Konfigurace Microsoft Defenderu for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do služby Azure Event Hubs

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint

Poznámka

Úplné možnosti streamování dat najdete na stránce Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Než začnete

1. Ve svém tenantovi vytvořte centrum událostí .

2. Přihlaste se ke svému tenantovi Azure, přejděte na Předplatná>Poskytovatelé> prostředkůvašeho předplatného>Zaregistrujte se do Microsoft.insights.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Povolení streamování nezpracovaných dat

1. Přihlaste se k portálu Microsoft Defender jako správce zabezpečení.

2. Na portálu Microsoft Defender přejděte na stránku Nastavení exportu dat .

3. Vyberte Přidat nastavení exportu dat.

4. Zvolte název nového nastavení.

5. Zvolte Předávat události do služby Azure Event Hubs.

6. Zadejte název služby Event Hubs a ID prostředku služby Event Hubs.

Poznámka

Pokud necháte název služby Event Hubs prázdný, vytvoří se centrum událostí pro každou kategorii ve vybraném oboru názvů. Pokud nepoužíváte vyhrazený cluster Event Hubs, mají obory názvů služby Event Hubs limit 10.

Pokud chcete získat ID prostředku služby Event Hubs, přejděte na stránku oboru názvů služby Azure Event Hubs na kartě > Vlastností Azure> a zkopírujte text v části ID prostředku:

7. Zvolte události, které chcete streamovat, a vyberte Uložit.

Schéma událostí ve službě Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Každá zpráva centra událostí ve službě Azure Event Hubs obsahuje seznam záznamů.

• Každý záznam obsahuje název události, čas, kdy Microsoft Defender for Endpoint událost přijal, tenanta, do něhož patří (události získáváte jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties".

• Další informace o schématu událostí Microsoft Defenderu for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

• V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde je každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.

  Poznámka

  Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Mapování datových typů

Datové typy pro vlastnosti událostí získáte takto:

1. Přihlaste se k portálu Microsoft Defender a přejděte na stránku Rozšířené proaktivní vyhledávání.

2. Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Tady je příklad události Informace o zařízení:

  

Související články

• Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn
• Přehled rozšířeného proaktivního vyhledávání
• Rozhraní API pro streamování Microsoft Defenderu for Endpoint
• Streamování událostí Microsoft Defenderu for Endpoint do účtu úložiště Azure
• Dokumentace ke službě Azure Event Hubs
• Řešení potíží s připojením – Azure Event Hubs

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.