Condividi tramite

Configurare Microsoft Defender per endpoint per trasmettere gli eventi di ricerca avanzata all'hub eventi di Azure

  • Articolo

Si applica a:

Nota

Per l'esperienza di streaming dei dati completa disponibile, visitare Stream Microsoft Defender XDR events | Microsoft Learn.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Prima di iniziare

  1. Creare un hub eventi nel tenant.

  2. Accedere al tenant di Azure, passare a Sottoscrizioni> Iprovider di risorse della>sottoscrizione>Registrarsi a Microsoft.insights.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Abilitare lo streaming di dati non elaborati

  1. Accedere al portale di Microsoft Defender come amministratore della sicurezza.

  2. Passare alla pagina Impostazioni di esportazione dati nel portale di Microsoft Defender.

  3. Selezionare Aggiungi impostazioni di esportazione dati.

  4. Scegliere un nome per le nuove impostazioni.

  5. Scegliere Inoltra eventi a Hub eventi di Azure.

  6. Digitare il nome di Hub eventi e l'ID risorsa di Hub eventi.

Nota

Lasciando vuoto il nome di Hub eventi, verrà creato un hub eventi per ogni categoria nello spazio dei nomi selezionato. Gli spazi dei nomi di Hub eventi hanno un limite di 10 hub eventi se non si usa un cluster hub eventi dedicato.

Per ottenere l'ID risorsa di Hub eventi, passare alla pagina dello spazio dei nomi di Hub eventi di Azure nella scheda > Delle proprietà di Azure> copiare il testo in ID risorsa:

Id-1 della risorsa Hub eventi

  1. Scegliere gli eventi che si desidera trasmettere in streaming e selezionare Salva.

Schema degli eventi in Hub eventi di Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

  • Ogni messaggio dell'hub eventi in Hub eventi di Azure contiene un elenco di record.

  • Ogni record contiene il nome dell'evento, l'ora in cui Microsoft Defender per endpoint ha ricevuto l'evento, il tenant a cui appartiene (si ottengono solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

  • Per altre informazioni sullo schema degli eventi di Microsoft Defender per endpoint, vedere Panoramica della ricerca avanzata.

  • In Ricerca avanzata la tabella DeviceInfo include una colonna denominata MachineGroup che contiene il gruppo del dispositivo. Qui, ogni evento è decorato anche con questa colonna. Per altre informazioni, vedere Gruppi di dispositivi.

    Nota

    La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà dell'evento, eseguire le operazioni seguenti:

  1. Accedere al portale di Microsoft Defender e passare alla pagina Ricerca avanzata.

  2. Eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Ecco un esempio per l'evento Device Info:

    ID risorsa hub eventi-2

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.