Konfigurálja a Végponthoz készült Microsoft Defender a Speciális veszélyforrás-keresés eseményeinek streameléséhez a Azure Event Hubs
Érintett szolgáltatás:
Megjegyzés:
A teljes adatstreamelési élményért látogasson el Stream Microsoft Defender XDR eseményekre | Microsoft Learn.
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Az első lépések
Létrehozás egy eseményközpontot a bérlőben.
Jelentkezzen be az Azure-bérlőbe, majd lépjen az Előfizetések > Az előfizetés > erőforrás-szolgáltatói > Regisztráljon a Microsoft.insights szolgáltatásba.
Nyers adatstreamelés engedélyezése
Jelentkezzen be a Microsoft Defender XDRglobális rendszergazdaként vagy biztonsági rendszergazdaként.
Lépjen az Adatexportálási beállítások lapra a Microsoft Defender portálon.
Kattintson az Adatexportálási beállítások hozzáadása elemre.
Válasszon nevet az új beállításoknak.
Válassza az Események továbbítása Azure Event Hubs lehetőséget.
Írja be az Event Hubs nevét és az Event Hubs erőforrás-azonosítóját.
Megjegyzés:
Ha az Event Hubs nevét üresen hagyja, a kiválasztott névtér minden kategóriájához létrehoz egy eseményközpontot. Az Event Hubs-névterek korlátja 10 Event Hubs, ha nem dedikált Event Hubs-fürtöt használ.
Az Event Hubs erőforrás-azonosítójának lekéréséhez lépjen az Azure> tulajdonságok lapjának Azure Event Hubs névtérlapjára>, másolja ki az Erőforrás-azonosító alatti szöveget:
- Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.
A Azure Event Hubs eseményséma
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
A Azure Event Hubs minden eseményközpont-üzenete tartalmazza a rekordok listáját.
Minden rekord tartalmazza az esemény nevét, az esemény Végponthoz készült Microsoft Defender fogadásának időpontját, a bérlőt (csak a bérlőtől kap eseményeket), valamint az eseményT JSON formátumban egy "properties" nevű tulajdonságban.
A Végponthoz készült Microsoft Defender események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk. További információt az Eszköz Csoportok című témakörben talál.
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:
Jelentkezzen be Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés oldalra.
Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Kapcsolódó témakörök
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: