Konfigurer Microsoft Defender for Endpoint til at streame avancerede jagthændelser til dine Azure Event Hubs

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

Bemærk!

Hvis du vil have den fulde datastreamingoplevelse tilgængelig, skal du gå til Stream Microsoft Defender XDR-hændelser | Microsoft Learn.

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Før du begynder

1. Opret en hændelseshub i din lejer.

2. Log på din Azure-lejer, gå til Abonnementer>Dit abonnement>Ressourceudbydere>Tilmeld dig Microsoft.insights.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Aktivér rå datastreaming

1. Log på Microsoft Defender-portalen som sikkerhedsadministrator.

2. Gå til siden Indstillinger for dataeksport på Microsoft Defender-portalen.

3. Vælg Tilføj indstillinger for dataeksport.

4. Vælg et navn til de nye indstillinger.

5. Vælg Videresend hændelser til Azure Event Hubs.

6. Skriv navnet på din Event Hubs og dit Event Hubs-ressource-id.

Bemærk!

Hvis du lader Event Hubs-navnet være tomt, oprettes der en hændelseshub for hver kategori i det valgte navneområde. Event Hubs-navneområder har en grænse på 10 Event Hubs, hvis du ikke bruger en Dedicated Event Hubs Cluster.

Hvis du vil hente dit Event Hubs-ressource-id, skal du gå til navneområdet for Azure Event Hubs under fanen >Azure-egenskaber> og kopiere teksten under Ressource-id:

7. Vælg de hændelser, du vil streame, og vælg Gem.

Skemaet for hændelserne i Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Hver hændelseshubmeddelelse i Azure Event Hubs indeholder en liste over poster.

• Hver post indeholder hændelsesnavnet, det tidspunkt, hvor Microsoft Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

• Du kan finde flere oplysninger om skemaet for Microsoft Defender for Endpoint-hændelser under Oversigt over avanceret jagt.

• I Avanceret jagt har tabellen DeviceInfo en kolonne med navnet MachineGroup , som indeholder gruppen af enheden. Her er hver begivenhed også dekoreret med denne kolonne. Du kan få flere oplysninger under Enhedsgrupper.

  Bemærk!

  Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Tilknytning af datatyper

Benyt følgende fremgangsmåde for at hente datatyperne for hændelsesegenskaber:

1. Log på Microsoft Defender-portalen , og gå til siden Avanceret jagt.

2. Kør følgende forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Her er et eksempel på hændelsen Enhedsoplysninger:

  

Relaterede artikler

• Stream Microsoft Defender XDR-hændelser | Microsoft Learn
• Oversigt over avanceret jagt
• Microsoft Defender for Endpoint-streaming-API
• Stream Microsoft Defender for Endpoint-hændelser til din Azure Storage-konto
• Dokumentation til Azure Event Hubs
• Fejlfinding af forbindelsesproblemer – Azure Event Hubs

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.