Поделиться через


Настройка Microsoft Defender для конечной точки для потоковой передачи событий Расширенной охоты в Центры событий Azure

Область применения:

Примечание.

Полный доступ к потоковой передаче данных см. в статье События XDR в Microsoft Defender | Microsoft Learn.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Подготовка к работе

  1. Создайте концентратор событий в клиенте.

  2. Войдите в клиент Azure, перейдите в раздел Подписки Ваши поставщики>ресурсов>подписки>Зарегистрируйте в Microsoft.insights.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Включение потоковой передачи необработанных данных

  1. Войдите на портал Microsoft Defender в качестве администратора безопасности.

  2. Перейдите на страницу Параметры экспорта данных на портале Microsoft Defender.

  3. Выберите Добавить параметры экспорта данных.

  4. Выберите имя для новых параметров.

  5. Выберите Переадресация событий в Центры событий Azure.

  6. Введите имя Центров событий и идентификатор ресурса Центров событий.

Примечание.

Если оставить имя Центров событий пустым, будет создан концентратор событий для каждой категории в выбранном пространстве имен. Пространства имен Центров событий имеют ограничение в 10 Центров событий, если вы не используете выделенный кластер Центров событий.

Чтобы получить идентификатор ресурса Центров событий, перейдите на страницу пространства имен Центров событий Azure на вкладке > свойств Azure>, скопируйте текст в разделе Идентификатор ресурса:

Ресурс Центров событий Id-1

  1. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в Центрах событий Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Каждое сообщение концентратора событий в Центрах событий Azure содержит список записей.

  • Каждая запись содержит имя события, время получения события Microsoft Defender для конечной точки, клиент, которому оно принадлежит (события получаются только из клиента), а также событие в формате JSON в свойстве с именем properties.

  • Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.

  • В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройств.

    Примечание.

    Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Сопоставление типов данных

Чтобы получить типы данных для свойств событий, сделайте следующее:

  1. Войдите на портал Microsoft Defender и перейдите на страницу Расширенная охота.

  2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Ниже приведен пример события Сведений об устройстве:

    Ресурс Центров событий Id-2

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.