配置Microsoft Defender XDR以将高级搜寻事件流式传输到存储帐户
适用于:
注意
使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息,请查看: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
开始之前
添加参与者权限
创建存储帐户后,需要:
将登录Microsoft Defender XDR的用户定义为参与者。
转到“存储帐户>访问控制” (IAM) >“角色分配”下的“添加和验证”。
启用原始数据流式处理
以全局管理员或安全管理员身份登录到 Microsoft Defender XDR。
转到“设置Microsoft Defender XDR>>流式处理 API”。 若要直接转到 流式处理 API 页,请使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export。
选择“添加”。
在出现的 “添加新流式处理 API 设置” 浮出控件中,配置以下设置:
- 名称:为新设置选择名称。
- 选择“ 将事件转发到 Azure 存储”。
若要在Azure 门户中显示存储帐户的 Azure 资源管理器资源 ID,请执行以下步骤:
导航到Azure 门户中的存储帐户。
在“概述”页上的“Essentials”部分中,选择“JSON 视图”链接。
存储帐户的资源 ID 显示在页面顶部,复制“ 存储帐户资源 ID”下的文本。
返回“ 添加新流式处理 API 设置” 浮出控件,选择要流式传输 的事件类型 。
完成后,选择“提交”。
存储帐户中事件的架构
将为每个事件类型创建一个 Blob 容器:
Blob 中每一行的架构为以下 JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
每个 Blob 包含多个行。
每行都包含事件名称、Defender for Endpoint 接收事件的时间、它所属的租户 (仅从租户) 获取事件,以及 JSON 格式的事件(名为“properties”的属性)。
有关Microsoft Defender XDR事件的架构的详细信息,请参阅高级搜寻概述。
数据类型映射
若要获取事件属性的数据类型,请执行以下操作:
登录到Microsoft Defender XDR并转到“搜寻>高级搜寻”。 若要直接转到 “高级搜寻 ”页,请使用 <security.microsoft.com/advanced-hunting>。
在“ 查询 ”选项卡上,运行以下查询以获取每个事件的数据类型映射:
{EventType} | getschema | project ColumnName, ColumnType
监视创建的资源
可以使用 Azure Monitor 监视流式处理 API 创建的资源。 有关详细信息,请参阅监视目标 - Azure Monitor |Microsoft Docs。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈