高度なハンティング イベントをAzure Event HubsにストリーミングするようにMicrosoft Defender for Endpointを構成する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

注:

利用可能な完全なデータ ストリーミング エクスペリエンスについては、Stream Microsoft Defender XDR イベント |Microsoft Learn。

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

はじめに

1. テナント内のイベント ハブをCreateします。

2. Azure テナントにログインし、[サブスクリプション] > [サブスクリプション > リソース プロバイダーが Microsoft.insights > に登録する] に移動します。

生データ ストリーミングを有効にする

1. グローバル管理者またはセキュリティ管理者としてMicrosoft Defender XDRにログインします。

2. Microsoft Defender ポータルの [データ エクスポート設定] ページに移動します。

3. [ データ エクスポート設定の追加] をクリックします。

4. 新しい設定の名前を選択します。

5. [イベントをAzure Event Hubsに転送する] を選択します。

6. Event Hubs の名前と Event Hubs リソース ID を入力します。

注:

Event Hubs 名を空のままにすると、選択した名前空間内のカテゴリごとにイベント ハブが作成されます。 専用 Event Hubs クラスターを使用していない場合、Event Hubs 名前空間には 10 個の Event Hubs の制限があります。

Event Hubs リソース ID を取得するには、[Azure> プロパティ] タブの [Azure Event Hubs名前空間] ページに移動し、[リソース ID] のテキストをコピーします>。

7. ストリーミングするイベントを選択し、[ 保存] をクリックします。

Azure Event Hubsのイベントのスキーマ

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Azure Event Hubs内の各イベント ハブ メッセージには、レコードの一覧が含まれています。

• 各レコードには、イベント名、イベントMicrosoft Defender for Endpoint受信した時刻、属するテナント (テナントからのみイベントを取得します)、および "properties" というプロパティの JSON 形式のイベントが含まれます。

• Microsoft Defender for Endpoint イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。

• Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。 詳細については、「デバイス グループ」を参照してください。

  注:

  デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の操作を行います。

1. Microsoft Defender XDRにログインし、[高度なハンティング] ページに移動します。

2. 次のクエリを実行して、各イベントのデータ型マッピングを取得します。

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• デバイス情報イベントの例を次に示します。

  

関連項目

• イベントのStream Microsoft Defender XDR |Microsoft Learn

• 高度なハンティングの概要

• Microsoft Defender for Endpoint ストリーミング API

• Azure ストレージ アカウントにイベントをStream Microsoft Defender for Endpointする

• Azure Event Hubsドキュメント

• 接続の問題のトラブルシューティング - Azure Event Hubs

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。