Compartilhar via

Stream Microsoft Defender XDR eventos à sua conta de armazenamento

  • Artigo

Aplica-se a:

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Antes de começar

  • Crie uma conta de Armazenamento no seu inquilino.
  • Inicie sessão no inquilino do Azure e aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registem-se no Microsoft.Insights.

Adicionar permissões de contribuidor

Assim que a conta de armazenamento for criada, tem de definir o utilizador que está a iniciar sessão como um contribuidor.

  1. Aceda a Controlo de Acesso à Conta> de Armazenamento(IAM) e, em seguida, selecione Adicionar.

  2. Verifique se o utilizador está listado em Atribuições de funções.

Ativar a transmissão em fluxo de dados não processados

Observação

Ao utilizar a API de Transmissão em Fluxo para uma conta de Armazenamento do Azure, certifique-se de que a opção Allow trusted Microsoft services to access this storage account está ativada nas definições da conta de armazenamento para permitir que os dados sejam transmitidos a partir de Microsoft Defender para Ponto de Extremidade.

  1. Aceda ao portal Microsoft Defender e inicie sessão com uma conta com, pelo menos, permissões de Administrador de Segurança.

    Importante

    A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  2. Aceda a Definições>Microsoft Defender XDR>API de Transmissão em Fluxo. Para aceder diretamente à página da API de Transmissão em Fluxo , utilize https://security.microsoft.com/settings/mtp_settings/raw_data_export.

  3. Selecione Adicionar.

  4. Na lista de opções Adicionar novas definições da API de Transmissão em Fluxo que é apresentada, configure as seguintes definições:

    • Nome: selecione um nome para as suas novas definições.
    • Selecione Reencaminhar eventos para o Armazenamento do Azure.

  5. Para apresentar o ID de recurso Resource Manager do Azure para uma conta de armazenamento no portal do Azure, siga estes passos:

    1. Navegue para a sua conta de armazenamento no portal do Azure.

    2. Na página Descrição geral, na secção Essentials, selecione a ligação Vista JSON.

    3. O ID de recurso da conta de armazenamento é apresentado na parte superior da página. Copie o texto em ID de Recurso da Conta de Armazenamento.

    4. Na lista de opções Adicionar novas definições da API de Transmissão em Fluxo, selecione os Tipos de eventos que pretende transmitir em fluxo.

    5. Quando terminar, selecione Enviar.

O esquema dos eventos na conta de Armazenamento

  • É criado um contentor de blobs para cada tipo de evento:

    Exemplo de um contentor de blobs

  • O esquema de cada linha num blob é o seguinte JSON:

    {
        "time": "<The time Microsoft Defender XDR received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}

  • Cada blob contém várias linhas.

  • Cada linha contém o nome do evento, a hora em que o Defender para Endpoint recebeu o evento, o inquilino ao qual pertence (só obterá eventos do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades".

  • Para obter mais informações sobre o esquema de Microsoft Defender XDR eventos, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

Mapeamento de tipos de dados

Para obter os tipos de dados das propriedades de eventos, siga estes passos:

  1. Aceda ao portal Microsoft Defender e inicie sessão.

  2. Aceda a Investigação>Avançada de Investigação. Para aceder diretamente à página Investigação avançada , utilize https://security.microsoft.com/advanced-hunting.

  3. No separador Consulta , execute a seguinte consulta para obter o mapeamento dos tipos de dados para cada evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

    Eis um exemplo do evento Informações do Dispositivo:

    Uma consulta de informações do dispositivo de exemplo

Monitorizar recursos criados

Pode monitorizar os recursos criados pela API de transmissão em fluxo com o Azure Monitor. Para obter mais informações, veja Monitorizar destinos – Azure Monitor.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.