Microsoft Defender for Businessでストリーミング API を使用する
organizationに Security Operations Center (SOC) がある場合、Microsoft Defender for Endpoint ストリーミング API を使用する機能は、Defender for BusinessおよびMicrosoft 365 Business Premium。 この API を使用すると、デバイス ファイル、レジストリ、ネットワーク、サインイン イベントなどのデータを次のいずれかのサービスにストリーミングできます。
- Microsoft Sentinel、セキュリティ情報とイベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を提供するスケーラブルなクラウドネイティブ ソリューションです。
- Azure Event Hubs、Stream Analytics、Power BI、Event Grid などの他の Azure および Microsoft サービスと Apache Spark などの外部サービスとシームレスに統合できる最新のビッグ データ ストリーミング プラットフォームとイベント インジェスト サービスです。
- Azure Storage は、最新のデータ ストレージ シナリオ向けの Microsoft のクラウド ストレージ ソリューションであり、クラウド内のさまざまなデータ オブジェクトに対して高可用性、非常にスケーラブル、持続性、およびセキュリティで保護されたストレージを備えています。
ストリーミング API を使用すると、Defender for BusinessとMicrosoft 365 Business Premiumで高度なハンティングと攻撃検出を使用できます。 ストリーミング API を使用すると、SOC はデバイスに関するより多くのデータを表示し、攻撃がどのように発生したかをよりよく理解し、デバイスのセキュリティを強化するための手順を実行できます。
Microsoft Sentinelでストリーミング API を使用する
注:
Microsoft Sentinelは有料サービスです。 いくつかのプランと価格オプションを利用できます。 「Microsoft Sentinel価格」を参照してください。
Defender for Businessが設定および構成されていること、およびデバイスが既にオンボードされていることを確認します。 「Microsoft Defender for Businessのセットアップと構成」を参照してください。
Sentinelで使用する Log Analytics ワークスペースを作成します。 Log Analytics ワークスペースの作成に関するページを参照してください。
Microsoft Sentinelにオンボードします。 「クイック スタート: Microsoft Sentinelのオンボード」を参照してください。
Microsoft Defender XDR コネクタを有効にします。 「Microsoft Defender XDRからMicrosoft Sentinelにデータを接続する」を参照してください。
Event Hubs でストリーミング API を使用する
注:
Azure Event Hubsには Azure サブスクリプションが必要です。 開始する前に、テナントに イベント ハブ を作成してください。 次に、Azure portalにサインインし、[サブスクリプション>サブスクリプション>リソース プロバイダー>Microsoft.insights に登録する] に移動します。
Microsoft Defender ポータルに移動し、サインインします。
[データ エクスポート設定] ページに移動します。
[ データ エクスポート設定の追加] を選択します。
新しい設定の名前を選択します。
[イベントをAzure Event Hubsに転送する] を選択します。
Event Hubs 名と Event Hubs ID を入力します。
注:
[Event Hubs name] フィールドを空のままにすると、選択した名前空間内のカテゴリごとにイベント ハブが作成されます。 専用 Event Hubs クラスターを使用していない場合は、10 個の Event Hubs 名前空間の制限があることに注意してください。
Event Hubs ID を取得するには、Azure portalの [Azure Event Hubs名前空間] ページに移動します。 [ プロパティ ] タブで、[ ID] の下のテキストをコピーします。
ストリーミングするイベントを選択し、[保存] を選択 します。
Azure Event Hubsのイベントのスキーマ
Azure Event Hubsのイベントのスキーマは次のようになります。
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs内の各イベント ハブ メッセージには、レコードの一覧が含まれています。 各レコードには、イベント名、イベントDefender for Business受信した時刻、イベントが属するテナント (テナントからのみイベントを取得します)、および "properties" というプロパティの JSON 形式のイベントが含まれます。 スキーマの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
Azure Storage でストリーミング API を使用する
Azure Storage には Azure サブスクリプションが必要です。 開始する前に、必ずテナントに ストレージ アカウント を作成してください。 次に、Azure テナントにサインインし、サブスクリプション>サブスクリプション>リソース プロバイダー>Microsoft.insights への登録に移動します。
生データ ストリーミングを有効にする
Microsoft Defender ポータルに移動し、サインインします。
Microsoft Defender XDRの [データ エクスポート設定] ページに移動します。
[ データ エクスポート設定の追加] を選択します。
新しい設定の名前を選択します。
[ イベントを Azure Storage に転送する] を選択します。
ストレージ アカウントのリソース ID を入力します。 ストレージ アカウント リソース ID を取得するには、Azure portalの [ストレージ アカウント] ページに移動します。 次に、[ プロパティ ] タブの [ ストレージ アカウント リソース ID] の下のテキストをコピーします。
ストリーミングするイベントを選択し、[保存] を選択 します。
Azure Storage アカウントのイベントのスキーマ
BLOB コンテナーは、イベントの種類ごとに作成されます。 BLOB 内の各行のスキーマは、次の JSON ファイルです。
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
各 BLOB には複数の行が含まれています。 各行には、イベント名、イベントDefender for Business受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得する)、および JSON 形式のプロパティのイベントが含まれます。 Microsoft Defender for Endpoint イベントのスキーマの詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
関連項目
- Defender for Endpoint の生データ ストリーミング API