共用方式為

設定 Microsoft Defender XDR 將進階搜捕事件串流至您的記憶體帳戶

  • 發行項

適用於:

注意事項

使用 MS Graph 安全性 API 試用新的 API。 如需詳細資訊,請參閱:使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

開始之前

  1. 在您的租使用者中建立 記憶體帳戶

  2. 登入您的 Azure 租使用者,移至>訂用帳戶您的訂用帳戶>資源提供者>註冊至 Microsoft.Insights

新增參與者許可權

建立記憶體帳戶之後,您必須:

  1. 將登入 Microsoft Defender XDR 的使用者定義為參與者。

    移至 IAM (記憶體帳戶>存取控制) > [角色指派] 底下的 [新增並驗證]。

啟用原始數據串流

  1. 以全域管理員或安全性系統管理員分登入 Microsoft Defender XDR

  2. 移至 [設定>Microsoft Defender XDR>串流 API。 若要直接移至串 流 API 頁面, 請使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export

  3. 選取 新增

  4. 在出現的 [ 新增串流 API 設定 ] 飛出視窗中,設定下列設定:

    1. 名稱:選擇新設定的名稱。
    2. 取 [將事件轉送至 Azure 記憶體]

  5. 若要在 Azure 入口網站中顯示記憶體帳戶的 Azure Resource Manager 資源識別符,請遵循下列步驟:

    1. 在 Azure 入口網站中瀏覽至您的記憶體帳戶。

    2. 在 [ 概觀] 頁面的 [ 基本 資訊] 區段中,選取 [JSON 檢視] 連結。

    3. 儲存體帳戶的資源識別符會顯示在頁面頂端,並複製 [儲存體帳戶資源標識符] 底下的文字。

    4. 回到 [ 新增串流 API 設定 ] 飛出視窗,選擇您想要串流 的事件類型

    當您完成時,選取 [提交]

記憶體帳戶中事件的架構

  • 系統會為每個事件類型建立一個 Blob 容器:

    Blob 容器的範例

  • Blob 中每個數據列的架構是下列 JSON:

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • 每個 Blob 都包含多個數據列。

  • 每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只會從您的租使用者) 取得事件,以及 JSON 格式的事件,其屬性稱為 “properties”。

  • 如需Microsoft Defender XDR 事件架構的詳細資訊,請參閱 進階搜捕概觀

數據類型對應

若要取得事件屬性的數據類型,請執行下列動作:

  1. 登入 Microsoft Defender XDR 並移至 搜捕>進階搜捕。 若要直接移至 [ 進階搜捕 ] 頁面,請使用 <security.microsoft.com/advanced-hunting>。

  2. 在 [ 查詢] 索引 標籤上,執行下列查詢以取得每個事件的數據類型對應:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • 以下是裝置資訊事件的範例:

    範例裝置信息查詢

監視建立的資源

您可以使用 Azure 監視器來監視串流 API 所建立的資源。 如需詳細資訊,請 參閱監視目的地 - Azure 監視器 |Microsoft檔

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。