Konfigurálja a Végponthoz készült Microsoft Defender a Speciális veszélyforrás-keresés eseményeinek streameléséhez a Azure Event Hubs

Megjegyzés:

A teljes adatstreamelési élményért látogasson el Stream Microsoft Defender XDR eseményekre | Microsoft Learn.

Az első lépések

1. Hozzon létre egy eseményközpontot a bérlőben.

2. Jelentkezzen be a Azure-bérlőbe, majd lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatóinak>>regisztrálása a Microsoft.insights webhelyre.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Nyers adatstreamelés engedélyezése

1. Jelentkezzen be a Microsoft Defender portálrabiztonsági rendszergazdaként.

2. Lépjen az Adatexportálási beállítások lapra a Microsoft Defender portálon.

3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

4. Válasszon nevet az új beállításoknak.

5. Válassza az Események továbbítása Azure Event Hubs lehetőséget.

6. Írja be az Event Hubs nevét és az Event Hubs erőforrás-azonosítóját.

Megjegyzés:

Ha az Event Hubs nevét üresen hagyja, a kiválasztott névtér minden kategóriájához létrehoz egy eseményközpontot. Az Event Hubs-névterek korlátja 10 Event Hubs, ha nem dedikált Event Hubs-fürtöt használ.

Az Event Hubs erőforrás-azonosítójának lekéréséhez lépjen a Azure Event Hubs névtér lapjára Azure> Tulajdonságok lapon > másolja a szöveget az Erőforrás-azonosító területen:

7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

A Azure Event Hubs eseményséma

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• A Azure Event Hubs minden eseményközpont-üzenete tartalmazza a rekordok listáját.

• Minden rekord tartalmazza az esemény nevét, az esemény Végponthoz készült Microsoft Defender fogadásának időpontját, a bérlőt (csak a bérlőtől kap eseményeket), valamint az esemény JSON formátumú, "properties" nevű tulajdonságban.

• A Végponthoz készült Microsoft Defender események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

• A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítenek. További információ: Eszközcsoportok.

  Megjegyzés:

  Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:

1. Jelentkezzen be Microsoft Defender portálra, és lépjen a Speciális veszélyforrás-keresés oldalra.

2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Íme egy példa az Eszközadatok eseményre:

  

Kapcsolódó cikkek

• Stream Microsoft Defender XDR események | Microsoft Learn
• A speciális veszélyforrás-keresés áttekintése
• streamelési API Végponthoz készült Microsoft Defender
• események Stream Végponthoz készült Microsoft Defender a Azure tárfiókba
• Azure Event Hubs dokumentációja
• Csatlakozási problémák elhárítása – Azure Event Hubs

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.