Share via

Configurer Microsoft Defender pour point de terminaison pour diffuser en continu des événements de chasse avancée vers votre Azure Event Hubs

  • Article

S’applique à :

Remarque

Pour obtenir l’expérience de streaming de données complète disponible, visitez Stream Microsoft Defender XDR événements | Microsoft Learn.

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Avant de commencer

  1. Create un hub d’événements dans votre locataire.

  2. Connectez-vous à votre locataire Azure, accédez à Abonnements > Vos fournisseurs de > ressources d’abonnement > Inscrivez-vous à Microsoft.insights.

Activer la diffusion en continu de données brutes

  1. Connectez-vous au Microsoft Defender XDR en tant qu’administrateur général ou administrateur de la sécurité.

  2. Accédez à la page Paramètres d’exportation de données dans le portail Microsoft Defender.

  3. Cliquez sur Ajouter des paramètres d’exportation de données.

  4. Choisissez un nom pour vos nouveaux paramètres.

  5. Choisissez Transférer les événements à Azure Event Hubs.

  6. Tapez votre nom Event Hubs et votre ID de ressource Event Hubs.

Remarque

Laisser le nom event Hubs vide crée un hub d’événements pour chaque catégorie de l’espace de noms sélectionné. Les espaces de noms Event Hubs ont une limite de 10 Event Hubs si vous n’utilisez pas de cluster Event Hubs dédié.

Pour obtenir votre ID de ressource Event Hubs, accédez à votre page d’espace de noms Azure Event Hubs sous l’onglet > Propriétés Azure>, copiez le texte sous ID de ressource :

Id-1 de la ressource Event Hubs

  1. Choisissez les événements que vous souhaitez diffuser en continu, puis cliquez sur Enregistrer.

Schéma des événements dans Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

  • Chaque message event hub dans Azure Event Hubs contient une liste d’enregistrements.

  • Chaque enregistrement contient le nom de l’événement, l’heure à laquelle Microsoft Defender pour point de terminaison reçu l’événement, le locataire auquel il appartient (vous obtiendrez uniquement les événements de votre locataire) et l’événement au format JSON dans une propriété appelée « properties ».

  • Pour plus d’informations sur le schéma des événements Microsoft Defender pour point de terminaison, consultez Vue d’ensemble de la chasse avancée.

  • Dans Repérage avancé, la table DeviceInfo comporte une colonne nommée MachineGroup qui contient le groupe de l’appareil. Ici, chaque événement sera également décoré avec cette colonne. Pour plus d’informations, consultez Groupes d’appareil.

    Remarque

    La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Mappage des types de données

Pour obtenir les types de données des propriétés d’événement, procédez comme suit :

  1. Connectez-vous à Microsoft Defender XDR et accédez à la page Repérage avancé.

  2. Exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Voici un exemple pour l’événement Device Info :

    La ressource Event Hubs ID-2

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.