高度なハンティング イベントをストレージ アカウントにストリーミングするように Microsoft Defender for Endpoint を構成する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

開始する前に

1. テナントに ストレージ アカウント を作成します。

2. Azure テナントにサインインし、[サブスクリプション>サブスクリプション>リソース プロバイダー>Microsoft.insights に登録する] に移動します。

生データ ストリーミングを有効にする

1. セキュリティ管理者として Microsoft Defender ポータル にサインインします。

2. Microsoft Defender XDR の [データ エクスポート設定] ページ に移動します。

3. [ データ エクスポート設定の追加] を選択します。

4. 新しい設定の名前を選択します。

5. [ イベントを Azure Storage に転送する] を選択します。

6. ストレージ アカウントのリソース ID を入力します。 ストレージ アカウント リソース ID を取得するには、Azure portal の [ストレージ アカウント] ページに移動> [プロパティ] タブ>[ストレージ アカウント リソース ID] のテキストをコピーします。

   

7. ストリーミングするイベントを選択し、[保存] を選択 します。

ストレージ アカウント内のイベントのスキーマ

• BLOB コンテナーは、イベントの種類ごとに作成されます。

  

• BLOB 内の各行のスキーマは、次の JSON です。

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• 各 BLOB には複数の行が含まれています。

• 各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、および properties というプロパティの JSON 形式のイベントが含まれます。

• Microsoft Defender for Endpoint イベントのスキーマの詳細については、「 Advanced Hunting の概要」を参照してください。

• Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。 詳細については、「 デバイス グループ」を参照してください。

  注:

  デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の手順を実行します。

1. Microsoft Defender ポータルにサインインし、[高度なハンティング] ページに移動します。

2. 次のクエリを実行して、各イベントのデータ型マッピングを取得します。

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   デバイス情報イベントの例を次に示します。

   

関連記事

• Microsoft Defender XDR イベントをストリーミングする |Microsoft Learn
• 高度なハンティングの概要
• Microsoft Defender for Endpoint Streaming API
• Microsoft Defender for Endpoint イベントを Azure ストレージ アカウントにストリーミングする
• Azure Storage アカウントのドキュメント