Konfigurace Microsoft Defender for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do Azure Event Hubs

Platí pro:

Poznámka

Pokud chcete získat úplné možnosti streamování dat, navštivte prosím Stream Microsoft Defender XDR události | Microsoft Learn.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Než začnete

  1. Create centrum událostí ve vašem tenantovi.

  2. Přihlaste se ke svému tenantovi Azure, přejděte na Předplatná > Vaše předplatné > Poskytovatelé > prostředků Zaregistrujte se do Microsoft.insights.

Povolení streamování nezpracovaných dat

  1. Přihlaste se k Microsoft Defender XDR jako globální správce nebo správce zabezpečení.

  2. Na portálu Microsoft Defender přejděte na stránku Nastavení exportu dat.

  3. Klikněte na Přidat nastavení exportu dat.

  4. Zvolte název nového nastavení.

  5. Zvolte Přeposlat události k Azure Event Hubs.

  6. Zadejte název služby Event Hubs a ID prostředku služby Event Hubs.

Poznámka

Pokud necháte název služby Event Hubs prázdný, vytvoří se centrum událostí pro každou kategorii ve vybraném oboru názvů. Pokud nepoužíváte vyhrazený cluster Event Hubs, mají obory názvů služby Event Hubs limit 10.

Pokud chcete získat ID prostředku služby Event Hubs, přejděte na stránku oboru názvů Azure Event Hubs na kartě > Vlastností Azure> a zkopírujte text v části ID prostředku:

Id prostředku služby Event Hubs 1

  1. Zvolte události, které chcete streamovat, a klikněte na Uložit.

Schéma událostí v Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Každá zpráva centra událostí v Azure Event Hubs obsahuje seznam záznamů.

  • Každý záznam obsahuje název události, čas, kdy Microsoft Defender for Endpoint událost obdrželi, tenanta, do něhož patří (události dostanete jenom z tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties".

  • Další informace o schématu událostí Microsoft Defender for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

  • V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde bude každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.

    Poznámka

    Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Mapování datových typů

Datové typy pro vlastnosti událostí získáte takto:

  1. Přihlaste se k Microsoft Defender XDR a přejděte na stránku Rozšířené proaktivní vyhledávání.

  2. Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Tady je příklad události Informace o zařízení:

    ID prostředku služby Event Hubs 2

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.