Konfigurera Microsoft Defender XDR för att strömma Advanced Hunting-händelser till ditt lagringskonto

Gäller för:

• Microsoft Defender XDR

Obs!

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Innan du börjar

1. Skapa ett lagringskonto i din klientorganisation.

2. Logga in på din Azure-klientorganisation och gå till Prenumerationer > Din prenumerationsresursproviders >> registrerar sig på Microsoft.Insights.

Lägga till deltagarbehörigheter

När lagringskontot har skapats måste du:

1. Definiera den användare som loggar in på Microsoft Defender XDR som deltagare.

   Gå till Åtkomstkontroll för lagringskonto > (IAM) > Lägg till och verifiera under Rolltilldelningar.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender XDR som global administratör eller säkerhetsadministratör.

2. Gå till Inställningar>Microsoft Defender XDR>Streaming API. Om du vill gå direkt till sidan API för direktuppspelning använder du https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Välj Lägg till.

4. I den utfällbara menyn Lägg till nya api-inställningar för direktuppspelning som visas konfigurerar du följande inställningar:

   1. Namn: Välj ett namn för de nya inställningarna.
   2. Välj Vidarebefordra händelser till Azure Storage.

5. Så här visar du resurs-ID:t för Azure Resource Manager för ett lagringskonto i Azure Portal:

   1. Gå till ditt lagringskonto i Azure Portal.

   2. På sidan Översikt går du till avsnittet Essentials och väljer länken JSON-vy.

   3. Resurs-ID:t för lagringskontot visas överst på sidan och kopierar texten under Resurs-ID för lagringskonto.

   4. Gå tillbaka till den utfällbara menyn Lägg till nya api-inställningar för direktuppspelning och välj de händelsetyper som du vill strömma.

   När du är klar väljer du Skicka.

Schemat för händelserna i lagringskontot

• En blobcontainer skapas för varje händelsetyp:

  

• Schemat för varje rad i en blob är följande JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Varje blob innehåller flera rader.

• Varje rad innehåller händelsenamnet, den tid då Defender för Endpoint tog emot händelsen, den klientorganisation som den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap med namnet "properties".

• Mer information om schemat för Microsoft Defender XDR händelser finns i Översikt över avancerad jakt.

Mappning av datatyper

För att hämta datatyperna för våra händelseegenskaper gör du följande:

1. Logga in på Microsoft Defender XDR och gå till Jakt>Avancerad jakt. Om du vill gå direkt till sidan Avancerad jakt använder du <security.microsoft.com/advanced-hunting>.

2. På fliken Fråga kör du följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Här är ett exempel på händelsen Enhetsinformation:

  

Övervaka skapade resurser

Du kan övervaka de resurser som skapas av API:et för direktuppspelning med hjälp av Azure Monitor. Mer information finns i Övervaka mål – Azure Monitor | Microsoft Docs.

Relaterade ämnen

• Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

• Översikt över avancerad jakt

• API för Microsoft Defender XDR-strömning

• Stream Microsoft Defender XDR händelser till ditt Azure Storage-konto

• Dokumentation om Azure Storage-konto

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.