Stream Microsoft Defender XDR des événements à votre compte de stockage

S’applique à :

• Microsoft Defender XDR

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Avant de commencer

• Créez un compte de stockage dans votre locataire.
• Connectez-vous à votre locataire Azure et accédez à Abonnements> Vosfournisseurs de> ressourcesd’abonnement>Inscrivez-vous à Microsoft.Insights.

Ajouter des autorisations contributeur

Une fois le compte de stockage créé, vous devez définir l’utilisateur qui se connecte en tant que contributeur.

1. Accédez àContrôle d’accès aucompte> de stockage (IAM), puis sélectionnez Ajouter.

2. Vérifiez que l’utilisateur est répertorié sous Attributions de rôles.

Activer la diffusion en continu de données brutes

Remarque

Lorsque vous utilisez l’API de streaming vers un compte de stockage Azure, vérifiez que l’option Allow trusted Microsoft services to access this storage account est activée dans les paramètres du compte de stockage pour permettre le streaming des données à partir de Microsoft Defender pour point de terminaison.

1. Accédez au portail Microsoft Defender et connectez-vous à l’aide d’un compte disposant au moins des autorisations d’administrateur de la sécurité.

   Importante

   Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

2. Accédez à Paramètres>Microsoft Defender XDR>Api de streaming. Pour accéder directement à la page de l’API de streaming , utilisez https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Sélectionnez Ajouter.

4. Dans le menu volant Ajouter de nouveaux paramètres d’API de streaming qui s’affiche, configurez les paramètres suivants :

   • Nom : choisissez un nom pour vos nouveaux paramètres.
   • Sélectionnez Transférer des événements vers stockage Azure.

5. Pour afficher l’ID de ressource Azure Resource Manager pour un compte de stockage dans le Portail Azure, procédez comme suit :

   1. Accédez à votre compte de stockage dans le Portail Azure.

   2. Dans la page Vue d’ensemble, dans la section Essentials, sélectionnez le lien Affichage JSON.

   3. L’ID de ressource du compte de stockage s’affiche en haut de la page. Copiez le texte sous ID de ressource du compte de stockage.

   4. Dans le menu volant Ajouter de nouveaux paramètres d’API de diffusion en continu , choisissez les types d’événements que vous souhaitez diffuser en continu.

   5. Lorsque vous avez terminé, sélectionnez Envoyer.

Schéma des événements dans le compte de stockage

• Un conteneur d’objets blob est créé pour chaque type d’événement :

  

• Le schéma de chaque ligne d’un objet blob est le code JSON suivant :

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Chaque objet blob contient plusieurs lignes.

• Chaque ligne contient le nom de l’événement, l’heure à laquelle Defender pour point de terminaison a reçu l’événement, le locataire auquel il appartient (vous obtiendrez uniquement les événements de votre locataire) et l’événement au format JSON dans une propriété appelée « properties ».

• Pour plus d’informations sur le schéma des événements Microsoft Defender XDR, consultez Vue d’ensemble de la chasse avancée.

Mappage des types de données

Pour obtenir les types de données pour les propriétés des événements, procédez comme suit :

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Accédez à Chasse>avancée chasse. Pour accéder directement à la page Repérage avancé , utilisez https://security.microsoft.com/advanced-hunting.

3. Sous l’onglet Requête , exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Voici un exemple pour l’événement Device Info :

   

Surveillance des ressources créées

Vous pouvez surveiller les ressources créées par l’API de streaming à l’aide d’Azure Monitor. Pour plus d’informations, consultez Surveiller les destinations - Azure Monitor.

Articles connexes

• Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn
• Vue d’ensemble de la chasse avancée
• API de streaming Microsoft Defender XDR
• Stream Microsoft Defender XDR des événements à votre compte de stockage Azure
• Documentation sur le compte de stockage Azure

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.