設定 Microsoft Defender XDR 將進階搜捕事件串流至您的記憶體帳戶
適用於:
注意事項
使用 MS Graph 安全性 API 試用新的 API。 如需詳細資訊,請參閱:使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
開始之前
新增參與者許可權
建立記憶體帳戶之後,您必須:
將登入 Microsoft Defender XDR 的使用者定義為參與者。
移至 IAM (記憶體帳戶>存取控制) > [角色指派] 底下的 [新增並驗證]。
啟用原始數據串流
- 以安全性系統管理員身分登入 Microsoft Defender XDR。
重要事項
Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
移至 [設定>Microsoft Defender XDR>串流 API。 若要直接移至串 流 API 頁面, 請使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export。
選取 新增。
在出現的 [ 新增串流 API 設定 ] 飛出視窗中,設定下列設定:
- 名稱:選擇新設定的名稱。
- 選 取 [將事件轉送至 Azure 記憶體]。
若要在 Azure 入口網站中顯示記憶體帳戶的 Azure Resource Manager 資源識別符,請遵循下列步驟:
在 Azure 入口網站中瀏覽至您的記憶體帳戶。
在 [ 概觀] 頁面的 [ 基本 資訊] 區段中,選取 [JSON 檢視] 連結。
儲存體帳戶的資源識別符會顯示在頁面頂端,並複製 [儲存體帳戶資源標識符] 底下的文字。
回到 [ 新增串流 API 設定 ] 飛出視窗,選擇您想要串流 的事件類型 。
當您完成時,選取 [提交]。
記憶體帳戶中事件的架構
系統會為每個事件類型建立一個 Blob 容器:
Blob 中每個數據列的架構是下列 JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
每個 Blob 都包含多個數據列。
每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只會從您的租使用者) 取得事件,以及 JSON 格式的事件,其屬性稱為 “properties”。
如需Microsoft Defender XDR 事件架構的詳細資訊,請參閱 進階搜捕概觀。
數據類型對應
若要取得事件屬性的數據類型,請執行下列動作:
登入 Microsoft Defender XDR 並移至 搜捕>進階搜捕。 若要直接移至 [ 進階搜捕 ] 頁面,請使用 <security.microsoft.com/advanced-hunting>。
在 [ 查詢] 索引 標籤上,執行下列查詢以取得每個事件的數據類型對應:
{EventType} | getschema | project ColumnName, ColumnType
監視建立的資源
您可以使用 Azure 監視器來監視串流 API 所建立的資源。 如需詳細資訊,請 參閱監視目的地 - Azure 監視器 |Microsoft檔。
相關主題
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。