Megosztás a következőn keresztül:


események Stream Microsoft Defender XDR a tárfiókba

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Az első lépések

  • Hozzon létre egy Tárfiókot a bérlőben.
  • Jelentkezzen be az Azure-bérlőbe, és lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatói>>regisztráljon a Microsoft.Insights szolgáltatásba.

Közreműködői engedélyek hozzáadása

A tárfiók létrehozása után meg kell határoznia azt a felhasználót, aki közreműködőként jelentkezik be.

  1. Lépjen a Tárfiók>hozzáférés-vezérlése (IAM) területre, majd válassza a Hozzáadás lehetőséget.

  2. Ellenőrizze, hogy a felhasználó szerepel-e a Szerepkör-hozzárendelések listában.

Nyers adatstreamelés engedélyezése

Megjegyzés:

Ha streamelési API-t használ egy Azure Storage-fiókhoz, győződjön meg arról, hogy a beállítás Allow trusted Microsoft services to access this storage account engedélyezve van a tárfiók beállításaiban, hogy az adatok streamelhetők legyenek Végponthoz készült Microsoft Defender.

  1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be legalább biztonsági rendszergazdai engedélyekkel rendelkező fiókkal.

    Fontos

    A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

  2. Lépjen a Beállítások>Microsoft Defender XDR>Streaming API területre. Ha közvetlenül a Streaming API oldalára szeretne lépni, használja a következőt https://security.microsoft.com/settings/mtp_settings/raw_data_export: .

  3. Válassza a Hozzáadás lehetőséget.

  4. A megjelenő Új streamelési API-beállítások hozzáadása úszó panelen konfigurálja a következő beállításokat:

    • Név: Válasszon nevet az új beállításoknak.
    • Válassza az Események továbbítása az Azure Storage-ba lehetőséget.
  5. Ha meg szeretné jeleníteni egy tárfiók Azure Resource Manager erőforrás-azonosítóját a Azure Portal, kövesse az alábbi lépéseket:

    1. Lépjen a tárfiókra a Azure Portal.

    2. Az Áttekintés lap Essentials szakaszában válassza a JSON-nézet hivatkozást.

    3. A tárfiók erőforrás-azonosítója az oldal tetején jelenik meg. Másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget.

    4. Az Add new Streaming API settings (Új streamelési API-beállítások hozzáadása ) úszó panelen válassza ki a streamelni kívánt eseménytípusokat .

    5. Ha végzett, válassza a Küldés lehetőséget.

A Storage-fiókban lévő események sémája

  • Minden eseménytípushoz létrejön egy blobtároló:

    Példa blobtárolóra

  • A blobok egyes sorainak sémája a következő JSON:

    {
            "time": "<The time Microsoft Defender XDR received the event>"
            "tenantId": "<Your tenant ID>"
            "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
            "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
    }
    
  • Minden blob több sort tartalmaz.

  • Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.

  • A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

  2. Nyissa meg aHunting Advanced hunting (Speciális veszélyforrás-keresés)> lehetőséget. Ha közvetlenül a Speciális veszélyforrás-keresés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanced-hunting: .

  3. A Lekérdezés lapon futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    

    Íme egy példa az Eszközadatok eseményre:

    Példa eszközinformációs lekérdezésre

Létrehozott erőforrások monitorozása

A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Célhelyek monitorozása – Azure Monitor.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.