高度なハンティング イベントをストレージ アカウントにストリーミングするように Microsoft Defender XDR を構成する
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
開始する前に
テナントに ストレージ アカウント を作成します。
Azure テナントにログインし、[サブスクリプション] > [サブスクリプション] > [リソース プロバイダー] > [Microsoft.Insights に登録] に移動します。
共同作成者のアクセス許可を追加する
ストレージ アカウントが作成されたら、次の手順を実行する必要があります。
Microsoft Defender XDR に共同作成者としてログインするユーザーを定義します。
[ロールの割り当て] で[ストレージ アカウント >アクセス制御 (IAM)] > [追加と確認] に移動します。
生データ ストリーミングを有効にする
- 少なくともセキュリティ管理者として Microsoft Defender XDR にログインします。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
[設定>Microsoft Defender XDR>Streaming API] に移動します。 ストリーミング API ページに直接移動するには、https://security.microsoft.com/settings/mtp_settings/raw_data_exportを使用します。
[追加] を選択します。
表示される [ 新しいストリーミング API 設定の追加] ポップアップで、次の設定を構成します。
- [名前]: 新しい設定の名前を選択します。
- [ イベントを Azure Storage に転送する] を選択します。
Azure portal でストレージ アカウントの Azure Resource Manager リソース ID を表示するには、次の手順に従います。
Azure portal でストレージ アカウントに移動します。
[ 概要 ] ページの [ 要点 ] セクションで、[ JSON ビュー ] リンクを選択します。
ストレージ アカウントのリソース ID がページの上部に表示され、[ ストレージ アカウント リソース ID] のテキストをコピーします。
[ 新しいストリーミング API 設定の追加] ポップアップに戻り、ストリーミングする イベントの種類 を選択します。
完了したら、[送信] を選択します。
ストレージ アカウント内のイベントのスキーマ
BLOB コンテナーは、イベントの種類ごとに作成されます。
BLOB 内の各行のスキーマは、次の JSON です。
{ "time": "<The time Microsoft Defender XDR received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> } }
各 BLOB には複数の行が含まれています。
各行には、イベント名、Defender for Endpoint がイベントを受信した時刻、そのイベントが属するテナント (テナントからのみイベントを取得します)、"properties" というプロパティの JSON 形式のイベントが含まれます。
Microsoft Defender XDR イベントのスキーマの詳細については、「 Advanced Hunting の概要」を参照してください。
データ型のマッピング
イベント プロパティのデータ型を取得するには、次の操作を行います。
Microsoft Defender XDR にログインし、[ハンティング>Advanced ハンティング] に移動します。 [高度なハンティング] ページに直接移動するには、<security.microsoft.com/advanced-hunting>を使用します。
[ クエリ ] タブで、次のクエリを実行して、各イベントのデータ型マッピングを取得します。
{EventType} | getschema | project ColumnName, ColumnType
作成されたリソースの監視
ストリーミング API によって作成されたリソースは、 Azure Monitor を使用して監視できます。 詳細については、「 ターゲットの監視 - Azure Monitor |Microsoft Docs。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。