A Végponthoz készült Microsoft Defender konfigurálása speciális veszélyforrás-keresési események streameléséhez a Tárfiókba
Érintett szolgáltatás:
Megjegyzés:
A teljes adatstreamelési élményért tekintse meg a Microsoft Defender XDR-események streamelése | Microsoft Learn.
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Az első lépések
Hozzon létre egy Tárfiókot a bérlőben.
Jelentkezzen be az Azure-bérlőbe, és lépjen az Előfizetések>Az előfizetés>erőforrás-szolgáltatói>regisztráljon a Microsoft.insights webhelyen területre.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Nyers adatstreamelés engedélyezése
Jelentkezzen be a Microsoft Defender portálra biztonsági rendszergazdaként.
Lépjen a Microsoft Defender XDR Adatexportálási beállítások lapjára .
Válassza az Adatexportálási beállítások hozzáadása lehetőséget.
Válasszon nevet az új beállításoknak.
Válassza az Események továbbítása az Azure Storage-ba lehetőséget.
Írja be a tárfiók erőforrás-azonosítóját. A tárfiók erőforrás-azonosítójának lekéréséhez lépjen az Azure Portal> Tulajdonságok lapján található Tárfiók lapra > , és másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget:
Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.
A Storage-fiókban lévő események sémája
Minden eseménytípushoz létrejön egy blobtároló:
A blobok egyes sorainak sémája a következő JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Minden blob több sort tartalmaz.
Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Végponthoz készült Defender megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőjétől kap eseményeket), valamint az eseményt JSON formátumban egy nevű
properties
tulajdonságban.A Végponthoz készült Microsoft Defender-események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítenek. További információ: Eszközcsoportok.
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Defender portálra , és lépjen a Speciális veszélyforrás-keresés oldalra.
Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Íme egy példa az Eszközadatok eseményre:
Kapcsolódó cikkek
- Microsoft Defender XDR-események streamelése | Microsoft Learn
- A speciális veszélyforrás-keresés áttekintése
- Végponthoz készült Microsoft Defender Stream API
- Végponthoz készült Microsoft Defender-események streamelése az Azure Storage-fiókba
- Az Azure Storage-fiók dokumentációja
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.