Stream Microsoft Defender XDR eventi all'account di archiviazione

Si applica a:

• Microsoft Defender XDR

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prima di iniziare

• Creare un account di archiviazione nel tenant.
• Accedere al tenant di Azure e passare a Sottoscrizioni> Iprovider di> risorse dellasottoscrizione>si registrano a Microsoft.Insights.

Aggiungere autorizzazioni per i collaboratori

Dopo aver creato l'account di archiviazione, è necessario definire l'utente che esegue l'accesso come collaboratore.

1. Passare a Controllo di accesso dell'account> di archiviazione(IAM) e quindi selezionare Aggiungi.

2. Verificare che l'utente sia elencato in Assegnazioni di ruolo.

Abilitare lo streaming di dati non elaborati

Nota

Quando si usa l'API di streaming in un account di archiviazione di Azure, assicurarsi che l'opzione Allow trusted Microsoft services to access this storage account sia abilitata nelle impostazioni dell'account di archiviazione per consentire lo streaming dei dati da Microsoft Defender per endpoint.

1. Passare al portale di Microsoft Defender e accedere usando un account con almeno le autorizzazioni di amministratore della sicurezza.

   Importante

   Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

2. Passare a Impostazioni>Microsoft Defender XDR>API di streaming. Per passare direttamente alla pagina DELL'API di streaming , usare https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Selezionare Aggiungi.

4. Nel riquadro a comparsa Aggiungi nuove impostazioni DELL'API di streaming visualizzato configurare le impostazioni seguenti:

   • Nome: scegliere un nome per le nuove impostazioni.
   • Selezionare Inoltra eventi ad Archiviazione di Azure.

5. Per visualizzare l'ID risorsa Resource Manager di Azure per un account di archiviazione nel portale di Azure, seguire questa procedura:

   1. Passare all'account di archiviazione nel portale di Azure.

   2. Nella sezione Essentials della pagina Panoramica selezionare il collegamento Visualizzazione JSON.

   3. L'ID risorsa per l'account di archiviazione viene visualizzato nella parte superiore della pagina. Copiare il testo in ID risorsa account di archiviazione.

   4. Nel riquadro a comparsa Aggiungi nuove impostazioni DELL'API di streaming scegliere i tipi di evento da trasmettere.

   5. Al termine, selezionare Invia.

Schema degli eventi nell'account di archiviazione

• Viene creato un contenitore BLOB per ogni tipo di evento:

  

• Lo schema di ogni riga in un BLOB è il codice JSON seguente:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Ogni BLOB contiene più righe.

• Ogni riga contiene il nome dell'evento, l'ora in cui Defender per endpoint ha ricevuto l'evento, il tenant a cui appartiene (si otterranno solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

• Per altre informazioni sullo schema degli eventi Microsoft Defender XDR, vedere Panoramica della ricerca avanzata.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà degli eventi, seguire questa procedura:

1. Passare al portale di Microsoft Defender ed eseguire l'accesso.

2. Vai a Caccia>avanzata caccia. Per passare direttamente alla pagina Ricerca avanzata , usare https://security.microsoft.com/advanced-hunting.

3. Nella scheda Query eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Ecco un esempio per l'evento Device Info:

   

Monitoraggio delle risorse create

È possibile monitorare le risorse create dall'API di streaming usando Monitoraggio di Azure. Per altre informazioni, vedere Monitorare le destinazioni - Monitoraggio di Azure.

Articoli correlati

• Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn
• Panoramica della ricerca avanzata
• API di streaming Microsoft Defender XDR
• Stream Microsoft Defender XDR eventi all'account di archiviazione di Azure
• Documentazione dell'account di archiviazione di Azure

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.