Stream Microsoft Defender XDR события в учетную запись хранения
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Подготовка к работе
- Создайте учетную запись хранения в клиенте.
- Войдите в клиент Azure и перейдите в раздел Подписки Ваши поставщики>>ресурсов подписки>Зарегистрируйте в Microsoft.Insights.
Добавление разрешений участник
После создания учетной записи хранения необходимо определить пользователя, который выполняет вход в качестве участник.
Перейдите в раздел Управление доступом к учетной записи> хранения(IAM) и нажмите кнопку Добавить.
Убедитесь, что пользователь указан в разделе Назначения ролей.
Включение потоковой передачи необработанных данных
Примечание.
При использовании API потоковой передачи в учетной записи хранения Azure убедитесь, что Allow trusted Microsoft services to access this storage account параметр включен в параметрах учетной записи хранения, чтобы обеспечить потоковую передачу данных из Microsoft Defender для конечной точки.
Перейдите на портал Microsoft Defender и выполните вход, используя учетную запись с разрешениями по крайней мере администратора безопасности.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Перейдите в раздел Параметры>Microsoft Defender XDR>API потоков. Чтобы перейти непосредственно на страницу API потоковой передачи , используйте https://security.microsoft.com/settings/mtp_settings/raw_data_export.
Нажмите Добавить.
Во всплывающем окне Добавление параметров API потоковой передачи настройте следующие параметры:
- Имя. Выберите имя для новых параметров.
- Выберите Переадресация событий в службу хранилища Azure.
Чтобы отобразить идентификатор ресурса azure Resource Manager для учетной записи хранения в портал Azure, выполните следующие действия.
Перейдите к учетной записи хранения в портал Azure.
На странице Обзор в разделе Essentials выберите ссылку Просмотр JSON.
Идентификатор ресурса для учетной записи хранения отображается в верхней части страницы. Скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.
Во всплывающем окне Добавление параметров API потоковой передачи выберите типы событий , которые требуется потоковой передачи.
По завершении нажмите кнопку Отправить.
Схема событий в учетной записи хранения
Контейнер BLOB-объектов создается для каждого типа события:
Схема каждой строки в большом двоичном объекте представляет собой следующий код JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }Каждый большой двоичный объект содержит несколько строк.
Каждая строка содержит имя события, время получения события в Defender для конечной точки, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.
Дополнительные сведения о схеме событий Microsoft Defender XDR см. в статье Обзор расширенной охоты.
Сопоставление типов данных
Чтобы получить типы данных для свойств событий, выполните следующие действия.
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите в раздел Охота>Расширенная охота. Чтобы перейти непосредственно на страницу Расширенной охоты, используйте .https://security.microsoft.com/advanced-hunting
На вкладке Запрос выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:
{EventType} | getschema | project ColumnName, ColumnTypeНиже приведен пример события Сведений об устройстве:
Мониторинг созданных ресурсов
Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Мониторинг назначений — Azure Monitor.
Статьи по теме
- Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
- Обзор расширенной охоты
- API потоковой передачи Microsoft Defender XDR
- Stream Microsoft Defender XDR событий в учетную запись хранения Azure
- Документация по учетной записи хранения Azure
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.