Configuración de Microsoft Defender para punto de conexión para transmitir eventos de búsqueda avanzada a la cuenta de almacenamiento

Se aplica a:

• .. /microsoft-defender-endpoint.md
• .. /microsoft-defender-endpoint.md

Nota:

Para obtener la experiencia de streaming de datos completa disponible, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Antes de empezar

1. Create una cuenta de almacenamiento en el inquilino.

2. Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Los proveedores de recursos > de suscripción > se registran en Microsoft.insights.

Habilitación del streaming de datos sin procesar

1. Inicie sesión en el portal de Microsoft Defender como administrador global o administrador de seguridad.

2. Vaya a la página Configuración de exportación de datos en Microsoft Defender XDR.

3. Seleccione Agregar configuración de exportación de datos.

4. Elija un nombre para la nueva configuración.

5. Elija Reenviar eventos a Azure Storage.

6. Escriba el identificador de recurso de la cuenta de almacenamiento. Para obtener el identificador de recurso de la cuenta de almacenamiento, vaya a la página Cuenta de almacenamiento en Azure Portal> pestaña > de propiedades copie el texto en Id. de recurso de la cuenta de almacenamiento:

   

7. Elija los eventos que desea transmitir y seleccione Guardar.

Esquema de los eventos de la cuenta de almacenamiento

• Se crea un contenedor de blobs para cada tipo de evento:

  

• El esquema de cada fila de un blob es el siguiente JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Cada blob contiene varias filas.

• Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

• Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, vea Información general sobre la búsqueda avanzada.

• En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí, cada evento también está decorado con esta columna. Para obtener más información, consulte Grupos de dispositivos.

  Nota:

  La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Asignación de tipos de datos

Para obtener los tipos de datos de nuestras propiedades de eventos, haga lo siguiente:

1. Inicie sesión en Microsoft Defender XDR y vaya a la página Búsqueda avanzada.

2. Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Este es un ejemplo del evento Device Info:

  

Artículos relacionados

• eventos de Stream Microsoft Defender XDR | Microsoft Learn

• Introducción a la búsqueda avanzada

• API de streaming de Microsoft Defender para punto de conexión

• Stream Microsoft Defender para punto de conexión eventos en la cuenta de Azure Storage

• Documentación de la cuenta de Azure Storage

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.