Настройка XDR в Microsoft Defender для потоковой передачи событий расширенной охоты в учетную запись хранения
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Подготовка к работе
Создайте учетную запись хранения в клиенте.
Войдите в клиент Azure, перейдите в раздел Подписки Поставщики >> ресурсов подписки > Зарегистрируйте в Microsoft.Insights.
Добавление разрешений участника
После создания учетной записи хранения вам потребуется:
Определите пользователя, который входит в XDR в Microsoft Defender в качестве участника.
Перейдите в раздел Управление доступом к учетной записи > хранения (IAM) > Добавление и проверка в разделе Назначения ролей.
Включение потоковой передачи необработанных данных
- Войдите в Microsoft Defender XDR как минимум в качестве администратора безопасности .
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Перейдите в раздел ПараметрыAPI потоковой передачи> XDR >в Microsoft Defender. Чтобы перейти непосредственно на страницу API потоковой передачи , используйте https://security.microsoft.com/settings/mtp_settings/raw_data_export.
Нажмите Добавить.
Во всплывающем окне Добавление параметров API потоковой передачи настройте следующие параметры:
- Имя. Выберите имя для новых параметров.
- Выберите Переадресация событий в службу хранилища Azure.
Чтобы отобразить идентификатор ресурса Azure Resource Manager для учетной записи хранения на портале Azure, выполните следующие действия.
Перейдите к учетной записи хранения на портале Azure.
На странице Обзор в разделе Основные компоненты выберите ссылку Представление JSON .
Идентификатор ресурса для учетной записи хранения отображается в верхней части страницы. Скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.
Вернитесь к всплывающему элементу Добавление параметров API потоковой передачи и выберите типы событий , которые требуется потоковой передачи.
По завершении нажмите кнопку Отправить.
Схема событий в учетной записи хранения
Контейнер BLOB-объектов создается для каждого типа события:
Схема каждой строки в большом двоичном объекте представляет собой следующий код JSON:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
Каждый большой двоичный объект содержит несколько строк.
Каждая строка содержит имя события, время получения события в Defender для конечной точки, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.
Дополнительные сведения о схеме событий XDR в Microsoft Defender см. в статье Обзор расширенной охоты.
Сопоставление типов данных
Чтобы получить типы данных для наших свойств событий, сделайте следующее:
Войдите в XDR в Microsoft Defender и перейдите в раздел Охота>расширенная охота. Чтобы перейти непосредственно на страницу Расширенная охота , используйте <security.microsoft.com/advanced-hunting>.
На вкладке Запрос выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:
{EventType} | getschema | project ColumnName, ColumnType
Мониторинг созданных ресурсов
Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Мониторинг назначений — Azure Monitor | Документация Майкрософт.
Статьи по теме
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Потоковая передача событий XDR Microsoft Defender в учетную запись хранения Azure
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.