将事件Stream Microsoft Defender XDR存储帐户
适用于:
注意
使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息,请查看: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
开始之前
添加参与者权限
创建存储帐户后,需要定义以参与者身份登录的用户。
转到 “存储帐户>访问控制 (IAM) ”,然后选择“ 添加”。
验证用户是否在 “角色分配”下列出。
启用原始数据流式处理
注意
使用流式处理 API 到 Azure 存储帐户时,请确保在存储帐户设置中启用 选项Allow trusted Microsoft services to access this storage account,以允许从 Microsoft Defender for Endpoint 流式传输数据。
转到Microsoft Defender门户,使用至少具有安全管理员权限的帐户登录。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
转到“设置Microsoft Defender XDR>>流式处理 API”。 若要直接转到 流式处理 API 页,请使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export。
选择“添加”。
在出现的 “添加新流式处理 API 设置” 浮出控件中,配置以下设置:
- 名称:为新设置选择名称。
- 选择“ 将事件转发到 Azure 存储”。
若要在Azure 门户中显示存储帐户的 Azure 资源管理器资源 ID,请执行以下步骤:
导航到Azure 门户中的存储帐户。
在“概述”页的“Essentials”部分中,选择“JSON 视图”链接。
存储帐户的资源 ID 显示在页面顶部。 复制 “存储帐户资源 ID”下的文本。
在 “添加新流式处理 API 设置” 浮出控件中,选择要流式传输 的事件类型 。
完成后,选择“提交”。
存储帐户中事件的架构
将为每个事件类型创建一个 Blob 容器:
Blob 中每一行的架构为以下 JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }每个 Blob 包含多个行。
每行都包含事件名称、Defender for Endpoint 接收事件的时间、它所属的租户 (仅从租户) 获取事件,以及 JSON 格式的事件(名为“properties”的属性)。
有关Microsoft Defender XDR事件的架构的详细信息,请参阅高级搜寻概述。
数据类型映射
若要获取事件属性的数据类型,请执行以下步骤:
转到Microsoft Defender门户并登录。
转到 “搜寻>高级搜寻”。 若要直接转到 “高级搜寻 ”页,请使用 https://security.microsoft.com/advanced-hunting。
在“ 查询 ”选项卡上,运行以下查询以获取每个事件的数据类型映射:
{EventType} | getschema | project ColumnName, ColumnType下面是设备信息事件的示例:
监视创建的资源
可以使用 Azure Monitor 监视流式处理 API 创建的资源。 有关详细信息,请参阅 监视目标 - Azure Monitor。
相关文章
- 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn
- 高级搜寻概述
- Microsoft Defender XDR流式处理 API
- 将事件Stream Microsoft Defender XDR Azure 存储帐户
- Azure 存储帐户文档
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。