高度なハンティング イベントを Azure Event Hub にストリーミングするように Microsoft Defender XDR を構成する

  • [アーティクル]

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

前提条件

Event Hubs にデータをストリーミングするように Microsoft Defender XDR を構成する前に、次の前提条件が満たされていることを確認してください。

  1. Event Hubs を作成します (詳細については、「 Event Hubs のセットアップ」を参照してください)。

  2. Event Hubs 名前空間の作成 (詳細については、「 Event Hubs 名前空間のセットアップ」を参照してください)。

  3. このエンティティが Event Hubs にデータをエクスポートできるように、 共同作成者 の権限を持つエンティティにアクセス許可を追加します。 アクセス許可の追加の詳細については、「アクセス許可の追加」を参照してください。

注:

ストリーミング API は、Event Hubs または Azure Storage アカウントを介して統合できます。

生データ ストリーミングを有効にする

  1. 少なくともセキュリティ管理者として Microsoft Defender ポータルにログオンします。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

  1. [ ストリーミング API の設定] ページに移動します。

  2. [追加] をクリックします。

  3. 新しい設定の名前を選択します。

  4. [ イベントを Azure Event Hub に転送する] を選択します。

  5. イベント データを 1 つの Event Hub にエクスポートするか、各イベント テーブルを Event Hubs 名前空間の別の Event Hubs にエクスポートするかを選択できます。

  6. イベント データを 1 つの Event Hub にエクスポートするには、 Event Hub 名Event Hub リソース ID を入力します。

    Event Hub リソース ID を取得するには、Azure の [Azure Event Hubs 名前空間] ページ> [プロパティ] タブに移動>、[リソース ID] のテキストをコピーします。

    Event Hub リソース ID

  7. イベント ストリーミング API でサポートされている Microsoft Defender XDR イベントの種類に移動して、Microsoft 365 ストリーミング API のイベントの種類のサポート状態を確認します。

  8. ストリーミングするイベントを選択し、[ 保存] をクリックします。

Azure Event Hub のイベントのスキーマ

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Azure Event Hubs の各 Event Hubs メッセージには、レコードの一覧が含まれています。

  • 各レコードには、イベント名、Microsoft Defender XDR がイベントを受信した時刻、属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。

  • Microsoft Defender XDR イベントのスキーマの詳細については、「 Advanced Hunting の概要」を参照してください。

  • Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の手順を実行します。

  1. Microsoft Defender XDR にログオンし、[高度なハンティング] ページに移動します。

  2. 次のクエリを実行して、各イベントのデータ型マッピングを取得します。

    {EventType}
| getschema
| project ColumnName, ColumnType

  • デバイス情報イベントの例を次に示します。

    デバイス情報のクエリ例

初期 Event Hub 容量の見積もり

次の高度なハンティング クエリは、イベント/秒と推定 MB/秒に基づいて、データ ボリュームのスループットと初期イベント ハブ容量の大まかな見積もりを提供するのに役立ちます。"実際の" スループットをキャプチャするために、通常の営業時間中にクエリを実行することをお勧めします。

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

さまざまな Event Hub の制限を確認するには、 Azure Event Hubs のクォータと制限に関するページを参照してください

作成されたリソースの監視

ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 Azure Monitor での Log Analytics ワークスペースのデータ エクスポート」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。