从Defender调用Azure Blob存储文件for Endpoint高级搜索KQL

a8jjtwal  于 2022-11-25  发布在  其他
关注(0)|答案(1)|浏览(125)

我在Azure Blob存储中放置了一个CSV,我想从Microsoft Defender for Endpoint、Advanced Hunting KQL调用它...我生成了SAS令牌,我可以使用带有SAS令牌的完整URL从任何位置获取文件。但我如何从MDE KQL获取它...
这是我的尝试,显然,我修改了几个字母-

let testurls = 
externaldata (url:string) [
// URL to the file
@"https://blahblah01.blob.core.windows.net/indicators/testing123.csv"
// Secret token to the file
h"?sp=r&st=2022-11-07T19:46:22Z&se=2022-11-08T03:46:22Z&spr=https&sv=2021-06-08&sr=b&sig=rtblahblahblah" 
]
| project url;
testurls

但是

wget "https://blahblah01.blob.core.windows.net/indicators/testing123.csv?sp=r&st=2022-11-07T19:46:22Z&se=2022-11-08T03:46:22Z&spr=https&sv=2021-06-08&sr=b&sig=rtblahblahblah"

下载文件。
我做错什么了吗?
谢谢!!!
哦,哇,这是我得到的回应,谢谢你Yoni L.!

Error message
Access to persistent storage path 'https://blahblah01.blob.core.windows.net/indicators/testing123.csv' was denied

我试着模仿这个,也许这是不可能的。

ogq8wdun

ogq8wdun1#

上面的代码确实有效,我不得不让Azure管理员帮助锁定存储帐户和防火墙,然后我们将Microsoft公共IP地址添加到防火墙中。
感谢评论!

相关问题