gebeurtenissen Stream Microsoft Defender XDR in uw opslagaccount

Van toepassing op:

• Microsoft Defender XDR

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Voordat u begint

• Maak een opslagaccount in uw tenant.
• Meld u aan bij uw Azure-tenant en ga naar Abonnementen>Uw abonnement>resourceproviders>registreren bij Microsoft.Insights.

Inzendermachtigingen toevoegen

Zodra het opslagaccount is gemaakt, moet u de gebruiker definiëren die zich aanmeldt als inzender.

1. Ga naar Toegangsbeheer voor opslagaccounts>(IAM) en selecteer vervolgens Toevoegen.

2. Controleer of de gebruiker wordt vermeld onder Roltoewijzingen.

Streaming van onbewerkte gegevens inschakelen

Opmerking

Wanneer u de Streaming-API naar een Azure Storage-account gebruikt, moet u ervoor zorgen dat de optie Allow trusted Microsoft services to access this storage account is ingeschakeld in de instellingen van het opslagaccount, zodat gegevens kunnen worden gestreamd vanuit Microsoft Defender voor Eindpunt.

1. Ga naar de Microsoft Defender portal en meld u aan met een account met ten minste beveiligingsbeheerdersmachtigingen.

   Belangrijk

   Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

2. Ga naar Instellingen>Microsoft Defender XDR>Streaming-API. Als u rechtstreeks naar de pagina streaming-API wilt gaan, gebruikt u https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Kies Toevoegen.

4. Configureer de volgende instellingen in de flyout Nieuwe streaming-API-instellingen toevoegen die wordt weergegeven:

   • Naam: kies een naam voor de nieuwe instellingen.
   • Selecteer Gebeurtenissen doorsturen naar Azure Storage.

5. Voer de volgende stappen uit om de Resource-id van Azure Resource Manager voor een opslagaccount in de Azure Portal weer te geven:

   1. Navigeer naar uw opslagaccount in de Azure Portal.

   2. Selecteer op de pagina Overzicht in de sectie Essentials de koppeling JSON-weergave.

   3. De resource-id voor het opslagaccount wordt boven aan de pagina weergegeven. Kopieer de tekst onder Resource-id van opslagaccount.

   4. Kies in de flyout Nieuwe instellingen voor streaming-API toevoegen de gebeurtenistypen die u wilt streamen.

   5. Wanneer u klaar bent, selecteert u Verzenden.

Het schema van de gebeurtenissen in het opslagaccount

• Er wordt een blobcontainer gemaakt voor elk gebeurtenistype:

  

• Het schema van elke rij in een blob is de volgende JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Elke blob bevat meerdere rijen.

• Elke rij bevat de naam van de gebeurtenis, het tijdstip waarop Defender voor Eindpunt de gebeurtenis heeft ontvangen, de tenant waartoe deze hoort (u krijgt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'eigenschappen'.

• Zie Overzicht van geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender XDR gebeurtenissen.

Toewijzing van gegevenstypen

Voer de volgende stappen uit om de gegevenstypen voor gebeurteniseigenschappen op te halen:

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Ga naar Opsporing>Geavanceerde opsporing. Als u rechtstreeks naar de pagina Geavanceerde opsporing wilt gaan, gebruikt u https://security.microsoft.com/advanced-hunting.

3. Voer op het tabblad Query de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:

   

Gemaakte resources bewaken

U kunt de resources bewaken die door de streaming-API zijn gemaakt met behulp van Azure Monitor. Zie Bestemmingen bewaken - Azure Monitor voor meer informatie.

Verwante artikelen

• De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn
• Overzicht van geavanceerde opsporing
• Microsoft Defender XDR Streaming-API
• gebeurtenissen Stream Microsoft Defender XDR naar uw Azure Storage-account
• Documentatie voor Azure Storage-account

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.