Määritä Microsoft Defender for Endpoint virtautettavaksi kehittyneen metsästyksen tapahtumat tallennustilillesi
Koskee seuraavia:
Huomautus
Saat kaikki saatavilla olevat tietojen suoratoistotoiminnot streamin Microsoft Defenderin XDR-tapahtumista | Microsoft Learn.
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Alkuvalmistelut
Luo tallennustili vuokraajassasi.
Kirjaudu sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>Resurssintarjoajien>rekisteröinti Microsoft.insightsiin.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Ota raakatietojen virtauttaminen käyttöön
Kirjaudu sisään Microsoft Defender -portaaliin suojauksen järjestelmänvalvojana.
Siirry Tietojen viennin asetukset -sivulle Microsoft Defender XDR:ssä.
Valitse Lisää tietojen vienti -asetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tallennukseen.
Kirjoita tallennustilisi resurssitunnus. Jos haluat saada tallennustilin resurssitunnuksen, siirry Azure-portaalin> ominaisuudet -välilehden > Tallennustilin tili -sivulle kopioimalla teksti kohdassa Tallennustilin resurssitunnus:
Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse Tallenna.
Tallennustilin tapahtumien rakenne
Kullekin tapahtumatyypille luodaan blob-säilö:
Blob-objektin kunkin rivin rakenne on seuraava JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Jokainen blob-objekti sisältää useita rivejä.
Jokainen rivi sisältää tapahtuman nimen, ajan, jolloin Defender for Endpoint vastaanotti tapahtuman, vuokraajan, jolle tapahtuma kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä
properties
.Lisätietoja Microsoft Defender for Endpoint -tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.
Lisämetsästyksessä DeviceInfo-taulukossa on sarake nimeltä MachineGroup , joka sisältää laitteen ryhmän. Tässä jokainen tapahtuma on koristeltu myös tällä sarakkeella. Lisätietoja on kohdassa Laiteryhmät.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Tietotyyppien yhdistäminen
Jos haluat saada tietotyypit tapahtumien ominaisuuksille, toimi seuraavasti:
Kirjaudu sisään Microsoft Defender -portaaliin ja siirry kehittyneen metsästyksen sivulle.
Suorita seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:
{EventType} | getschema | project ColumnName, ColumnType
Tässä on esimerkki laitetietojen tapahtumasta:
Aiheeseen liittyviä artikkeleita
- StreamIn Microsoft Defenderin XDR-tapahtumat | Microsoft Learn
- Kehittyneen metsästyksen yleiskatsaus
- Microsoft Defender for Endpoint Streaming -ohjelmointirajapinta
- Stream Microsoft Defender for Endpoint -tapahtumat Azure-tallennustilillesi
- Azure-tallennustilin dokumentaatio
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.