Настройка Microsoft Defender для конечной точки потоковой передачи событий Расширенной охоты в Центры событий Azure

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки

Примечание.

Чтобы получить доступ к полному интерфейсу потоковой передачи данных, посетите страницу Stream Microsoft Defender XDR событий | Microsoft Learn.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Перед началом работы

1. Create концентратор событий в клиенте.

2. Войдите в клиент Azure и перейдите к разделу Подписки Поставщики >> ресурсов подписки > Зарегистрируйтесь в Microsoft.insights.

Включение потоковой передачи необработанных данных

1. Войдите в Microsoft Defender XDR в качестве глобального администратора или администратора безопасности.

2. Перейдите на страницу Параметры экспорта данных на портале Microsoft Defender.

3. Щелкните Добавить параметры экспорта данных.

4. Выберите имя для новых параметров.

5. Выберите Переадресация событий, чтобы Центры событий Azure.

6. Введите имя Центров событий и идентификатор ресурса Центров событий.

Примечание.

Если оставить имя Центров событий пустым, будет создан концентратор событий для каждой категории в выбранном пространстве имен. Пространства имен Центров событий имеют ограничение в 10 Центров событий, если вы не используете выделенный кластер Центров событий.

Чтобы получить идентификатор ресурса Центров событий, перейдите на страницу Центры событий Azure пространства имен на вкладке "Свойства Azure>">, скопируйте текст в разделе Идентификатор ресурса:

7. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в Центры событий Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Каждое сообщение концентратора событий в Центры событий Azure содержит список записей.

• Каждая запись содержит имя события, время, Microsoft Defender для конечной точки полученное событие, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.

• Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.

• В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также будет украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройства.

  Примечание.

  Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Сопоставление типов данных

Чтобы получить типы данных для свойств события, сделайте следующее:

1. Войдите в Microsoft Defender XDR и перейдите на страницу Расширенная охота.

2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Ниже приведен пример события Сведений об устройстве:

  

Статьи по теме

• события Stream Microsoft Defender XDR | Microsoft Learn

• Обзор расширенной охоты

• API потоковой передачи Microsoft Defender для конечной точки

• Stream Microsoft Defender для конечной точки события в учетную запись хранения Azure

• документация по Центры событий Azure

• Устранение проблем с подключением — Центры событий Azure

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.