將 Microsoft Defender 全面偵測回應 事件 Stream 到您的記憶體帳戶

適用於：

• Microsoft Defender XDR

開始之前

• 在您的租使用者中建立 記憶體帳戶 。
• 登入您的 Azure 租使用者，然後移至>訂用帳戶您的訂用帳戶>資源提供者>註冊至 Microsoft.Insights。

新增參與者許可權

建立記憶體帳戶之後，您必須定義以參與者身分登入的使用者。

1. 移至 [記憶體帳戶>訪問控制] ([IAM) ]，然後選取 [ 新增]。

2. 確認使用者列在 [角色指派] 下方。

啟用原始數據串流

1. 移至 Microsoft Defender 入口網站，並使用至少具有安全性系統管理員許可權的帳戶登入。

   重要事項

   Microsoft 建議您使用權限最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

2. 移至 [設定>Microsoft Defender 全面偵測回應>串流 API] 。 若要直接移至串 流 API 頁面， 請使用 https://security.microsoft.com/settings/mtp_settings/raw_data_export。

3. 選取 新增。

4. 在出現的 [ 新增串流 API 設定 ] 飛出視窗中，設定下列設定：

   • 名稱：選擇新設定的名稱。
   • 選 取 [將事件轉送至 Azure 記憶體]。

5. 若要在 Azure 入口網站 中顯示記憶體帳戶的 Azure Resource Manager 資源識別符，請遵循下列步驟：

   1. 流覽至 Azure 入口網站 中的記憶體帳戶。

   2. 在 [概觀] 頁面的 [Essentials] 區段中，選取 [JSON 檢視] 連結。

   3. 記憶體帳戶的資源識別碼會顯示在頁面頂端。 複製 [儲存體帳戶資源標識符] 底下的文字。

   4. 在 [ 新增串流 API 設定 ] 飛出視窗中，選擇您想要串流 的事件類型 。

   5. 當您完成時，選取 [提交]。

記憶體帳戶中事件的架構

• 系統會為每個事件類型建立一個 Blob 容器：

  

• Blob 中每個數據列的架構是下列 JSON：

  {
          "time": "<The time Microsoft Defender XDR received the event>"
          "tenantId": "<Your tenant ID>"
          "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
          "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
  }
  

• 每個 Blob 都包含多個數據列。

• 每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只會從您的租使用者) 取得事件，以及 JSON 格式的事件，其屬性稱為 “properties”。

• 如需 Microsoft Defender 全面偵測回應 事件架構的詳細資訊，請參閱進階搜捕概觀。

數據類型對應

若要取得事件屬性的數據類型，請遵循下列步驟：

1. 移至 Microsoft Defender 入口網站並登入。

2. 移至 搜捕>進階搜捕。 若要直接移至進 階搜捕 頁面，請使用 https://security.microsoft.com/advanced-hunting。

3. 在 [ 查詢] 索引 標籤上，執行下列查詢以取得每個事件的數據類型對應：

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   以下是裝置資訊事件的範例：

   

監視建立的資源

您可以使用 Azure 監視器來監視串流 API 所建立的資源。 如需詳細資訊，請 參閱監視目的地 - Azure 監視器。

相關文章

• 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn
• 進階搜捕概觀
• Microsoft Defender 全面偵測回應 串流 API
• Stream Microsoft Defender 全面偵測回應 事件至您的 Azure 記憶體帳戶
• Azure 記憶體帳戶檔