Share via


Konfigurer Microsoft Defender for endepunkt for å strømme avanserte jakthendelser til Azure Event Hubs

Gjelder for:

Obs!

Hvis du vil ha den fullstendige opplevelsen av datastrømming tilgjengelig, kan du gå til Stream Microsoft Defender XDR hendelser | Microsoft Learn.

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Før du starter

  1. Opprett en hendelseshub i leieren.

  2. Logg deg på Azure-leieren, gå til Abonnementer > Ressursleverandørene > registrerer > seg for Microsoft.insights.

Aktiver strømming av rådata

  1. Logg på Microsoft Defender XDR som global administrator eller sikkerhetsadministrator.

  2. Gå til innstillingssiden for dataeksport i Microsoft Defender-portalen.

  3. Klikk på Legg til innstillinger for dataeksport.

  4. Velg et navn for de nye innstillingene.

  5. Velg Videresend hendelser til Azure Event Hubs.

  6. Skriv inn navnet på Event Hubs og ressurs-ID-en for Event Hubs.

Obs!

Hvis du forlater Event Hubs-navnet som tomt, opprettes det en hendelseshub for hver kategori i det valgte navneområdet. Event Hubs-navneområder har en grense på 10 Event Hubs hvis du ikke bruker en dedicated Event Hubs Cluster.

Hvis du vil hente ressurs-ID-en for Event Hubs, går du til navneområdesiden for Azure Event Hubs på azure-egenskapsfanen >> og kopierer teksten under Ressurs-ID:

Ressurs-ID-1 for hendelseshuber

  1. Velg hendelsene du vil strømme, og klikk Lagre.

Skjemaet for hendelsene i Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Hver hendelseshubmelding i Azure Event Hubs inneholder en liste over poster.

  • Hver post inneholder hendelsesnavnet, tidspunktet Microsoft Defender for endepunkt mottatt hendelsen, leieren den tilhører (du får bare hendelser fra leieren) og hendelsen i JSON-format i en egenskap kalt Egenskaper.

  • Hvis du vil ha mer informasjon om skjemaet for Microsoft Defender for endepunkt hendelser, kan du se Oversikt over Avansert jakt.

  • I Avansert jakt har DeviceInfo-tabellen en kolonne kalt MachineGroup som inneholder gruppen på enheten. Her vil hver hendelse også være dekorert med denne kolonnen. Se enhets Grupper hvis du vil ha mer informasjon.

    Obs!

    Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

Tilordning av datatyper

Gjør følgende for å hente datatypene for hendelsesegenskapene:

  1. Logg på Microsoft Defender XDR, og gå til siden Avansert jakt.

  2. Kjør følgende spørring for å hente datatypetilordningen for hver hendelse:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Her er et eksempel på enhetsinformasjonshendelse:

    Ressurs-ID-2 for hendelseshuber

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.