تكوين Microsoft Defender لنقطة النهاية لدفق أحداث التتبع المتقدمة إلى حساب التخزين الخاص بك

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• مشكلات الأداء في Microsoft Defender لنقطة النهاية

ملاحظة

للحصول على تجربة تدفق البيانات الكاملة المتوفرة، يرجى زيارة أحداث Stream Microsoft Defender XDR | Microsoft Learn.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

قبل البدء

1. إنشاء حساب تخزين في المستأجر الخاص بك.

2. سجل الدخول إلى مستأجر Azure، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

تمكين تدفق البيانات الأولية

1. سجل الدخول إلى مدخل Microsoft Defender كمسؤول أمان.

2. انتقل إلى صفحة إعدادات تصدير البيانات في Microsoft Defender XDR.

3. حدد إضافة إعدادات تصدير البيانات.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث إلى Azure Storage.

6. اكتب معرف مورد حساب التخزين الخاص بك. للحصول على معرف مورد حساب التخزين، انتقل إلى صفحة حساب التخزين على علامة تبويب > خصائص مدخل> Microsoft Azure، انسخ النص ضمن معرف مورد حساب التخزين:

   

7. اختر الأحداث التي تريد دفقها وحدد حفظ.

مخطط الأحداث في حساب التخزين

• يتم إنشاء حاوية كائن ثنائي كبير الحجم لكل نوع حدث:

  

• مخطط كل صف في كائن ثنائي كبير الحجم هو JSON التالي:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• يحتوي كل كائن ثنائي كبير الحجم على صفوف متعددة.

• يحتوي كل صف على اسم الحدث، والوقت الذي تلقى فيه Defender لنقطة النهاية الحدث، والمستأجر الذي ينتمي إليه (تحصل على الأحداث فقط من المستأجر الخاص بك)، والحدث بتنسيق JSON في خاصية تسمى properties.

• لمزيد من المعلومات حول مخطط أحداث Microsoft Defender لنقطة النهاية، راجع نظرة عامة على التتبع المتقدم.

• في التتبع المتقدم، يحتوي جدول DeviceInfo على عمود يسمى MachineGroup يحتوي على مجموعة الجهاز. هنا، يتم تزيين كل حدث بهذا العمود أيضا. لمزيد من المعلومات، راجع مجموعات الأجهزة.

  ملاحظة

  يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

تعيين أنواع البيانات

للحصول على أنواع البيانات لخصائص الأحداث الخاصة بنا، اتبع الخطوات التالية:

1. سجل الدخول إلى مدخل Microsoft Defender وانتقل إلى صفحة التتبع المتقدم.

2. قم بتشغيل الاستعلام التالي للحصول على تعيين أنواع البيانات لكل حدث:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   فيما يلي مثال لحدث معلومات الجهاز:

   

المقالات ذات الصلة

• دفق أحداث Microsoft Defender XDR | Microsoft Learn
• نظرة عامة على التتبع المتقدم
• Microsoft Defender لواجهة برمجة تطبيقات دفق نقطة النهاية
• دفق أحداث Microsoft Defender لنقطة النهاية إلى حساب تخزين Azure الخاص بك
• وثائق حساب تخزين Azure

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.