Konfigurace Microsoft Defenderu for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do účtu úložiště
Platí pro:
Poznámka
Úplné možnosti streamování dat najdete na stránce Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn.
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Než začnete
Vytvořte ve svém tenantovi účet úložiště .
Přihlaste se ke svému tenantovi Azure, přejděte na Předplatná>Poskytovatelé> prostředkůvašeho předplatného>Zaregistrujte se do Microsoft.insights.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Povolení streamování nezpracovaných dat
Přihlaste se k portálu Microsoft Defender jako správce zabezpečení.
Přejděte na stránku nastavení exportu dat v Microsoft Defenderu XDR.
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Přeposlat události do Azure Storage.
Zadejte ID prostředku účtu úložiště. Pokud chcete získat ID prostředku účtu úložiště, přejděte na stránku účtu úložiště na kartě > Vlastností webu Azure Portal> a zkopírujte text v části ID prostředku účtu úložiště:
Zvolte události, které chcete streamovat, a vyberte Uložit.
Schéma událostí v účtu úložiště
Pro každý typ události se vytvoří kontejner objektů blob:
Schéma každého řádku v objektu blob je následující json:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Každý objekt blob obsahuje více řádků.
Každý řádek obsahuje název události, čas, kdy Defender for Endpoint událost přijal, tenanta, do něhož patří (události získáváte pouze z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem
properties
.Další informace o schématu událostí Microsoft Defenderu for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.
V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde je každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.
Poznámka
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Mapování datových typů
Pokud chcete získat datové typy pro vlastnosti událostí, proveďte následující kroky:
Přihlaste se k portálu Microsoft Defender a přejděte na stránku Rozšířené proaktivní vyhledávání.
Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:
{EventType} | getschema | project ColumnName, ColumnType
Tady je příklad události Informace o zařízení:
Související články
- Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn
- Přehled rozšířeného proaktivního vyhledávání
- Rozhraní API pro streamování microsoft defenderu pro koncové body
- Streamování událostí Microsoft Defenderu for Endpoint do účtu úložiště Azure
- Dokumentace k účtu služby Azure Storage
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro