適用於:
注意事項
試試我們使用 MS Graph 安全 API 的新 API。 欲了解更多,請見: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
開始之前
新增貢獻者權限
儲存帳號建立後,你需要將登入的使用者定義為貢獻者。
進入IAM) (儲存帳號>存取控制,然後選擇新增。
確認使用者是否列在 角色分配中。
啟用原始資料串流
注意事項
使用串流 API 到Azure儲存帳號時,請確保儲存帳號設定中啟用該選項Allow trusted Microsoft services to access this storage account,允許從適用於端點的 Microsoft Defender串流資料。
請進入 Microsoft Defender 入口網站,並使用至少具備安全管理員權限的帳號登入。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低權限的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
前往設定>Microsoft Defender 全面偵測回應>串流 API。 要直接進入 串流 API 頁面,請使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export。
選取 新增。
在出現的 新增串流 API 設定 飛燈中,請設定以下設定:
- 名稱:為你的新設定選擇一個名稱。
- 選擇將事件轉發到 Azure 儲存。
要在Azure 入口網站中顯示儲存帳號的Azure Resource Manager資源 ID,請依照以下步驟操作:
在 Azure 入口網站中導航到你的儲存帳戶。
在 概覽 頁面的 Essentials 區塊,選擇 JSON View 連結。
儲存帳號的資源 ID 會顯示在頁面頂端。 複製儲存 帳戶資源 ID 下的文字。
在新增串流 API 設定 的視窗中,選擇你想要串流的 事件類型 。
當您完成時,選取 [提交]。
儲存帳號中事件的結構
每個事件類型都會建立一個 blob 容器:
blob 中每一列的結構架構如下:
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }每個 blob 包含多列。
每一列都包含事件名稱、Defender for Endpoint 收到事件的時間、所屬租戶 (你只能從租戶) 取得事件,以及以 JSON 格式呈現的事件,並以一個名為「properties」的屬性呈現事件。
欲了解更多關於 Microsoft Defender 全面偵測回應事件架構的資訊,請參閱進階狩獵總覽。
資料型態映射
要取得事件屬性的資料型態,請依照以下步驟操作:
請前往 Microsoft Defender 入口網站並登入。
請前往 狩獵進>階狩獵。 要直接進入 進階狩獵 頁面,請使用 https://security.microsoft.com/advanced-hunting。
在 查詢 標籤中,執行以下查詢以取得每個事件的資料型態映射:
{EventType} | getschema | project ColumnName, ColumnType這裡有一個裝置資訊事件的範例:
監控已建立的資源
你可以使用 Azure Monitor 監控串流 API 所建立的資源。 欲了解更多資訊,請參閱「監控目的地 - Azure Monitor」。
相關文章
- 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn
- 高級狩獵概述
- Microsoft Defender 全面偵測回應串流 API
- Stream Microsoft Defender 全面偵測回應事件到你的Azure儲存帳戶
- Azure Storage Account documentation
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。