שתף באמצעות

קביעת Microsoft Defender עבור נקודת קצה להזרים אירועי ציד מתקדמים לחשבון האחסון שלך

  • חל על: Microsoft Defender for Endpoint, Microsoft Defender for Endpoint Plan 1

הערה

לקבלת חוויית זרימת הנתונים המלאה הזמינה, בקר Stream Microsoft Defender XDR אירועים | Microsoft Learn.

לפני שתתחיל

  1. צור חשבון אחסון בדייר שלך.

  2. היכנס לדייר Azure שלך, עבור אל מנויים>> ספקי המשאבים של המנוישלך>רשומים ל- Microsoft.insights.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הפוך זרימת נתונים גולמית לזמינה

  1. היכנס לפורטל Microsoft Defender שלך.

  2. עבור לדף הגדרות ייצוא נתונים ב- Microsoft Defender XDR.

  3. בחר בהגדרות הוספת ייצוא נתונים.

  4. בחר שם עבור ההגדרות החדשות.

  5. בחר העבר אירועים כדי Azure אחסון.

  6. הקלד את מזהה המשאב של חשבון האחסון שלך. כדי לקבל את מזהה המשאב של חשבון האחסון שלך, עבור אל דף חשבון האחסון שלך בכרטיסיה מאפייני פורטל Azure>> העתק את הטקסט תחת מזהה משאב של חשבון אחסון:

    מרכזי האירועים עם מזהה משאב1

  7. בחר את האירועים שברצונך להזרים ובחר שמור.

סכימת האירועים בחשבון האחסון

  • גורם מכיל של Blob נוצר עבור כל סוג אירוע:

    מרכזי האירועים עם מזהה משאב2

  • הסכימה של כל שורה ב- blob היא ה- JSON הבא:

    {
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

  • כל Blob מכיל שורות מרובות.

  • כל שורה מכילה את שם האירוע, הזמן שבו Defender for Endpoint קיבל את האירוע, הדייר שהוא שייך לו (אתה מקבל אירועים מהדויר שלך בלבד) ואת האירוע בתבנית JSON propertiesבמאפיין בשם .

  • לקבלת מידע נוסף אודות הסכימה של Microsoft Defender עבור נקודת קצה, ראה מבט כולל על ציד מתקדם.

  • ב'ציד מתקדם', הטבלה DeviceInfo כוללת עמודה בשם MachineGroup המכילה את קבוצת המכשיר. כאן, כל אירוע מעוצב גם בעמודה זו. לקבלת מידע נוסף, ראה קבוצות מכשירים.

    הערה

    יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני האירועים שלנו, בצע את השלבים הבאים:

  1. היכנס לפורטל Microsoft Defender ועבור לדף 'ציד מתקדם'.

  2. הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

    {EventType}
| getschema
| project ColumnName, ColumnType

    להלן דוגמה לאירוע פרטי מכשיר:

    רכזות האירועים עם מזהה משאב3

עצה

האם ברצונך לקבל מידע נוסף? התחבר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת הטכנולוגיה של Microsoft Defender עבור נקודת קצה.

  • Last updated on