مشاركة عبر

Stream Microsoft Defender XDR الأحداث إلى حساب التخزين الخاص بك

  • مقالة

ينطبق على:

ملاحظة

جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

قبل البدء

  • إنشاء حساب تخزين في المستأجر الخاص بك.
  • سجل الدخول إلى مستأجر Azure الخاص بك، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.Insights.

إضافة أذونات المساهم

بمجرد إنشاء حساب التخزين، تحتاج إلى تعريف المستخدم الذي يقوم بتسجيل الدخول كمساهم.

  1. انتقل إلى التحكم في الوصول إلى حساب> التخزين(IAM)، ثم حدد إضافة.

  2. تحقق من إدراج المستخدم ضمن Role assignments.

تمكين تدفق البيانات الأولية

ملاحظة

عند استخدام Streaming API إلى حساب Azure Storage، تأكد من تمكين الخيار Allow trusted Microsoft services to access this storage account في إعدادات حساب التخزين للسماح ببث البيانات من Microsoft Defender لنقطة النهاية.

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول باستخدام حساب بأذونات مسؤول الأمان على الأقل.

    هام

    توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

  2. انتقل إلى Settings>Microsoft Defender XDR>Streaming API. للانتقال مباشرة إلى صفحة Streaming API ، استخدم https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  3. حدد إضافة.

  4. في القائمة المنبثقة Add new Streaming API settings التي تظهر، قم بتكوين الإعدادات التالية:

    • الاسم: اختر اسما للإعدادات الجديدة.
    • حدد إعادة توجيه الأحداث إلى Azure Storage.

  5. لعرض معرف مورد Azure Resource Manager لحساب تخزين في مدخل Microsoft Azure، اتبع الخطوات التالية:

    1. انتقل إلى حساب التخزين الخاص بك في مدخل Microsoft Azure.

    2. في صفحة نظرة عامة، في قسم الأساسيات، حدد الارتباط JSON View.

    3. يتم عرض معرف المورد لحساب التخزين في أعلى الصفحة. انسخ النص ضمن معرف مورد حساب التخزين.

    4. في القائمة المنبثقة Add new Streaming API settings ، اختر Event types التي تريد دفقها.

    5. عند الانتهاء، حدد إرسال.

مخطط الأحداث في حساب التخزين

  • يتم إنشاء حاوية كائن ثنائي كبير الحجم لكل نوع حدث:

    مثال على حاوية كائن ثنائي كبير الحجم

  • مخطط كل صف في كائن ثنائي كبير الحجم هو JSON التالي:

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • يحتوي كل كائن ثنائي كبير الحجم على صفوف متعددة.

  • يحتوي كل صف على اسم الحدث، والوقت الذي تلقى فيه Defender لنقطة النهاية الحدث، والمستأجر الذي ينتمي إليه (ستحصل فقط على الأحداث من المستأجر)، والحدث بتنسيق JSON في خاصية تسمى "خصائص".

  • لمزيد من المعلومات حول مخطط أحداث Microsoft Defender XDR، راجع نظرة عامة على التتبع المتقدم.

تعيين أنواع البيانات

للحصول على أنواع البيانات لخصائص الأحداث، اتبع الخطوات التالية:

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. انتقل إلى التتبع>المتقدم. للانتقال مباشرة إلى صفحة التتبع المتقدم ، استخدم https://security.microsoft.com/advanced-hunting.

  3. في علامة التبويب Query ، قم بتشغيل الاستعلام التالي للحصول على تعيين أنواع البيانات لكل حدث:

    {EventType}
| getschema
| project ColumnName, ColumnType

    فيما يلي مثال لحدث معلومات الجهاز:

    مثال على استعلام معلومات الجهاز

مراقبة الموارد التي تم إنشاؤها

يمكنك مراقبة الموارد التي تم إنشاؤها بواسطة واجهة برمجة تطبيقات الدفق باستخدام Azure Monitor. لمزيد من المعلومات، راجع وجهات المراقبة - Azure Monitor.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.