스토리지 계정으로 고급 헌팅 이벤트를 스트리밍하도록 Microsoft 365 Defender 구성
적용 대상:
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
시작하기 전에
테넌트에 Storage 계정을 만듭니다.
Azure 테넌트에 로그인하고 구독 > 구독 > 리소스 공급자로 이동하여 Microsoft.Insights에 등록할 > 있습니다.
기여자 권한 추가
Storage 계정이 만들어지면 다음을 수행해야 합니다.
Microsoft 365 Defender 로그인할 사용자를 참가자로 정의합니다.
역할 할당 에서 추가 및 확인을 > Storage 계정 > 액세스 제어(IAM) 로 이동합니다.
원시 데이터 스트리밍 사용
전역 관리자 _ 또는 _보안 관리자**로 Microsoft 365 Defender 로그인합니다.
설정 > Microsoft 365 Defender > 스트리밍 API로 이동합니다. 스트리밍 API 페이지로 직접 이동하려면 .를 사용합니다https://security.microsoft.com/settings/mtp_settings/raw_data_export.
추가 를 클릭합니다.
표시되는 새 스트리밍 API 설정 플라이아웃 추가에서 다음 설정을 구성합니다.
이름: 새 설정의 이름을 선택합니다.
Azure Storage에 이벤트 전달을 선택합니다.
표시되는 스토리지 계정 리소스 ID 상자에 스토리지 계정 리소스 ID 를 입력합니다. 스토리지 계정 리소스 ID 를 가져오려면 Azure Portal https://portal.azure.com열고 Storage 계정을 클릭하면 Storage 계정 > 리소스 ID 아래의 텍스트 복사 속성 탭 > 으로 이동합니다.
새 스트리밍 API 설정 플라이아웃 추가로 돌아가서 스트리밍할 이벤트 유형을 선택합니다.
작업을 마쳤으면 제출 을 클릭합니다.
Storage 계정의 이벤트 스키마
각 이벤트 유형에 대해 Blob 컨테이너가 만들어집니다.
Blob에 있는 각 행의 스키마는 다음 JSON입니다.
{ "time": "<The time Microsoft 365 Defender received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft 365 Defender Advanced Hunting event as Json> } }각 Blob에는 여러 행이 포함됩니다.
각 행에는 이벤트 이름, 엔드포인트용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서 이벤트만 가져오기) 및 "properties"라는 속성의 JSON 형식으로 이벤트가 포함됩니다.
Microsoft 365 Defender 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.
데이터 형식 매핑
이벤트 속성에 대한 데이터 형식을 얻으려면 다음을 수행합니다.
Microsoft 365 Defender 로그인하고 헌팅 고급 헌팅>으로 이동합니다. 고급 헌팅 페이지로 직접 이동하려면 <security.microsoft.com/advanced-hunting> 사용합니다.
쿼리 탭에서 다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.
{EventType} | getschema | project ColumnName, ColumnType
디바이스 정보 이벤트의 예는 다음과 같습니다.
생성된 리소스 모니터링
Azure Monitor 를 사용하여 스트리밍 API에서 만든 리소스를 모니터링할 수 있습니다. 자세한 내용은 대상 모니터링 - Azure Monitor | 참조하세요. Microsoft Docs.