Configurare Microsoft Defender per endpoint per trasmettere gli eventi di ricerca avanzata all'account di archiviazione

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint

Nota

Per l'esperienza di streaming dei dati completa disponibile, visitare Stream Microsoft Defender XDR events | Microsoft Learn.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Prima di iniziare

1. Creare un account di archiviazione nel tenant.

2. Accedere al tenant di Azure, passare a Sottoscrizioni> Iprovider di risorse della>sottoscrizione>Registrarsi a Microsoft.insights.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Abilitare lo streaming di dati non elaborati

1. Accedere al portale di Microsoft Defender come amministratore della sicurezza.

2. Passare alla pagina Impostazioni di esportazione dati in Microsoft Defender XDR.

3. Selezionare Aggiungi impostazioni di esportazione dati.

4. Scegliere un nome per le nuove impostazioni.

5. Scegliere Inoltra eventi ad Archiviazione di Azure.

6. Digitare l'ID risorsa dell'account di archiviazione. Per ottenere l'ID risorsa dell'account di archiviazione, passare alla pagina Account di archiviazione nella scheda > Delle proprietà del portale> di Azure copiare il testo in ID risorsa account di archiviazione:

   

7. Scegliere gli eventi che si desidera trasmettere in streaming e selezionare Salva.

Schema degli eventi nell'account di archiviazione

• Viene creato un contenitore BLOB per ogni tipo di evento:

  

• Lo schema di ogni riga in un BLOB è il codice JSON seguente:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Ogni BLOB contiene più righe.

• Ogni riga contiene il nome dell'evento, l'ora in cui Defender per endpoint ha ricevuto l'evento, il tenant a cui appartiene (si ottengono eventi solo dal tenant) e l'evento in formato JSON in una proprietà denominata properties.

• Per altre informazioni sullo schema degli eventi di Microsoft Defender per endpoint, vedere Panoramica della ricerca avanzata.

• In Ricerca avanzata la tabella DeviceInfo include una colonna denominata MachineGroup che contiene il gruppo del dispositivo. Qui, ogni evento è decorato anche con questa colonna. Per altre informazioni, vedere Gruppi di dispositivi.

  Nota

  La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà degli eventi, seguire questa procedura:

1. Accedere al portale di Microsoft Defender e passare alla pagina Ricerca avanzata.

2. Eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Ecco un esempio per l'evento Device Info:

   

Articoli correlati

• Trasmettere eventi XDR di Microsoft Defender | Microsoft Learn
• Panoramica della ricerca avanzata
• API Di Microsoft Defender per Endpoint Streaming
• Trasmettere gli eventi di Microsoft Defender per endpoint all'account di archiviazione di Azure
• Documentazione dell'account di archiviazione di Azure

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.