Share via


קביעת Microsoft Defender עבור נקודת קצה להזרמת אירועי ציד מתקדמים אל מרכזי האירועים של Azure

חל על:

הערה

לקבלת חוויית זרימת הנתונים המלאה הזמינה, בקר Stream Microsoft Defender XDR אירועים | Microsoft Learn.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

לפני שתתחיל

  1. Create מרכז אירועים בדייר שלך.

  2. היכנס לדייר Azure שלך, עבור אל מנויים ספקי >>> המשאבים של המנוי שלך רשומים ל- Microsoft.insights.

הפוך זרימת נתונים גולמית לזמינה

  1. היכנס לחשבון Microsoft Defender XDR כמנהל מערכת כלליאו כמנהל אבטחה.

  2. עבור אל הדף הגדרות ייצוא נתונים בפורטל Microsoft Defender שלך.

  3. לחץ על הוסף הגדרות ייצוא נתונים.

  4. בחר שם עבור ההגדרות החדשות.

  5. בחר העבר אירועים לרכזות אירועים של Azure.

  6. הקלד את השם של מרכזי האירועים ואת מזהה המשאב של רכזות האירועים שלך.

הערה

השארת השם של רכזות האירועים כריקות תיצור רכזת אירועים עבור כל קטגוריה מרחב השמות שנבחר. מרחבי השמות של רכזות האירועים מוגבלים ל- 10 רכזות אירועים אם אינך משתמש באשכול רכזות אירועים ייעודיות.

כדי לקבל את מזהה המשאב של רכזות האירועים, עבור אל דף מרחב השמות של Azure Event Hubs בכרטיסיה מאפיינים של Azure>>, העתק את הטקסט תחת מזהה משאב:

מזהה משאב מרכזי האירועים-1

  1. בחר את האירועים שברצונך להזרים ולחץ על שמור.

סכימת האירועים במרכזי האירועים של Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • כל הודעה ברכזת האירועים במרכזי האירועים של Azure מכילה רשימת רשומות.

  • כל רשומה מכילה את שם האירוע, השעה Microsoft Defender עבור נקודת קצה האירוע, הדייר שבו היא שייכת (תקבל רק אירועים מהדויר שלך) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".

  • לקבלת מידע נוסף אודות הסכימה של Microsoft Defender עבור נקודת קצה, ראה מבט כולל על ציד מתקדם.

  • ב'ציד מתקדם', הטבלה DeviceInfo כוללת עמודה בשם MachineGroup המכילה את קבוצת המכשיר. כאן כל אירוע יתוושט גם בעמודה זו. ראה הגדרות קבוצות לקבלת מידע נוסף.

    הערה

    יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני אירוע, בצע את הפעולות הבאות:

  1. היכנס לדף 'Microsoft Defender XDR' ועבור אל הדף 'ציד מתקדם'.

  2. הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • להלן דוגמה לאירוע פרטי מכשיר:

    מזהה משאב מרכזות האירועים-2

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.