Microsoft Defender voor Eindpunt configureren voor het streamen van Advanced Hunting-gebeurtenissen naar uw Azure Event Hubs
Van toepassing op:
Opmerking
Ga naar Stream Microsoft Defender XDR-gebeurtenissen | Microsoft Learn.
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Voordat u begint
Maak een Event Hub in uw tenant.
Meld u aan bij uw Azure-tenant, ga naar Abonnementen>Uw abonnement>Resourceproviders>registreren bij Microsoft.insights.
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Streaming van onbewerkte gegevens inschakelen
Meld u als beveiligingsbeheerder aan bij de Microsoft Defender-portal.
Ga naar de pagina Instellingen voor gegevensexport in de Microsoft Defender-portal.
Selecteer Instellingen voor gegevensexport toevoegen.
Kies een naam voor uw nieuwe instellingen.
Kies Gebeurtenissen doorsturen naar Azure Event Hubs.
Typ uw Event Hubs-naam en uw Event Hubs-resource-id.
Opmerking
Als u de Event Hubs-naam leeg laat, wordt er een Event Hub gemaakt voor elke categorie in de geselecteerde naamruimte. Event Hubs-naamruimten hebben een limiet van 10 Event Hubs als u geen Toegewezen Event Hubs-cluster gebruikt.
Als u uw Event Hubs-resource-id wilt ophalen, gaat u naar de azure Event Hubs-naamruimtepagina op het tabblad >Eigenschappen van Azure>, kopieert u de tekst onder Resource-id:
- Kies de gebeurtenissen die u wilt streamen en selecteer Opslaan.
Het schema van de gebeurtenissen in Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Elk Event Hub-bericht in Azure Event Hubs bevat een lijst met records.
Elke record bevat de naam van de gebeurtenis, het tijdstip waarop Microsoft Defender voor Eindpunt de gebeurtenis heeft ontvangen, de tenant waartoe deze behoort (u ontvangt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'eigenschappen'.
Zie Overzicht van Geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender voor Eindpunt-gebeurtenissen.
In Geavanceerde opsporing bevat de tabel DeviceInfo een kolom met de naam MachineGroup die de groep van het apparaat bevat. Hier is elke gebeurtenis ook voorzien van deze kolom. Zie Apparaatgroepen voor meer informatie.
Opmerking
Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.
Toewijzing van gegevenstypen
Ga als volgt te werk om de gegevenstypen voor gebeurteniseigenschappen op te halen:
Meld u aan bij de Microsoft Defender-portal en ga naar de pagina Geavanceerde opsporing.
Voer de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:
{EventType} | getschema | project ColumnName, ColumnType
Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:
Verwante artikelen
- Microsoft Defender XDR-gebeurtenissen streamen | Microsoft Learn
- Overzicht van geavanceerde opsporing
- Streaming-API voor Microsoft Defender voor Eindpunt
- Gebeurtenissen van Microsoft Defender voor Eindpunt streamen naar uw Azure-opslagaccount
- Documentatie voor Azure Event Hubs
- Verbindingsproblemen oplossen - Azure Event Hubs
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.