Konfigurer Microsoft Defender for endepunkt for å strømme avanserte jakthendelser til Azure Event Hubs
Gjelder for:
Obs!
Hvis du vil ha den fullstendige opplevelsen av datastrømming tilgjengelig, kan du gå til Stream Microsoft Defender XDR-hendelser | Microsoft Learn.
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Før du starter
Opprett en hendelseshub i leieren.
Logg deg på Azure-leieren, gå til Abonnementer>Ressursleverandørene>registrerer>seg for microsoft.insights.
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Aktiver strømming av rådata
Logg på Microsoft Defender-portalen som sikkerhetsadministrator.
Gå til innstillingssiden for dataeksport i Microsoft Defender-portalen.
Velg Legg til innstillinger for dataeksport.
Velg et navn for de nye innstillingene.
Velg Videresend hendelser til Azure Event Hubs.
Skriv inn navnet på Event Hubs og ressurs-ID-en for Event Hubs.
Obs!
Hvis du forlater Event Hubs-navnet som tomt, opprettes det en hendelseshub for hver kategori i det valgte navneområdet. Event Hubs-navneområder har en grense på 10 Event Hubs hvis du ikke bruker en dedicated Event Hubs Cluster.
Hvis du vil hente ressurs-ID-en for Event Hubs, går du til navneområdesiden for Azure Event Hubs på azure-egenskapsfanen >> og kopierer teksten under Ressurs-ID:
- Velg hendelsene du vil strømme, og velg Lagre.
Skjemaet for hendelsene i Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Hver hendelseshubmelding i Azure Event Hubs inneholder en liste over poster.
Hver post inneholder hendelsesnavnet, tidspunktet Da Microsoft Defender for Endpoint mottok hendelsen, leieren den tilhører (du får bare hendelser fra leieren), og hendelsen i JSON-format i en egenskap kalt Egenskaper.
Hvis du vil ha mer informasjon om skjemaet til Microsoft Defender for endepunkthendelser, kan du se Oversikt over Avansert jakt.
I Avansert jakt har DeviceInfo-tabellen en kolonne kalt MachineGroup som inneholder gruppen på enheten. Her er hver hendelse dekorert med denne kolonnen også. Hvis du vil ha mer informasjon, kan du se Enhetsgrupper.
Obs!
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
Tilordning av datatyper
Gjør følgende for å hente datatypene for hendelsesegenskapene:
Logg på Microsoft Defender-portalen , og gå til Avansert jakt-siden.
Kjør følgende spørring for å hente datatypetilordningen for hver hendelse:
{EventType} | getschema | project ColumnName, ColumnType
Relaterte artikler
- Stream Microsoft Defender XDR-hendelser | Microsoft Learn
- Oversikt over avansert jakt
- Microsoft Defender for API for strømming av endepunkt
- Stream Microsoft Defender for Endpoint-hendelser til Azure-lagringskontoen
- Dokumentasjon for Azure Event Hubs
- Feilsøke tilkoblingsproblemer – Azure Event Hubs
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for