için bir ad seçin.
   2. Olayları Azure Depolama'ya ilet'i seçin.

5. Azure portalında bir depolama hesabının Azure Resource Manager kaynak kimliğini görüntülemek için şu adımları izleyin:

   1. Azure portalında depolama hesabınıza gidin.

   2. Genel Bakış sayfasındaki Temel Bileşenler bölümünde JSON Görünümü bağlantısını seçin.

   3. Depolama hesabının kaynak kimliği sayfanın en üstünde görüntülenir ve metni Depolama Hesabı Kaynak Kimliği'nin altına kopyalayın.

   4. Yeni Akış API'si ayarları ekle açılır menüsüne geri dönüp akış yapmak istediğiniz Olay türlerini seçin.

   İşiniz bittiğinde Gönder'i seçin.

Depolama hesabındaki olayların şeması

• Her olay türü için bir blob kapsayıcısı oluşturulur:

  

• Blobdaki her satırın şeması aşağıdaki JSON'dır:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Her blob birden çok satır içerir.

• Her satır olay adını, Uç Nokta için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.

• Microsoft Defender XDR olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.

Veri türleri eşlemesi

Olay özelliklerimizin veri türlerini almak için aşağıdakileri yapın:

1. Microsoft Defender XDR'de oturum açın ve Gelişmiş Avcılık'a> gidin. Doğrudan Gelişmiş avcılık sayfasına gitmek için security.microsoft.com/advanced-hunting> kullanın<.

2. Sorgu sekmesinde, her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:

  

Oluşturulan kaynakları izleme

Azure İzleyici'yi kullanarak akış API'sinin oluşturduğu kaynakları izleyebilirsiniz. Daha fazla bilgi için bkz . Hedefleri izleme - Azure İzleyici | Microsoft Docs.

İlgili konular

• Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn

• Gelişmiş Avcılık'a Genel Bakış

• Microsoft Defender XDR Akış API'si

• Microsoft Defender XDR olaylarını Azure depolama hesabınıza akışla aktarma

• Azure Depolama Hesabı belgeleri

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.