Konfigurer Microsoft Defender for Endpoint til at streame avancerede jagthændelser til din lagerkonto

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

Bemærk!

Hvis du vil have den fulde datastreamingoplevelse tilgængelig, skal du gå til Stream Microsoft Defender XDR-hændelser | Microsoft Learn.

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Før du begynder

1. Opret en lagerkonto i din lejer.

2. Log på din Azure-lejer, gå til Abonnementer>Dit abonnement>Ressourceudbydere>Tilmeld dig Microsoft.insights.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Aktivér rå datastreaming

1. Log på Microsoft Defender-portalen som sikkerhedsadministrator.

2. Gå til siden Indstillinger for dataeksport i Microsoft Defender XDR.

3. Vælg indstillinger for Tilføj dataeksport.

4. Vælg et navn til de nye indstillinger.

5. Vælg Videresend hændelser til Azure Storage.

6. Skriv ressource-id'et for din lagerkonto. Hvis du vil hente ressource-id'et for din lagerkonto, skal du gå til siden Lagerkonto under fanen Egenskaber for >Azure Portal> og kopiere teksten under Ressource-id for lagerkonto:

   

7. Vælg de hændelser, du vil streame, og vælg Gem.

Skemaet for hændelserne på lagerkontoen

• Der oprettes en blobobjektbeholder for hver hændelsestype:

  

• Skemaet for hver række i en blob er følgende JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Hver blob indeholder flere rækker.

• Hver række indeholder hændelsesnavnet, det klokkeslæt, hvor Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab, der kaldes properties.

• Du kan finde flere oplysninger om skemaet for Microsoft Defender for Endpoint-hændelser under Oversigt over avanceret jagt.

• I Avanceret jagt har tabellen DeviceInfo en kolonne med navnet MachineGroup , som indeholder gruppen af enheden. Her er hver begivenhed også dekoreret med denne kolonne. Du kan få flere oplysninger under Enhedsgrupper.

  Bemærk!

  Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Tilknytning af datatyper

Hvis du vil hente datatyperne for vores hændelsesegenskaber, skal du benytte følgende fremgangsmåde:

1. Log på Microsoft Defender-portalen , og gå til siden Avanceret jagt.

2. Kør følgende forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Her er et eksempel på hændelsen Enhedsoplysninger:

   

Relaterede artikler

• Stream Microsoft Defender XDR-hændelser | Microsoft Learn
• Oversigt over avanceret jagt
• Microsoft Defender for Endpoint Streaming API
• Stream Microsoft Defender for Endpoint-hændelser til din Azure Storage-konto
• Dokumentation til Azure Storage-konto

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.