Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender do przesyłania strumieniowego zdarzeń zaawansowanego wyszukiwania zagrożeń do Azure Event Hubs

Dotyczy:

Uwaga

Aby uzyskać pełne dostępne środowisko przesyłania strumieniowego danych, odwiedź stronę Stream Microsoft Defender XDR zdarzeń | Microsoft Learn.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Przed rozpoczęciem

  1. Twórca centrum zdarzeń w dzierżawie.

  2. Zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje > Dostawcy > zasobów subskrypcji > Zarejestruj się w witrynie Microsoft.insights.

Włączanie przesyłania strumieniowego danych pierwotnych

  1. Zaloguj się do Microsoft Defender XDR jako administrator globalny lub administrator zabezpieczeń.

  2. Przejdź do strony Ustawienia eksportu danych w portalu Microsoft Defender.

  3. Kliknij pozycję Dodaj ustawienia eksportu danych.

  4. Wybierz nazwę nowych ustawień.

  5. Wybierz pozycję Prześlij zdarzenia do Azure Event Hubs.

  6. Wpisz nazwę usługi Event Hubs i identyfikator zasobu usługi Event Hubs.

Uwaga

Pozostawienie nazwy usługi Event Hubs jako pustej spowoduje utworzenie centrum zdarzeń dla każdej kategorii w wybranej przestrzeni nazw. Przestrzenie nazw usługi Event Hubs mają limit 10 centrów zdarzeń, jeśli nie używasz dedykowanego klastra usługi Event Hubs.

Aby uzyskać identyfikator zasobu usługi Event Hubs, przejdź do strony przestrzeni nazw Azure Event Hubs na karcie > Właściwości platformy Azure>, aby skopiować tekst w obszarze Identyfikator zasobu:

Identyfikator zasobu usługi Event Hubs-1

  1. Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie kliknij przycisk Zapisz.

Schemat zdarzeń w Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Każdy komunikat centrum zdarzeń w Azure Event Hubs zawiera listę rekordów.

  • Każdy rekord zawiera nazwę zdarzenia, czas Ochrona punktu końcowego w usłudze Microsoft Defender odebrania zdarzenia, dzierżawę, do której należy (otrzymasz tylko zdarzenia z dzierżawy), a zdarzenie w formacie JSON we właściwości o nazwie "properties".

  • Aby uzyskać więcej informacji na temat schematu zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

  • W obszarze Zaawansowane wyszukiwanie zagrożeń tabela DeviceInfo zawiera kolumnę o nazwie MachineGroup zawierającą grupę urządzenia. W tym miejscu każde wydarzenie zostanie również ozdobione tą kolumną. Aby uzyskać więcej informacji, zobacz Grupy urządzenia.

    Uwaga

    Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Mapowanie typów danych

Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące czynności:

  1. Zaloguj się do Microsoft Defender XDR i przejdź do strony Zaawansowane wyszukiwanie zagrożeń.

  2. Uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Oto przykład zdarzenia Informacje o urządzeniu:

    Identyfikator zasobu usługi Event Hubs-2

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.