Stream Microsoft Defender XDR událostí do účtu úložiště

Platí pro:

• Microsoft Defender XDR

Poznámka

Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Než začnete

• Vytvořte ve svém tenantovi účet úložiště .
• Přihlaste se ke svému tenantovi Azure a přejděte na Předplatná>Poskytovatelé> prostředkůpředplatného>Zaregistrujte se do Microsoft.Insights.

Přidání oprávnění přispěvatele

Po vytvoření účtu úložiště musíte definovat uživatele, který se přihlašuje jako přispěvatel.

1. Přejděte na Řízení přístupu k účtu> úložiště(IAM) a pak vyberte Přidat.

2. Ověřte, že je uživatel uvedený v části Přiřazení rolí.

Povolení streamování nezpracovaných dat

Poznámka

Pokud používáte rozhraní API pro streamování do účtu služby Azure Storage, ujistěte se, že je v nastavení účtu úložiště povolená možnostAllow trusted Microsoft services to access this storage account, která umožňuje streamovat data z Microsoft Defender for Endpoint.

1. Přejděte na portál Microsoft Defender a přihlaste se pomocí účtu s alespoň oprávněními správce zabezpečení.

   Důležité

   Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

2. Přejděte na Nastavení>Microsoft Defender XDR>Rozhraní API pro odesílání dat. Pokud chcete přejít přímo na stránku rozhraní API pro streamování, použijte .https://security.microsoft.com/settings/mtp_settings/raw_data_export

3. Vyberte možnost Přidat.

4. V zobrazeném informačním rámečku Přidat nové nastavení rozhraní API pro streamování nakonfigurujte následující nastavení:

   • Název: Zvolte název nového nastavení.
   • Vyberte Předávat události do Azure Storage.

5. Pokud chcete zobrazit ID prostředku azure Resource Manager pro účet úložiště v Azure Portal, postupujte takto:

   1. V Azure Portal přejděte do svého účtu úložiště.

   2. Na stránce Přehled v části Essentials vyberte odkaz Zobrazení JSON.

   3. ID prostředku pro účet úložiště se zobrazí v horní části stránky. Zkopírujte text v části ID prostředku účtu úložiště.

   4. V rozevíracím rámečku Přidat nové nastavení rozhraní API pro streamování zvolte typy událostí , které chcete streamovat.

   5. Až budete hotovi, vyberte Odeslat.

Schéma událostí v účtu úložiště

• Pro každý typ události se vytvoří kontejner objektů blob:

  

• Schéma každého řádku v objektu blob je následující json:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Každý objekt blob obsahuje více řádků.

• Každý řádek obsahuje název události, čas, kdy Defender for Endpoint událost přijal, tenanta, do něhož patří (události budete dostávat jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties".

• Další informace o schématu událostí Microsoft Defender XDR najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

Mapování datových typů

Chcete-li získat datové typy pro vlastnosti událostí, postupujte takto:

1. Přejděte na portál Microsoft Defender a přihlaste se.

2. Přejděte na Proaktivní>proaktivní vyhledávání. Pokud chcete přejít přímo na stránku rozšířeného proaktivního vyhledávání , použijte https://security.microsoft.com/advanced-hunting.

3. Na kartě Dotaz spusťte následující dotaz, abyste získali mapování datových typů pro každou událost:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tady je příklad události Informace o zařízení:

   

Monitorování vytvořených prostředků

Prostředky vytvořené rozhraním API pro streamování můžete monitorovat pomocí služby Azure Monitor. Další informace najdete v tématu Monitorování cílů – Azure Monitor.

Související články

• Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
• Přehled rozšířeného proaktivního vyhledávání
• rozhraní API pro streamování Microsoft Defender XDR
• Stream Microsoft Defender XDR událostí do účtu úložiště Azure
• Dokumentace k účtu služby Azure Storage

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.