Condividi tramite


Configurare Microsoft Defender per endpoint per trasmettere gli eventi di ricerca avanzata al Hub eventi di Azure

Si applica a:

Nota

Per l'esperienza di streaming dati completa disponibile, visitare Stream Microsoft Defender XDR eventi | Microsoft Learn.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Prima di iniziare

  1. Create un hub eventi nel tenant.

  2. Accedere al tenant di Azure, passare a Sottoscrizioni > I provider di risorse della > sottoscrizione > Registrarsi a Microsoft.insights.

Abilitare lo streaming di dati non elaborati

  1. Accedere al Microsoft Defender XDR come amministratore globale o amministratore della sicurezza.

  2. Passare alla pagina Impostazioni di esportazione dati nel portale di Microsoft Defender.

  3. Fare clic su Aggiungi impostazioni di esportazione dati.

  4. Scegliere un nome per le nuove impostazioni.

  5. Scegliere Inoltra eventi da Hub eventi di Azure.

  6. Digitare il nome di Hub eventi e l'ID risorsa di Hub eventi.

Nota

Lasciando vuoto il nome di Hub eventi, verrà creato un hub eventi per ogni categoria nello spazio dei nomi selezionato. Gli spazi dei nomi di Hub eventi hanno un limite di 10 hub eventi se non si usa un cluster hub eventi dedicato.

Per ottenere l'ID risorsa di Hub eventi, passare alla pagina dello spazio dei nomi Hub eventi di Azure nella scheda > Proprietà di Azure> copiare il testo in ID risorsa:

Id-1 della risorsa Hub eventi

  1. Scegliere gli eventi che si desidera trasmettere in streaming e fare clic su Salva.

Schema degli eventi in Hub eventi di Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Ogni messaggio dell'hub eventi in Hub eventi di Azure contiene un elenco di record.

  • Ogni record contiene il nome dell'evento, l'ora Microsoft Defender per endpoint ricevuto l'evento, il tenant a cui appartiene (si otterranno solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

  • Per altre informazioni sullo schema degli eventi Microsoft Defender per endpoint, vedere Panoramica della ricerca avanzata.

  • In Ricerca avanzata la tabella DeviceInfo include una colonna denominata MachineGroup che contiene il gruppo del dispositivo. Qui ogni evento sarà decorato anche con questa colonna. Per altre informazioni, vedere Device Gruppi ( Device Gruppi).

    Nota

    La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà dell'evento, eseguire le operazioni seguenti:

  1. Accedere a Microsoft Defender XDR e passare alla pagina Ricerca avanzata.

  2. Eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Ecco un esempio per l'evento Device Info:

    ID risorsa hub eventi-2

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.