események Stream Microsoft Defender XDR a tárfiókba
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Az első lépések
- Hozzon létre egy Tárfiókot a bérlőben.
- Jelentkezzen be az Azure-bérlőbe, és lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatói>>regisztráljon a Microsoft.Insights szolgáltatásba.
Közreműködői engedélyek hozzáadása
A tárfiók létrehozása után meg kell határoznia azt a felhasználót, aki közreműködőként jelentkezik be.
Lépjen a Tárfiók>hozzáférés-vezérlése (IAM) területre, majd válassza a Hozzáadás lehetőséget.
Ellenőrizze, hogy a felhasználó szerepel-e a Szerepkör-hozzárendelések listában.
Nyers adatstreamelés engedélyezése
Megjegyzés:
Ha streamelési API-t használ egy Azure Storage-fiókhoz, győződjön meg arról, hogy a beállítás Allow trusted Microsoft services to access this storage account
engedélyezve van a tárfiók beállításaiban, hogy az adatok streamelhetők legyenek Végponthoz készült Microsoft Defender.
Nyissa meg a Microsoft Defender portált, és jelentkezzen be legalább biztonsági rendszergazdai engedélyekkel rendelkező fiókkal.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Lépjen a Beállítások>Microsoft Defender XDR>Streaming API területre. Ha közvetlenül a Streaming API oldalára szeretne lépni, használja a következőt https://security.microsoft.com/settings/mtp_settings/raw_data_export: .
Válassza a Hozzáadás lehetőséget.
A megjelenő Új streamelési API-beállítások hozzáadása úszó panelen konfigurálja a következő beállításokat:
- Név: Válasszon nevet az új beállításoknak.
- Válassza az Események továbbítása az Azure Storage-ba lehetőséget.
Ha meg szeretné jeleníteni egy tárfiók Azure Resource Manager erőforrás-azonosítóját a Azure Portal, kövesse az alábbi lépéseket:
Lépjen a tárfiókra a Azure Portal.
Az Áttekintés lap Essentials szakaszában válassza a JSON-nézet hivatkozást.
A tárfiók erőforrás-azonosítója az oldal tetején jelenik meg. Másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget.
Az Add new Streaming API settings (Új streamelési API-beállítások hozzáadása ) úszó panelen válassza ki a streamelni kívánt eseménytípusokat .
Ha végzett, válassza a Küldés lehetőséget.
A Storage-fiókban lévő események sémája
Minden eseménytípushoz létrejön egy blobtároló:
A blobok egyes sorainak sémája a következő JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
Minden blob több sort tartalmaz.
Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez kövesse az alábbi lépéseket:
Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
Nyissa meg aHunting Advanced hunting (Speciális veszélyforrás-keresés)> lehetőséget. Ha közvetlenül a Speciális veszélyforrás-keresés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanced-hunting: .
A Lekérdezés lapon futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Íme egy példa az Eszközadatok eseményre:
Létrehozott erőforrások monitorozása
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Célhelyek monitorozása – Azure Monitor.
Kapcsolódó cikkek
- A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
- A speciális veszélyforrás-keresés áttekintése
- Microsoft Defender XDR Streaming API
- események Stream Microsoft Defender XDR az Azure Storage-fiókba
- Az Azure Storage-fiók dokumentációja
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.