Stream Microsoft Defender XDR Von Ereignissen in Ihrem Speicherkonto

  • Artikel

Gilt für:

Hinweis

Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Bevor Sie beginnen

  • Erstellen Sie ein Speicherkonto in Ihrem Mandanten.
  • Melden Sie sich bei Ihrem Azure-Mandanten an, und wechseln Sie zu Abonnements>Ihr Abonnement>Ressourcenanbieter>Registrieren bei Microsoft.Insights.

Hinzufügen von Mitwirkender Berechtigungen

Nachdem das Speicherkonto erstellt wurde, müssen Sie den Benutzer definieren, der sich als Mitwirkender anmeldet.

  1. Wechseln Sie zu Speicherkontozugriffssteuerung>(IAM), und wählen Sie dann Hinzufügen aus.

  2. Vergewissern Sie sich, dass der Benutzer unter Rollenzuweisungen aufgeführt ist.

Aktivieren des Rohdatenstreamings

Hinweis

Wenn Sie die Streaming-API für ein Azure Storage-Konto verwenden, stellen Sie sicher, dass die Option Allow trusted Microsoft services to access this storage account in den Speicherkontoeinstellungen aktiviert ist, damit Daten aus Microsoft Defender for Endpoint gestreamt werden können.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich mit einem Konto mit mindestens Sicherheitsadministratorberechtigungen an.

    Wichtig

    Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

  2. Wechseln Sie zu Einstellungen>Microsoft Defender XDR>Streaming-API. Um direkt zur Seite Streaming-API zu wechseln, verwenden Sie https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  3. Klicken Sie auf Hinzufügen.

  4. Konfigurieren Sie im angezeigten Flyout Neue Einstellungen der Streaming-API hinzufügen die folgenden Einstellungen:

    • Name: Wählen Sie einen Namen für Ihre neuen Einstellungen aus.
    • Wählen Sie Ereignisse an Azure Storage weiterleiten aus.

  5. Führen Sie die folgenden Schritte aus, um die Azure Resource Manager-Ressourcen-ID für ein Speicherkonto im Azure-Portal anzuzeigen:

    1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto.

    2. Wählen Sie auf der Seite Übersicht im Abschnitt Essentials den Link JSON-Ansicht aus.

    3. Die Ressourcen-ID für das Speicherkonto wird oben auf der Seite angezeigt. Kopieren Sie den Text unter Ressourcen-ID des Speicherkontos.

    4. Wählen Sie im Flyout Neue Einstellungen der Streaming-API hinzufügen die Ereignistypen aus, die Sie streamen möchten.

    5. Klicken Sie nach Abschluss des Vorgangs auf Absenden.

Das Schema der Ereignisse im Speicherkonto

  • Für jeden Ereignistyp wird ein Blobcontainer erstellt:

    Beispiel für einen Blobcontainer

  • Das Schema jeder Zeile in einem Blob ist der folgende JSON-Code:

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • Jedes Blob enthält mehrere Zeilen.

  • Jede Zeile enthält den Ereignisnamen, den Zeitpunkt, zu dem Defender für Endpunkt das Ereignis empfangen hat, den Mandanten, zu dem es gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens "properties".

  • Weitere Informationen zum Schema von Microsoft Defender XDR Ereignissen finden Sie unter Übersicht über die erweiterte Suche.

Datentypzuordnung

Führen Sie die folgenden Schritte aus, um die Datentypen für Ereigniseigenschaften abzurufen:

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

  2. Wechseln Sie zu HuntingAdvanced hunting (Erweiterte> Suche). Um direkt zur Seite Erweiterte Suche zu wechseln, verwenden Sie https://security.microsoft.com/advanced-hunting.

  3. Führen Sie auf der Registerkarte Abfrage die folgende Abfrage aus, um die Datentypzuordnung für jedes Ereignis abzurufen:

    {EventType}
| getschema
| project ColumnName, ColumnType

    Hier sehen Sie ein Beispiel für das Device Info-Ereignis:

    Beispielabfrage für Geräteinformationen

Überwachen erstellter Ressourcen

Sie können die von der Streaming-API erstellten Ressourcen mithilfe von Azure Monitor überwachen. Weitere Informationen finden Sie unter Überwachen von Zielen – Azure Monitor.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.