Konfigurace Microsoft Defender for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do účtu úložiště

Poznámka

Pokud chcete získat úplné možnosti streamování dat, navštivte prosím Stream Microsoft Defender XDR události | Microsoft Learn.

Než začnete

1. Vytvořte ve svém tenantovi účet úložiště .

2. Přihlaste se ke svému tenantovi Azure a přejděte na Předplatná>Vaše předplatné>Poskytovatelé> prostředkůZaregistrujte se do Microsoft.insights.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Povolení streamování nezpracovaných dat

1. Přihlaste se k portálu Microsoft Defender.

2. Přejděte na stránku nastavení exportu dat v Microsoft Defender XDR.

3. Vyberte Přidat nastavení exportu dat.

4. Zvolte název nového nastavení.

5. Zvolte Přeposlat události Azure Storage.

6. Zadejte ID prostředku účtu úložiště. Pokud chcete získat ID prostředku účtu úložiště, přejděte na stránku účtu úložiště na kartě >vlastností Azure Portal> zkopírujte text v části ID prostředku účtu úložiště:

   

7. Zvolte události, které chcete streamovat, a vyberte Uložit.

Schéma událostí v účtu úložiště

• Pro každý typ události se vytvoří kontejner objektů blob:

  

• Schéma každého řádku v objektu blob je následující json:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Každý objekt blob obsahuje více řádků.

• Každý řádek obsahuje název události, čas, kdy Defender for Endpoint událost přijal, tenanta, do něhož patří (události získáváte pouze z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem properties.

• Další informace o schématu událostí Microsoft Defender for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

• V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde je každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.

  Poznámka

  Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Mapování datových typů

Pokud chcete získat datové typy pro vlastnosti událostí, proveďte následující kroky:

1. Přihlaste se k portálu Microsoft Defender a přejděte na stránku Rozšířené proaktivní vyhledávání.

2. Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tady je příklad události Informace o zařízení:

   

Související články

• Stream Microsoft Defender XDR události | Microsoft Learn
• Přehled rozšířeného proaktivního vyhledávání
• rozhraní API pro streamování Microsoft Defender for Endpoint
• Stream Microsoft Defender for Endpoint událostí do účtu úložiště Azure
• Dokumentace k účtu úložiště Azure

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender pro koncové body.