Konfigurer Microsoft Defender for endepunkt for å strømme avanserte jakthendelser til Azure Event Hubs

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt

Obs!

Hvis du vil ha den fullstendige opplevelsen av datastrømming tilgjengelig, kan du gå til Stream Microsoft Defender XDR-hendelser | Microsoft Learn.

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Før du starter

1. Opprett en hendelseshub i leieren.

2. Logg deg på Azure-leieren, gå til Abonnementer>Ressursleverandørene>registrerer>seg for microsoft.insights.

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Aktiver strømming av rådata

1. Logg på Microsoft Defender-portalen som sikkerhetsadministrator.

2. Gå til innstillingssiden for dataeksport i Microsoft Defender-portalen.

3. Velg Legg til innstillinger for dataeksport.

4. Velg et navn for de nye innstillingene.

5. Velg Videresend hendelser til Azure Event Hubs.

6. Skriv inn navnet på Event Hubs og ressurs-ID-en for Event Hubs.

Obs!

Hvis du forlater Event Hubs-navnet som tomt, opprettes det en hendelseshub for hver kategori i det valgte navneområdet. Event Hubs-navneområder har en grense på 10 Event Hubs hvis du ikke bruker en dedicated Event Hubs Cluster.

Hvis du vil hente ressurs-ID-en for Event Hubs, går du til navneområdesiden for Azure Event Hubs på azure-egenskapsfanen >> og kopierer teksten under Ressurs-ID:

7. Velg hendelsene du vil strømme, og velg Lagre.

Skjemaet for hendelsene i Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Hver hendelseshubmelding i Azure Event Hubs inneholder en liste over poster.

• Hver post inneholder hendelsesnavnet, tidspunktet Da Microsoft Defender for Endpoint mottok hendelsen, leieren den tilhører (du får bare hendelser fra leieren), og hendelsen i JSON-format i en egenskap kalt Egenskaper.

• Hvis du vil ha mer informasjon om skjemaet til Microsoft Defender for endepunkthendelser, kan du se Oversikt over Avansert jakt.

• I Avansert jakt har DeviceInfo-tabellen en kolonne kalt MachineGroup som inneholder gruppen på enheten. Her er hver hendelse dekorert med denne kolonnen også. Hvis du vil ha mer informasjon, kan du se Enhetsgrupper.

  Obs!

  Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

Tilordning av datatyper

Gjør følgende for å hente datatypene for hendelsesegenskapene:

1. Logg på Microsoft Defender-portalen , og gå til Avansert jakt-siden.

2. Kjør følgende spørring for å hente datatypetilordningen for hver hendelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Her er et eksempel på enhetsinformasjonshendelse:

  

Relaterte artikler

• Stream Microsoft Defender XDR-hendelser | Microsoft Learn
• Oversikt over avansert jakt
• Microsoft Defender for API for strømming av endepunkt
• Stream Microsoft Defender for Endpoint-hendelser til Azure-lagringskontoen
• Dokumentasjon for Azure Event Hubs
• Feilsøke tilkoblingsproblemer – Azure Event Hubs

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.