tapahtumien Stream Microsoft Defender XDR tallennustilillesi

Koskee seuraavia:

• Microsoft Defender XDR

Alkuvalmistelut

• Luo tallennustili vuokraajassasi.
• Kirjaudu sisään Azure vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>resurssipalveluntarjoajien>rekisteröinti Microsoft.Insightsiin.

Osallistujan käyttöoikeuksien lisääminen

Kun tallennustili on luotu, sinun on määritettävä osallistujana kirjautuva käyttäjä.

1. Siirry kohtaan Tallennustilin>käyttöoikeuksien valvonta (IAM) ja valitse sitten Lisää.

2. Varmista, että käyttäjä on roolimääritysten kohdassa.

Ota raakatietojen virtauttaminen käyttöön

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään tilillä, jolla on vähintään suojauksen järjestelmänvalvojan oikeudet.

2. Valitse Asetukset>Microsoft Defender XDR>Virtautettava ohjelmointirajapinta. Jos haluat siirtyä suoraan suoratoiston ohjelmointirajapintasivulle , käytä -parametria https://security.microsoft.com/settings/mtp_settings/raw_data_export.

3. Valitse Lisää.

4. Määritä avautuvassa Lisää uusi suoratoiston ohjelmointirajapinnan asetukset -pikaikkunassa seuraavat asetukset:

   • Nimi: Valitse nimi uusille asetuksille.
   • Valitse Lähetä tapahtumat edelleen tallennustilan Azure.

5. Voit näyttää tallennustilin Azure Resource Manager resurssitunnuksen Azure-portaali seuraavasti:

   1. Siirry tallennustiliisi Azure-portaali.

   2. Valitse Yleiskatsaus-sivunPerusasiat-osiossaJSON-näkymälinkki .

   3. Tallennustilin resurssitunnus näkyy sivun yläreunassa. Kopioi teksti kohdassa Tallennustilin resurssitunnus.

   4. Valitse Lisää uusi suoratoiston ohjelmointirajapinnan asetukset -pikaikkunassa tapahtumatyypit , jotka haluat suoratoistaa.

   5. Kun olet valmis, valitse Lähetä.

Tallennustilin tapahtumien rakenne

• Kullekin tapahtumatyypille luodaan blob-säilö:

  

• Blob-objektin kunkin rivin rakenne on seuraava JSON:

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• Jokainen blob-objekti sisältää useita rivejä.

• Jokainen rivi sisältää tapahtuman nimen, ajan, jolloin Defender for Endpoint vastaanotti tapahtuman, vuokraajan, jolle se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä "ominaisuudet".

• Lisätietoja Microsoft Defender XDR tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.

Tietotyyppien yhdistäminen

Voit hakea tapahtumien ominaisuuksien tietotyypit seuraavasti:

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

2. Mene metsästykseen>Kehittyneeseen metsästykseen. Jos haluat siirtyä suoraan kehittyneen metsästyksen sivulle, käytä .https://security.microsoft.com/advanced-hunting

3. Suorita Kysely-välilehdessä seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tässä on esimerkki laitetietojen tapahtumasta:

   

Luotujen resurssien valvonta

Voit valvoa suoratoiston ohjelmointirajapinnan luomia resursseja Azure Monitorin avulla. Lisätietoja on artikkelissa Näyttökohteet – Azure Näyttö.

Aiheeseen liittyviä artikkeleita

• Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
• Kehittyneen metsästyksen yleiskatsaus
• Microsoft Defender XDR suoratoiston ohjelmointirajapinta
• Azure-tallennustilisi tapahtumien Stream Microsoft Defender XDR
• Azure tallennustilin dokumentaatio