高度なハンティング イベントをストレージ アカウントにストリーミングするように Microsoft Defender XDR を構成する

  • [アーティクル]

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

開始する前に

  1. テナントに ストレージ アカウント を作成します。

  2. Azure テナントにログインし、[サブスクリプション] > [サブスクリプション] > [リソース プロバイダー] > [Microsoft.Insights に登録] に移動します。

共同作成者のアクセス許可を追加する

ストレージ アカウントが作成されたら、次の手順を実行する必要があります。

  1. Microsoft Defender XDR に共同作成者としてログインするユーザーを定義します。

    [ロールの割り当て] で[ストレージ アカウント >アクセス制御 (IAM)] > [追加と確認] に移動します。

生データ ストリーミングを有効にする

  1. 少なくともセキュリティ管理者として Microsoft Defender XDR にログインします。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

  1. [設定>Microsoft Defender XDR>Streaming API] に移動します。 ストリーミング API ページに直接移動するには、https://security.microsoft.com/settings/mtp_settings/raw_data_exportを使用します。

  2. [追加] を選択します。

  3. 表示される [ 新しいストリーミング API 設定の追加] ポップアップで、次の設定を構成します。

    1. [名前]: 新しい設定の名前を選択します。
    2. [ イベントを Azure Storage に転送する] を選択します

  4. Azure portal でストレージ アカウントの Azure Resource Manager リソース ID を表示するには、次の手順に従います。

    1. Azure portal でストレージ アカウントに移動します。

    2. [ 概要 ] ページの [ 要点 ] セクションで、[ JSON ビュー ] リンクを選択します。

    3. ストレージ アカウントのリソース ID がページの上部に表示され、[ ストレージ アカウント リソース ID] のテキストをコピーします。

    4. [ 新しいストリーミング API 設定の追加] ポップアップに戻り、ストリーミングする イベントの種類 を選択します。

    完了したら、[送信] を選択します。

ストレージ アカウント内のイベントのスキーマ

  • BLOB コンテナーは、イベントの種類ごとに作成されます。

    BLOB コンテナーの例

  • BLOB 内の各行のスキーマは、次の JSON です。

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • 各 BLOB には複数の行が含まれています。

  • 各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。

  • Microsoft Defender XDR イベントのスキーマの詳細については、「 Advanced Hunting の概要」を参照してください。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の操作を行います。

  1. Microsoft Defender XDR にログインし、[ハンティング>Advanced ハンティング] に移動します[高度なハンティング] ページに直接移動するには、<security.microsoft.com/advanced-hunting>を使用します。

  2. [ クエリ ] タブで、次のクエリを実行して、各イベントのデータ型マッピングを取得します。

    {EventType}
| getschema
| project ColumnName, ColumnType

  • デバイス情報イベントの例を次に示します。

    デバイス情報クエリの例

作成されたリソースの監視

ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 ターゲットの監視 - Azure Monitor |Microsoft Docs

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。