Настройка XDR в Microsoft Defender для потоковой передачи событий расширенной охоты в учетную запись хранения

Область применения:

• Microsoft Defender XDR

Подготовка к работе

1. Создайте учетную запись хранения в клиенте.

2. Войдите в клиент Azure, перейдите в раздел Подписки Поставщики >> ресурсов подписки > Зарегистрируйте в Microsoft.Insights.

Добавление разрешений участника

После создания учетной записи хранения вам потребуется:

1. Определите пользователя, который входит в XDR в Microsoft Defender в качестве участника.

   Перейдите в раздел Управление доступом к учетной записи > хранения (IAM) > Добавление и проверка в разделе Назначения ролей.

Включение потоковой передачи необработанных данных

1. Войдите в Microsoft Defender XDR как минимум в качестве администратора безопасности .

2. Перейдите в раздел ПараметрыAPI потоковой передачи> XDR >в Microsoft Defender. Чтобы перейти непосредственно на страницу API потоковой передачи , используйте https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Нажмите Добавить.

4. Во всплывающем окне Добавление параметров API потоковой передачи настройте следующие параметры:

   1. Имя. Выберите имя для новых параметров.
   2. Выберите Переадресация событий в службу хранилища Azure.

5. Чтобы отобразить идентификатор ресурса Azure Resource Manager для учетной записи хранения на портале Azure, выполните следующие действия.

   1. Перейдите к учетной записи хранения на портале Azure.

   2. На странице Обзор в разделе Основные компоненты выберите ссылку Представление JSON .

   3. Идентификатор ресурса для учетной записи хранения отображается в верхней части страницы. Скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.

   4. Вернитесь к всплывающему элементу Добавление параметров API потоковой передачи и выберите типы событий , которые требуется потоковой передачи.

   По завершении нажмите кнопку Отправить.

Схема событий в учетной записи хранения

• Контейнер BLOB-объектов создается для каждого типа события:

  

• Схема каждой строки в большом двоичном объекте представляет собой следующий код JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Каждый большой двоичный объект содержит несколько строк.

• Каждая строка содержит имя события, время получения события в Defender для конечной точки, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.

• Дополнительные сведения о схеме событий XDR в Microsoft Defender см. в статье Обзор расширенной охоты.

Сопоставление типов данных

Чтобы получить типы данных для наших свойств событий, сделайте следующее:

1. Войдите в XDR в Microsoft Defender и перейдите в раздел Охота>расширенная охота. Чтобы перейти непосредственно на страницу Расширенная охота , используйте <security.microsoft.com/advanced-hunting>.

2. На вкладке Запрос выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Ниже приведен пример события Сведений об устройстве:

  

Мониторинг созданных ресурсов

Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Мониторинг назначений — Azure Monitor | Документация Майкрософт.

Статьи по теме

• Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

• Обзор расширенной охоты

• API потоковой передачи XDR в Microsoft Defender

• Потоковая передача событий XDR Microsoft Defender в учетную запись хранения Azure

• Документация по учетной записи хранения Azure