Konfigurace Microsoft Defenderu for Endpoint pro streamování událostí rozšířeného proaktivního vyhledávání do účtu úložiště

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint

Poznámka

Úplné možnosti streamování dat najdete na stránce Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Než začnete

1. Vytvořte ve svém tenantovi účet úložiště .

2. Přihlaste se ke svému tenantovi Azure, přejděte na Předplatná>Poskytovatelé> prostředkůvašeho předplatného>Zaregistrujte se do Microsoft.insights.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Povolení streamování nezpracovaných dat

1. Přihlaste se k portálu Microsoft Defender jako správce zabezpečení.

2. Přejděte na stránku nastavení exportu dat v Microsoft Defenderu XDR.

3. Vyberte Přidat nastavení exportu dat.

4. Zvolte název nového nastavení.

5. Zvolte Přeposlat události do Azure Storage.

6. Zadejte ID prostředku účtu úložiště. Pokud chcete získat ID prostředku účtu úložiště, přejděte na stránku účtu úložiště na kartě > Vlastností webu Azure Portal> a zkopírujte text v části ID prostředku účtu úložiště:

   

7. Zvolte události, které chcete streamovat, a vyberte Uložit.

Schéma událostí v účtu úložiště

• Pro každý typ události se vytvoří kontejner objektů blob:

  

• Schéma každého řádku v objektu blob je následující json:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Každý objekt blob obsahuje více řádků.

• Každý řádek obsahuje název události, čas, kdy Defender for Endpoint událost přijal, tenanta, do něhož patří (události získáváte pouze z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem properties.

• Další informace o schématu událostí Microsoft Defenderu for Endpoint najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

• V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde je každá událost ozdobena také tímto sloupcem. Další informace najdete v tématu Skupiny zařízení.

  Poznámka

  Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Mapování datových typů

Pokud chcete získat datové typy pro vlastnosti událostí, proveďte následující kroky:

1. Přihlaste se k portálu Microsoft Defender a přejděte na stránku Rozšířené proaktivní vyhledávání.

2. Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tady je příklad události Informace o zařízení:

   

Související články

• Streamování událostí XDR v programu Microsoft Defender | Microsoft Learn
• Přehled rozšířeného proaktivního vyhledávání
• Rozhraní API pro streamování microsoft defenderu pro koncové body
• Streamování událostí Microsoft Defenderu for Endpoint do účtu úložiště Azure
• Dokumentace k účtu služby Azure Storage

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.