קביעת התצורה של Microsoft Defender עבור נקודת קצה כדי להזרים אירועי ציד מתקדמים אל מרכזי האירועים של Azure

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור נקודת קצה

הערה

לקבלת חוויית זרימת הנתונים המלאה הזמינה, בקר ב- Stream Microsoft Defender XDR Events | Microsoft Learn.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

לפני שתתחיל

1. צור מרכז אירועים בדייר שלך.

2. היכנס לדייר Azure שלך, עבור אל מנויים ספקי>>> המשאבים של המנוי שלךרשומים ל- Microsoft.insights.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הפוך זרימת נתונים גולמית לזמינה

1. היכנס לפורטל Microsoft Defender כמנהל אבטחה.

2. עבור לדף הגדרות ייצוא נתונים בפורטל Microsoft Defender.

3. בחר הוסף הגדרות ייצוא נתונים.

4. בחר שם עבור ההגדרות החדשות.

5. בחר העבר אירועים לרכזות אירועים של Azure.

6. הקלד את השם של מרכזי האירועים ואת מזהה המשאב של רכזות האירועים שלך.

הערה

השארת השם של רכזות האירועים כריקות תיצור רכזת אירועים עבור כל קטגוריה מרחב השמות שנבחר. מרחבי השמות של רכזות האירועים מוגבלים ל- 10 רכזות אירועים אם אינך משתמש באשכול רכזות אירועים ייעודיות.

כדי לקבל את מזהה המשאב של רכזות האירועים, עבור אל דף מרחב השמות של Azure Event Hubs בכרטיסיה מאפיינים של Azure>>, העתק את הטקסט תחת מזהה משאב:

7. בחר את האירועים שברצונך להזרים ובחר שמור.

סכימת האירועים במרכזי האירועים של Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• כל הודעה ברכזת האירועים במרכזי האירועים של Azure מכילה רשימת רשומות.

• כל רשומה מכילה את שם האירוע, השעה שבה Microsoft Defender for Endpoint קיבל את האירוע, הדייר שהוא שייך לו (אתה מקבל רק אירועים מהדויר שלך) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".

• לקבלת מידע נוסף אודות הסכימה של אירועי נקודת קצה של Microsoft Defender עבור, ראה מבט כולל על ציד מתקדם.

• ב'ציד מתקדם', הטבלה DeviceInfo כוללת עמודה בשם MachineGroup המכילה את קבוצת המכשיר. כאן, כל אירוע מעוצב גם בעמודה זו. לקבלת מידע נוסף, ראה קבוצות מכשירים.

  הערה

  יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני אירוע, בצע את הפעולות הבאות:

1. היכנס לפורטל Microsoft Defender ועבור לדף 'ציד מתקדם'.

2. הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• להלן דוגמה לאירוע פרטי מכשיר:

  

מאמרים קשורים

• הזרמת אירועי XDR של Microsoft Defender | Microsoft Learn
• מבט כולל על ציד מתקדם
• Microsoft Defender for Endpoint streaming API
• הזרמת אירועי Microsoft Defender עבור נקודת קצה לחשבון האחסון שלך ב- Azure
• תיעוד של Azure Event Hubs
• פתרון בעיות קישוריות - מרכזי אירועים של Azure

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.