Configurar Microsoft Defender para punto de conexión para transmitir eventos de búsqueda avanzada a la Azure Event Hubs

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión

Nota:

Para obtener la experiencia de streaming de datos completa disponible, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Antes de empezar

1. Create un centro de eventos en el inquilino.

2. Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Los proveedores de recursos > de suscripción > se registran en Microsoft.insights.

Habilitación del streaming de datos sin procesar

1. Inicie sesión en el Microsoft Defender XDR como administrador global o administrador de seguridad.

2. Vaya a la página Configuración de exportación de datos en el portal de Microsoft Defender.

3. Haga clic en Agregar configuración de exportación de datos.

4. Elija un nombre para la nueva configuración.

5. Elija Reenviar eventos para Azure Event Hubs.

6. Escriba el nombre de Event Hubs y el identificador de recurso de Event Hubs.

Nota:

Si deja el nombre de Event Hubs como vacío, creará un centro de eventos para cada categoría del espacio de nombres seleccionado. Los espacios de nombres de Event Hubs tienen un límite de 10 Event Hubs si no usa un clúster de Event Hubs dedicado.

Para obtener el identificador de recurso de Event Hubs, vaya a la página Azure Event Hubs espacio de nombres de la pestaña > Propiedades de Azure> y copie el texto en Id. de recurso:

7. Elija los eventos que desea transmitir y haga clic en Guardar.

Esquema de los eventos de Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Cada mensaje del centro de eventos de Azure Event Hubs contiene una lista de registros.

• Cada registro contiene el nombre del evento, la hora Microsoft Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

• Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, vea Información general sobre la búsqueda avanzada.

• En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí todos los eventos también se decorarán con esta columna. Consulte Device Grupos para obtener más información.

  Nota:

  La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Asignación de tipos de datos

Para obtener los tipos de datos de las propiedades de evento, haga lo siguiente:

1. Inicie sesión para Microsoft Defender XDR y vaya a la página Búsqueda avanzada.

2. Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Este es un ejemplo del evento Device Info:

  

Temas relacionados

• eventos de Stream Microsoft Defender XDR | Microsoft Learn

• Introducción a la búsqueda avanzada

• MICROSOFT DEFENDER PARA PUNTO DE CONEXIÓN API de streaming

• Stream Microsoft Defender para punto de conexión eventos en la cuenta de Azure Storage

• documentación de Azure Event Hubs

• Solución de problemas de conectividad: Azure Event Hubs

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.