Configuración de Microsoft Defender para punto de conexión para transmitir eventos de búsqueda avanzada a la cuenta de almacenamiento
Se aplica a:
- .. /microsoft-defender-endpoint.md
- .. /microsoft-defender-endpoint.md
Nota:
Para obtener la experiencia de streaming de datos completa disponible, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Antes de empezar
Create una cuenta de almacenamiento en el inquilino.
Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Los proveedores de recursos > de suscripción > se registran en Microsoft.insights.
Habilitación del streaming de datos sin procesar
Inicie sesión en el portal de Microsoft Defender como administrador global o administrador de seguridad.
Vaya a la página Configuración de exportación de datos en Microsoft Defender XDR.
Seleccione Agregar configuración de exportación de datos.
Elija un nombre para la nueva configuración.
Elija Reenviar eventos a Azure Storage.
Escriba el identificador de recurso de la cuenta de almacenamiento. Para obtener el identificador de recurso de la cuenta de almacenamiento, vaya a la página Cuenta de almacenamiento en Azure Portal> pestaña > de propiedades copie el texto en Id. de recurso de la cuenta de almacenamiento:
Elija los eventos que desea transmitir y seleccione Guardar.
Esquema de los eventos de la cuenta de almacenamiento
Se crea un contenedor de blobs para cada tipo de evento:
El esquema de cada fila de un blob es el siguiente JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Cada blob contiene varias filas.
Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".
Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, vea Información general sobre la búsqueda avanzada.
En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí, cada evento también está decorado con esta columna. Para obtener más información, consulte Grupos de dispositivos.
Nota:
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Asignación de tipos de datos
Para obtener los tipos de datos de nuestras propiedades de eventos, haga lo siguiente:
Inicie sesión en Microsoft Defender XDR y vaya a la página Búsqueda avanzada.
Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:
{EventType} | getschema | project ColumnName, ColumnType
Artículos relacionados
API de streaming de Microsoft Defender para punto de conexión
Stream Microsoft Defender para punto de conexión eventos en la cuenta de Azure Storage
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta:Enviar y ver comentarios de