Megosztás a következőn keresztül:

Konfigurálja a Végponthoz készült Microsoft Defender a Speciális veszélyforrás-keresés eseményeinek streameléséhez a Azure Event Hubs

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

A teljes adatstreamelési élményért látogasson el Stream Microsoft Defender XDR eseményekre | Microsoft Learn.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az első lépések

  1. Létrehozás egy eseményközpontot a bérlőben.

  2. Jelentkezzen be az Azure-bérlőbe, majd lépjen az Előfizetések > Az előfizetés > erőforrás-szolgáltatói > Regisztráljon a Microsoft.insights szolgáltatásba.

Nyers adatstreamelés engedélyezése

  1. Jelentkezzen be a Microsoft Defender XDRglobális rendszergazdaként vagy biztonsági rendszergazdaként.

  2. Lépjen az Adatexportálási beállítások lapra a Microsoft Defender portálon.

  3. Kattintson az Adatexportálási beállítások hozzáadása elemre.

  4. Válasszon nevet az új beállításoknak.

  5. Válassza az Események továbbítása Azure Event Hubs lehetőséget.

  6. Írja be az Event Hubs nevét és az Event Hubs erőforrás-azonosítóját.

Megjegyzés:

Ha az Event Hubs nevét üresen hagyja, a kiválasztott névtér minden kategóriájához létrehoz egy eseményközpontot. Az Event Hubs-névterek korlátja 10 Event Hubs, ha nem dedikált Event Hubs-fürtöt használ.

Az Event Hubs erőforrás-azonosítójának lekéréséhez lépjen az Azure> tulajdonságok lapjának Azure Event Hubs névtérlapjára>, másolja ki az Erőforrás-azonosító alatti szöveget:

Az Event Hubs-erőforrás azonosítója–1

  1. Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.

A Azure Event Hubs eseményséma

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

  • A Azure Event Hubs minden eseményközpont-üzenete tartalmazza a rekordok listáját.

  • Minden rekord tartalmazza az esemény nevét, az esemény Végponthoz készült Microsoft Defender fogadásának időpontját, a bérlőt (csak a bérlőtől kap eseményeket), valamint az eseményT JSON formátumban egy "properties" nevű tulajdonságban.

  • A Végponthoz készült Microsoft Defender események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

  • A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk. További információt az Eszköz Csoportok című témakörben talál.

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez tegye a következőket:

  1. Jelentkezzen be Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés oldalra.

  2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Íme egy példa az Eszközinformáció eseményre:

    Az Event Hubs 2- erőforrásazonosítója

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.