קביעת Microsoft Defender עבור נקודת קצה להזרמת אירועי ציד מתקדמים אל מרכזי האירועים של Azure

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור נקודת קצה

הערה

לקבלת חוויית זרימת הנתונים המלאה הזמינה, בקר Stream Microsoft Defender XDR אירועים | Microsoft Learn.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

לפני שתתחיל

1. צור מרכז אירועים בדייר שלך.

2. היכנס לדייר Azure שלך, עבור אל מנויים ספקי>>> המשאבים של המנוי שלךרשומים ל- Microsoft.insights.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הפוך זרימת נתונים גולמית לזמינה

1. היכנס לפורטל Microsoft Defender כמנהלאבטחה.

2. עבור אל הדף הגדרות ייצוא נתונים בפורטל Microsoft Defender שלך.

3. בחר הוסף הגדרות ייצוא נתונים.

4. בחר שם עבור ההגדרות החדשות.

5. בחר העבר אירועים לרכזות אירועים של Azure.

6. הקלד את השם של מרכזי האירועים ואת מזהה המשאב של רכזות האירועים שלך.

הערה

השארת השם של רכזות האירועים כריקות תיצור רכזת אירועים עבור כל קטגוריה מרחב השמות שנבחר. מרחבי השמות של רכזות האירועים מוגבלים ל- 10 רכזות אירועים אם אינך משתמש באשכול רכזות אירועים ייעודיות.

כדי לקבל את מזהה המשאב של רכזות האירועים, עבור אל דף מרחב השמות של Azure Event Hubs בכרטיסיה מאפיינים של Azure>>, העתק את הטקסט תחת מזהה משאב:

7. בחר את האירועים שברצונך להזרים ובחר שמור.

סכימת האירועים במרכזי האירועים של Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• כל הודעה ברכזת האירועים במרכזי האירועים של Azure מכילה רשימת רשומות.

• כל רשומה מכילה את שם האירוע, השעה Microsoft Defender עבור נקודת קצה האירוע, הדייר שבו היא שייכת (אתה מקבל אירועים מהדויר שלך בלבד) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".

• לקבלת מידע נוסף אודות הסכימה של Microsoft Defender עבור נקודת קצה, ראה מבט כולל על ציד מתקדם.

• ב'ציד מתקדם', הטבלה DeviceInfo כוללת עמודה בשם MachineGroup המכילה את קבוצת המכשיר. כאן, כל אירוע מעוצב גם בעמודה זו. לקבלת מידע נוסף, ראה קבוצות מכשירים.

  הערה

  יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני אירוע, בצע את הפעולות הבאות:

1. היכנס לפורטל Microsoft Defender ועבור לדף 'ציד מתקדם'.

2. הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• להלן דוגמה לאירוע פרטי מכשיר:

  

מאמרים קשורים

• Stream Microsoft Defender XDR אירועים | Microsoft Learn
• מבט כולל על ציד מתקדם
• Microsoft Defender עבור נקודת קצה API של הזרמה
• Stream Microsoft Defender עבור נקודת קצה אירועים לחשבון האחסון שלך ב- Azure
• תיעוד של Azure Event Hubs
• פתרון בעיות קישוריות - מרכזי אירועים של Azure

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.