A Végponthoz készült Microsoft Defender konfigurálása speciális veszélyforrás-keresési események streameléséhez a Tárfiókba

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender

Megjegyzés:

A teljes adatstreamelési élményért tekintse meg a Microsoft Defender XDR-események streamelése | Microsoft Learn.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az első lépések

1. Hozzon létre egy Tárfiókot a bérlőben.

2. Jelentkezzen be az Azure-bérlőbe, és lépjen az Előfizetések>Az előfizetés>erőforrás-szolgáltatói>regisztráljon a Microsoft.insights webhelyen területre.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Nyers adatstreamelés engedélyezése

1. Jelentkezzen be a Microsoft Defender portálra biztonsági rendszergazdaként.

2. Lépjen a Microsoft Defender XDR Adatexportálási beállítások lapjára .

3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

4. Válasszon nevet az új beállításoknak.

5. Válassza az Események továbbítása az Azure Storage-ba lehetőséget.

6. Írja be a tárfiók erőforrás-azonosítóját. A tárfiók erőforrás-azonosítójának lekéréséhez lépjen az Azure Portal> Tulajdonságok lapján található Tárfiók lapra > , és másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget:

   

7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

A Storage-fiókban lévő események sémája

• Minden eseménytípushoz létrejön egy blobtároló:

  

• A blobok egyes sorainak sémája a következő JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Minden blob több sort tartalmaz.

• Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőjétől kap eseményeket), valamint az eseményt JSON formátumban egy nevű propertiestulajdonságban.

• A Végponthoz készült Microsoft Defender-események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

• A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítenek. További információ: Eszközcsoportok.

  Megjegyzés:

  Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Defender portálra , és lépjen a Speciális veszélyforrás-keresés oldalra.

2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Íme egy példa az Eszközadatok eseményre:

   

Kapcsolódó cikkek

• Microsoft Defender XDR-események streamelése | Microsoft Learn
• A speciális veszélyforrás-keresés áttekintése
• Végponthoz készült Microsoft Defender Stream API
• Végponthoz készült Microsoft Defender-események streamelése az Azure Storage-fiókba
• Az Azure Storage-fiók dokumentációja

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.