Konfigurer Microsoft Defender XDR til at streame hændelser for avanceret jagt til din lagerkonto

Gælder for:

• Microsoft Defender XDR

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Før du begynder

1. Create en lagerkonto i din lejer.

2. Log på din Azure-lejer, gå til Abonnementer > Dine abonnementsressourceudbydere >> Tilmeld dig Microsoft.Insights.

Tilføj bidragydertilladelser

Når lagerkontoen er oprettet, skal du:

1. Definer den bruger, der logger på Microsoft Defender XDR som bidragyder.

   Gå til IAM (Storage Account > Access Control) > Tilføj og bekræft under Rolletildelinger.

Aktivér rå datastreaming

1. Log på Microsoft Defender XDR som global administrator eller sikkerhedsadministrator.

2. Gå til Indstillinger>Microsoft Defender XDR>Streaming API. Hvis du vil gå direkte til siden Streaming-API , skal du bruge https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Vælg Tilføj.

4. I pop op-vinduet Tilføj nye streaming-API-indstillinger , der vises, skal du konfigurere følgende indstillinger:

   1. Navn: Vælg et navn til de nye indstillinger.
   2. Vælg Videresend hændelser til Azure Storage.

5. Hvis du vil have vist Azure Resource Manager-ressource-id'et for en lagerkonto i Azure Portal, skal du følge disse trin:

   1. Gå til din lagerkonto i Azure Portal.

   2. Vælg linket JSON-visning i afsnittet Essentials på siden Oversigt.

   3. Ressource-id'et for lagerkontoen vises øverst på siden. Kopiér teksten under Ressource-id for lagerkonto.

   4. Tilbage på pop op-vinduet Tilføj nye streaming-API-indstillinger skal du vælge de hændelsestyper , du vil streame.

   Når du er færdig, skal du vælge Send.

Skemaet for hændelserne på lagerkontoen

• Der oprettes en blobobjektbeholder for hver hændelsestype:

  

• Skemaet for hver række i en blob er følgende JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Hver blob indeholder flere rækker.

• Hver række indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

• Du kan finde flere oplysninger om skemaet for Microsoft Defender XDR begivenheder under Oversigt over avanceret jagt.

Tilknytning af datatyper

Hvis du vil hente datatyperne for vores hændelsesegenskaber, skal du gøre følgende:

1. Log på Microsoft Defender XDR og gå til Jagt>Avanceret jagt. Hvis du vil gå direkte til siden Avanceret jagt , skal du bruge <security.microsoft.com/advanced-hunting>.

2. Kør følgende forespørgsel under fanen Forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Her er et eksempel på hændelsen Enhedsoplysninger:

  

Overvågning af oprettede ressourcer

Du kan overvåge de ressourcer, der oprettes af streaming-API'en, ved hjælp af Azure Monitor. Du kan få flere oplysninger under Overvåg destinationer – Azure Monitor | Microsoft Docs.

Relaterede emner

• Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

• Oversigt over avanceret jagt

• api til Microsoft Defender XDR streaming

• Stream Microsoft Defender XDR hændelser til din Azure Storage-konto

• Dokumentation til Azure Storage-konto

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.