Määritä Microsoft Defender for Endpoint virtautettavaksi kehittyneen metsästyksen tapahtumat tallennustilillesi

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

Huomautus

Saat kaikki saatavilla olevat tietojen suoratoistotoiminnot streamin Microsoft Defenderin XDR-tapahtumista | Microsoft Learn.

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Alkuvalmistelut

1. Luo tallennustili vuokraajassasi.

2. Kirjaudu sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>Resurssintarjoajien>rekisteröinti Microsoft.insightsiin.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Ota raakatietojen virtauttaminen käyttöön

1. Kirjaudu sisään Microsoft Defender -portaaliin suojauksen järjestelmänvalvojana.

2. Siirry Tietojen viennin asetukset -sivulle Microsoft Defender XDR:ssä.

3. Valitse Lisää tietojen vienti -asetukset.

4. Valitse uusille asetuksille nimi.

5. Valitse Välitä tapahtumat Azure-tallennukseen.

6. Kirjoita tallennustilisi resurssitunnus. Jos haluat saada tallennustilin resurssitunnuksen, siirry Azure-portaalin> ominaisuudet -välilehden > Tallennustilin tili -sivulle kopioimalla teksti kohdassa Tallennustilin resurssitunnus:

   

7. Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse Tallenna.

Tallennustilin tapahtumien rakenne

• Kullekin tapahtumatyypille luodaan blob-säilö:

  

• Blob-objektin kunkin rivin rakenne on seuraava JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Jokainen blob-objekti sisältää useita rivejä.

• Jokainen rivi sisältää tapahtuman nimen, ajan, jolloin Defender for Endpoint vastaanotti tapahtuman, vuokraajan, jolle tapahtuma kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä properties.

• Lisätietoja Microsoft Defender for Endpoint -tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.

• Lisämetsästyksessä DeviceInfo-taulukossa on sarake nimeltä MachineGroup , joka sisältää laitteen ryhmän. Tässä jokainen tapahtuma on koristeltu myös tällä sarakkeella. Lisätietoja on kohdassa Laiteryhmät.

  Huomautus

  Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Tietotyyppien yhdistäminen

Jos haluat saada tietotyypit tapahtumien ominaisuuksille, toimi seuraavasti:

1. Kirjaudu sisään Microsoft Defender -portaaliin ja siirry kehittyneen metsästyksen sivulle.

2. Suorita seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Tässä on esimerkki laitetietojen tapahtumasta:

   

Aiheeseen liittyviä artikkeleita

• StreamIn Microsoft Defenderin XDR-tapahtumat | Microsoft Learn
• Kehittyneen metsästyksen yleiskatsaus
• Microsoft Defender for Endpoint Streaming -ohjelmointirajapinta
• Stream Microsoft Defender for Endpoint -tapahtumat Azure-tallennustilillesi
• Azure-tallennustilin dokumentaatio

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.