Depolama hesabınıza olayları Stream Microsoft Defender XDR

Şunlar için geçerlidir:

• Microsoft Defender XDR

Başlamadan önce

• Kiracınızda bir Depolama hesabı oluşturun.
• Azure kiracınızda oturum açın ve Abonelikler>Aboneliğiniz>Kaynak Sağlayıcıları>Microsoft.Insights'a Kaydolun'a gidin.

Katkıda bulunan izinleri ekleme

Depolama hesabı oluşturulduktan sonra katkıda bulunan olarak oturum açan kullanıcıyı tanımlamanız gerekir.

1. Depolama Hesabı>Erişim denetimi (IAM) bölümüne gidin ve Ekle'yi seçin.

2. Kullanıcının Rol atamaları altında listelendiğini doğrulayın.

Ham veri akışını etkinleştirme

1. Microsoft Defender portalına gidin ve en azından Güvenlik Yöneticisi izinlerine sahip bir hesap kullanarak oturum açın.

   Önemli

   Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

2. Ayarlar>Microsoft Defender XDR>Streaming API'sine gidin. Doğrudan Akış API'si sayfasına gitmek için kullanın https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Ekle'yi seçin.

4. Görüntülenen Yeni Akış API'si ayarları ekle açılır penceresinde aşağıdaki ayarları yapılandırın:

   • Ad: Yeni ayarlarınız için bir ad seçin.
   • Olayları Azure Depolama'ya ilet'i seçin.

5. Azure portal depolama hesabının Azure Resource Manager kaynak kimliğini görüntülemek için şu adımları izleyin:

   1. Azure portal depolama hesabınıza gidin.

   2. Genel Bakış sayfasının Essentials bölümünde JSON Görünümü bağlantısını seçin.

   3. Depolama hesabının kaynak kimliği sayfanın en üstünde görüntülenir. Depolama Hesabı Kaynak Kimliği altındaki metni kopyalayın.

   4. Yeni Akış API'si ayarları ekle açılır penceresinde, akışla aktarmak istediğiniz Olay türlerini seçin.

   5. İşiniz bittiğinde Gönder'i seçin.

Depolama hesabındaki olayların şeması

• Her olay türü için bir blob kapsayıcısı oluşturulur:

  

• Blobdaki her satırın şeması aşağıdaki JSON'dır:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Her blob birden çok satır içerir.

• Her satır olay adını, Uç Nokta için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.

• Microsoft Defender XDR olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.

Veri türleri eşlemesi

Olay özelliklerinin veri türlerini almak için şu adımları izleyin:

1. Microsoft Defender portalına gidin ve oturum açın.

2. Avlanma>Gelişmiş avcılığı bölümüne gidin. Doğrudan Gelişmiş avcılık sayfasına gitmek için kullanınhttps://security.microsoft.com/advanced-hunting.

3. Sorgu sekmesinde, her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:

   

Oluşturulan kaynakları izleme

Azure İzleyici'yi kullanarak akış API'sinin oluşturduğu kaynakları izleyebilirsiniz. Daha fazla bilgi için bkz. Hedefleri izleme - Azure İzleyici.

İlgili makaleler

• Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn
• Gelişmiş Avcılık'a Genel Bakış
• Microsoft Defender XDR Akış API'sini
• Olayları Azure depolama hesabınıza Stream Microsoft Defender XDR
• Azure Depolama Hesabı belgeleri