تكوين Microsoft Defender لنقطة النهاية لدفق أحداث التتبع المتقدمة إلى مراكز أحداث Azure

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• مشكلات الأداء في Microsoft Defender لنقطة النهاية

ملاحظة

للحصول على تجربة تدفق البيانات الكاملة المتوفرة، يرجى زيارة أحداث Stream Microsoft Defender XDR | Microsoft Learn.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

قبل البدء

1. إنشاء مركز أحداث في المستأجر الخاص بك.

2. سجل الدخول إلى مستأجر Azure، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

تمكين تدفق البيانات الأولية

1. سجل الدخول إلى مدخل Microsoft Defenderكمسؤول أمان.

2. انتقل إلى صفحة إعدادات تصدير البيانات في مدخل Microsoft Defender.

3. حدد Add data export settings.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث إلى Azure Event Hubs.

6. اكتب اسم مراكز الأحداثومعرف مورد مراكز الأحداث.

ملاحظة

سيؤدي ترك اسم مراكز الأحداث على أنه فارغ إلى إنشاء مركز أحداث لكل فئة في مساحة الاسم المحددة. تحتوي مساحات أسماء مراكز الأحداث على حد 10 مراكز أحداث إذا كنت لا تستخدم نظام مجموعة مراكز الأحداث المخصصة.

للحصول على معرف مورد مراكز الأحداث، انتقل إلى صفحة مساحة اسم Azure Event Hubs في علامة تبويب > خصائص Azure> انسخ النص ضمن معرف المورد:

7. اختر الأحداث التي تريد دفقها وحدد حفظ.

مخطط الأحداث في Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• تحتوي كل رسالة مركز أحداث في Azure Event Hubs على قائمة بالسجلات.

• يحتوي كل سجل على اسم الحدث، والوقت الذي تلقى فيه Microsoft Defender لنقطة النهاية الحدث، والمستأجر الذي ينتمي إليه (تحصل فقط على الأحداث من المستأجر)، والحدث بتنسيق JSON في خاصية تسمى "خصائص".

• لمزيد من المعلومات حول مخطط أحداث Microsoft Defender لنقطة النهاية، راجع نظرة عامة على التتبع المتقدم.

• في التتبع المتقدم، يحتوي جدول DeviceInfo على عمود يسمى MachineGroup يحتوي على مجموعة الجهاز. هنا، يتم تزيين كل حدث بهذا العمود أيضا. لمزيد من المعلومات، راجع مجموعات الأجهزة.

  ملاحظة

  يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

تعيين أنواع البيانات

للحصول على أنواع البيانات لخصائص الحدث، قم بما يلي:

1. سجل الدخول إلى مدخل Microsoft Defender وانتقل إلى صفحة التتبع المتقدم.

2. قم بتشغيل الاستعلام التالي للحصول على تعيين أنواع البيانات لكل حدث:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• فيما يلي مثال لحدث معلومات الجهاز:

  

المقالات ذات الصلة

• دفق أحداث Microsoft Defender XDR | Microsoft Learn
• نظرة عامة على التتبع المتقدم
• واجهة برمجة تطبيقات تدفق Microsoft Defender لنقطة النهاية
• دفق أحداث Microsoft Defender لنقطة النهاية إلى حساب تخزين Azure الخاص بك
• وثائق Azure Event Hubs
• استكشاف مشكلات الاتصال وإصلاحها - مراكز أحداث Azure

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.