고급 헌팅 이벤트를 스토리지 계정으로 스트리밍하도록 엔드포인트용 Microsoft Defender 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender

참고

사용 가능한 전체 데이터 스트리밍 환경은 Stream Microsoft Defender XDR 이벤트를 방문하세요. | Microsoft Learn.

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

시작하기 전에

1. 테넌트에서 Storage 계정을 Create.

2. Azure 테넌트에서 구독 구독 > 리소스 공급자 Microsoft.insights > 에 등록으로 이동합니다>.

원시 데이터 스트리밍 사용

1. Microsoft Defender 포털에 전역 관리자 또는 보안 관리자로 로그인합니다.

2. Microsoft Defender XDR 데이터 내보내기 설정 페이지로 이동합니다.

3. 데이터 내보내기 설정 추가를 선택합니다.

4. 새 설정의 이름을 선택합니다.

5. Azure Storage에 이벤트 전달을 선택합니다.

6. 스토리지 계정 리소스 ID를 입력합니다. 스토리지 계정 리소스 ID를 가져오려면 Azure Portal 속성 탭>의 > 스토리지 계정 페이지로 이동하여 Storage 계정 리소스 ID 아래에 있는 텍스트를 복사합니다.

   

7. 스트리밍할 이벤트를 선택하고 저장을 선택합니다.

Storage 계정의 이벤트 스키마

• Blob 컨테이너는 각 이벤트 유형에 대해 만들어집니다.

  

• Blob에 있는 각 행의 스키마는 다음 JSON입니다.

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• 각 Blob에는 여러 행이 포함됩니다.

• 각 행에는 이벤트 이름, 엔드포인트용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트 가져오기) 및 "properties"라는 속성의 JSON 형식으로 이벤트가 포함됩니다.

• 엔드포인트용 Microsoft Defender 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.

• 고급 헌팅에서 DeviceInfo 테이블에는 디바이스 그룹이 포함된 MachineGroup 이라는 열이 있습니다. 여기서는 모든 이벤트도 이 열로 데코레이트됩니다. 자세한 내용은 디바이스 그룹 참조하세요.

  참고

  디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

데이터 형식 매핑

이벤트 속성에 대한 데이터 형식을 가져오기 위해 다음을 수행합니다.

1. Microsoft Defender XDR 로그인하고 고급 헌팅 페이지로 이동합니다.

2. 다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• 디바이스 정보 이벤트의 예는 다음과 같습니다.

  

관련 문서

• Stream Microsoft Defender XDR 이벤트 | Microsoft Learn

• 고급 헌팅 개요

• 스트리밍 API 엔드포인트용 Microsoft Defender

• Azure Storage 계정에 이벤트 Stream 엔드포인트용 Microsoft Defender

• Azure Storage 계정 설명서

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.