Konfigurace Microsoft Defenderu for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do služby Azure Event Hubs
Platí pro:
Poznámka
Úplné možnosti streamování dat najdete na stránce Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn.
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Než začnete
Ve svém tenantovi vytvořte centrum událostí .
Přihlaste se ke svému tenantovi Azure, přejděte na Předplatná>Poskytovatelé> prostředkůvašeho předplatného>Zaregistrujte se do Microsoft.insights.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Povolení streamování nezpracovaných dat
Přihlaste se k portálu Microsoft Defender jako správce zabezpečení.
Na portálu Microsoft Defender přejděte na stránku Nastavení exportu dat .
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Předávat události do služby Azure Event Hubs.
Zadejte název služby Event Hubs a ID prostředku služby Event Hubs.
Poznámka
Pokud necháte název služby Event Hubs prázdný, vytvoří se centrum událostí pro každou kategorii ve vybraném oboru názvů. Pokud nepoužíváte vyhrazený cluster Event Hubs, mají obory názvů služby Event Hubs limit 10.
Pokud chcete získat ID prostředku služby Event Hubs, přejděte na stránku oboru názvů služby Azure Event Hubs na kartě > Vlastností Azure> a zkopírujte text v části ID prostředku:
- Zvolte události, které chcete streamovat, a vyberte Uložit.
Schéma událostí ve službě Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Každá zpráva centra událostí ve službě Azure Event Hubs obsahuje seznam záznamů.
Každý záznam obsahuje název události, čas, kdy Microsoft Defender for Endpoint událost přijal, tenanta, do něhož patří (události získáváte jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties".
Další informace o schématu událostí Microsoft Defenderu for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.
V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde je každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.
Poznámka
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Mapování datových typů
Datové typy pro vlastnosti událostí získáte takto:
Přihlaste se k portálu Microsoft Defender a přejděte na stránku Rozšířené proaktivní vyhledávání.
Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:
{EventType} | getschema | project ColumnName, ColumnType
Související články
- Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn
- Přehled rozšířeného proaktivního vyhledávání
- Rozhraní API pro streamování Microsoft Defenderu for Endpoint
- Streamování událostí Microsoft Defenderu for Endpoint do účtu úložiště Azure
- Dokumentace ke službě Azure Event Hubs
- Řešení potíží s připojením – Azure Event Hubs
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.