Konfigurowanie usługi Microsoft Defender dla punktu końcowego w celu przesyłania strumieniowego zdarzeń zaawansowanego wyszukiwania zagrożeń do usługi Azure Event Hubs
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender
Uwaga
Aby uzyskać pełne dostępne środowisko przesyłania strumieniowego danych, odwiedź stronę Stream Microsoft Defender XDR events |(Przesyłanie strumieniowe zdarzeń XDR usługi Microsoft Defender) | Microsoft Learn.
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Przed rozpoczęciem
Utwórz centrum zdarzeń w dzierżawie.
Zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.insights.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Włączanie przesyłania strumieniowego danych pierwotnych
Zaloguj się do portalu usługi Microsoft Defender jako administrator zabezpieczeń.
Przejdź do strony Ustawienia eksportu danych w portalu usługi Microsoft Defender.
Wybierz pozycję Dodaj ustawienia eksportu danych.
Wybierz nazwę nowych ustawień.
Wybierz pozycję Przekaż zdarzenia do usługi Azure Event Hubs.
Wpisz nazwę usługi Event Hubs i identyfikator zasobu usługi Event Hubs.
Uwaga
Pozostawienie nazwy usługi Event Hubs jako pustej spowoduje utworzenie centrum zdarzeń dla każdej kategorii w wybranej przestrzeni nazw. Przestrzenie nazw usługi Event Hubs mają limit 10 centrów zdarzeń, jeśli nie używasz dedykowanego klastra usługi Event Hubs.
Aby uzyskać identyfikator zasobu usługi Event Hubs, przejdź do strony przestrzeni nazw usługi Azure Event Hubs na karcie > Właściwości platformy Azure>, aby skopiować tekst w obszarze Identyfikator zasobu:
- Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie wybierz pozycję Zapisz.
Schemat zdarzeń w usłudze Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Każdy komunikat centrum zdarzeń w usłudze Azure Event Hubs zawiera listę rekordów.
Każdy rekord zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Microsoft Defender dla punktu końcowego, dzierżawę, do której należy (pobierasz tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties".
Aby uzyskać więcej informacji na temat schematu zdarzeń usługi Microsoft Defender for Endpoint, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.
W obszarze Zaawansowane wyszukiwanie zagrożeń tabela DeviceInfo zawiera kolumnę o nazwie MachineGroup zawierającą grupę urządzenia. W tym miejscu każde zdarzenie jest również ozdobione tą kolumną. Aby uzyskać więcej informacji, zobacz Grupy urządzeń.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Mapowanie typów danych
Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące czynności:
Zaloguj się do portalu usługi Microsoft Defender i przejdź do strony Zaawansowane wyszukiwanie zagrożeń.
Uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:
{EventType} | getschema | project ColumnName, ColumnType
Artykuły pokrewne
- Przesyłanie strumieniowe zdarzeń XDR usługi Microsoft Defender | Microsoft Learn
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Interfejs API przesyłania strumieniowego usługi Microsoft Defender for Endpoint
- Przesyłanie strumieniowe zdarzeń usługi Microsoft Defender for Endpoint do konta usługi Azure Storage
- Dokumentacja usługi Azure Event Hubs
- Rozwiązywanie problemów z łącznością — Azure Event Hubs
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.