Megosztás a következőn keresztül:

A Végponthoz készült Microsoft Defender konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubsba

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

A teljes adatstreamelési élményért tekintse meg a Microsoft Defender XDR-események streamelése | Microsoft Learn.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az első lépések

  1. Hozzon létre egy eseményközpontot a bérlőben.

  2. Jelentkezzen be az Azure-bérlőbe, és lépjen az Előfizetések>Az előfizetés>erőforrás-szolgáltatói>regisztráljon a Microsoft.insights webhelyen területre.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Nyers adatstreamelés engedélyezése

  1. Jelentkezzen be a Microsoft Defender portálrabiztonsági rendszergazdaként.

  2. Lépjen a Microsoft Defender portál Adatexportálási beállítások lapjára .

  3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

  4. Válasszon nevet az új beállításoknak.

  5. Válassza az Események továbbítása az Azure Event Hubsba lehetőséget.

  6. Írja be az Event Hubs nevét és az Event Hubs erőforrás-azonosítóját.

Megjegyzés:

Ha az Event Hubs nevét üresen hagyja, a kiválasztott névtér minden kategóriájához létrehoz egy eseményközpontot. Az Event Hubs-névterek korlátja 10 Event Hubs, ha nem dedikált Event Hubs-fürtöt használ.

Az Event Hubs erőforrás-azonosítójának lekéréséhez lépjen az Azure Event Hubs-névtér oldalára az Azure Properties ( Azure-tulajdonságok> ) lapon > másolja ki az Erőforrás-azonosító alatti szöveget:

Az Event Hubs-erőforrás azonosítója–1

  1. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

Az Azure Event Hubs eseményséma

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

  • Az Azure Event Hubs minden eseményközpont-üzenete tartalmazza a rekordok listáját.

  • Minden rekord tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Microsoft Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől kap eseményeket), valamint az eseményToválás JSON formátumban egy "properties" nevű tulajdonságban.

  • A Végponthoz készült Microsoft Defender-események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

  • A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítenek. További információ: Eszközcsoportok.

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:

  1. Jelentkezzen be a Microsoft Defender portálra , és lépjen a Speciális veszélyforrás-keresés oldalra.

  2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Íme egy példa az Eszközadatok eseményre:

    Az Event Hubs 2- erőforrásazonosítója

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.