Microsoft Defender voor Eindpunt configureren om geavanceerde opsporingsevenementen naar uw opslagaccount te streamen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Eindpunt

Opmerking

Ga naar Stream Microsoft Defender XDR-gebeurtenissen | Microsoft Learn.

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Voordat u begint

1. Maak een opslagaccount in uw tenant.

2. Meld u aan bij uw Azure-tenant, ga naar Abonnementen>Uw abonnement>Resourceproviders>registreren bij Microsoft.insights.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Streaming van onbewerkte gegevens inschakelen

1. Meld u als beveiligingsbeheerder aan bij de Microsoft Defender-portal .

2. Ga naar de pagina Instellingen voor gegevensexport in Microsoft Defender XDR.

3. Selecteer Instellingen voor gegevensexport toevoegen.

4. Kies een naam voor uw nieuwe instellingen.

5. Kies Gebeurtenissen doorsturen naar Azure Storage.

6. Typ de resource-id van uw opslagaccount. Als u de resource-id van uw opslagaccount wilt ophalen, gaat u naar de pagina Van uw opslagaccount op het tabblad > Eigenschappen van Azure Portal>, kopieert u de tekst onder Resource-id van opslagaccount:

   

7. Kies de gebeurtenissen die u wilt streamen en selecteer Opslaan.

Het schema van de gebeurtenissen in het opslagaccount

• Er wordt een blobcontainer gemaakt voor elk gebeurtenistype:

  

• Het schema van elke rij in een blob is de volgende JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Elke blob bevat meerdere rijen.

• Elke rij bevat de naam van de gebeurtenis, het tijdstip waarop Defender voor Eindpunt de gebeurtenis heeft ontvangen, de tenant waartoe deze hoort (u ontvangt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam properties.

• Zie Overzicht van Geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender voor Eindpunt-gebeurtenissen.

• In Geavanceerde opsporing bevat de tabel DeviceInfo een kolom met de naam MachineGroup die de groep van het apparaat bevat. Hier is elke gebeurtenis ook voorzien van deze kolom. Zie Apparaatgroepen voor meer informatie.

  Opmerking

  Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

Toewijzing van gegevenstypen

Voer de volgende stappen uit om de gegevenstypen voor onze gebeurteniseigenschappen op te halen:

1. Meld u aan bij de Microsoft Defender-portal en ga naar de pagina Geavanceerde opsporing.

2. Voer de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:

   

Verwante artikelen

• Microsoft Defender XDR-gebeurtenissen streamen | Microsoft Learn
• Overzicht van geavanceerde opsporing
• Microsoft Defender voor Endpoint Streaming-API
• Gebeurtenissen van Microsoft Defender voor Eindpunt streamen naar uw Azure-opslagaccount
• Documentatie voor Azure Storage-account

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.