次の方法で共有


高度なハンティング イベントをストレージ アカウントにストリーミングするようにMicrosoft Defender for Endpointを構成する

適用対象:

注:

利用可能な完全なデータ ストリーミング エクスペリエンスについては、Stream Microsoft Defender XDR イベント |Microsoft Learn

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

開始する前に

  1. テナントに ストレージ アカウント を作成します。

  2. Azure テナントにサインインし、[サブスクリプション>サブスクリプション>リソース プロバイダー>Microsoft.insights に登録する] に移動します。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

生データ ストリーミングを有効にする

  1. Microsoft Defender ポータルにサインインします。

  2. Microsoft Defender XDRの [データ エクスポート設定] ページに移動します。

  3. [ データ エクスポート設定の追加] を選択します。

  4. 新しい設定の名前を選択します。

  5. [ イベントを Azure Storage に転送する] を選択します

  6. ストレージ アカウントのリソース ID を入力します。 ストレージ アカウント リソース ID を取得するには、Azure portal の [ストレージ アカウント] ページ> [プロパティ] タブに移動>、[ストレージ アカウント リソース ID] のテキストをコピーします。

    リソース ID 1 を持つ Event Hubs

  7. ストリーミングするイベントを選択し、[保存] を選択 します

ストレージ アカウント内のイベントのスキーマ

  • BLOB コンテナーは、イベントの種類ごとに作成されます。

    リソース ID2 を持つ Event Hubs

  • BLOB 内の各行のスキーマは、次の JSON です。

    {
      "time": "<The time WDATP received the event>"
      "tenantId": "<Your tenant ID>"
      "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
      "properties": { <WDATP Advanced Hunting event as Json> }
    }
    
  • 各 BLOB には複数の行が含まれています。

  • 各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、および properties というプロパティの JSON 形式のイベントが含まれます。

  • Microsoft Defender for Endpoint イベントのスキーマの詳細については、「Advanced Hunting の概要」を参照してください。

  • Advanced Hunting の DeviceInfo テーブルには、デバイスのグループを含む MachineGroup という名前の列があります。 ここでは、すべてのイベントもこの列で装飾されます。 詳細については、「デバイスのグループ」を参照してください。

    注:

    デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

データ型のマッピング

イベント プロパティのデータ型を取得するには、次の手順を実行します。

  1. Microsoft Defender ポータルにサインインし、[高度なハンティング] ページに移動します。

  2. 次のクエリを実行して、各イベントのデータ型マッピングを取得します。

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    

    デバイス情報イベントの例を次に示します。

    リソース ID3 を持つ Event Hubs

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。