Настройка Microsoft Defender для конечной точки потоковой передачи событий Расширенной охоты в Центры событий Azure
Область применения:
Примечание
Чтобы получить доступ к полному интерфейсу потоковой передачи данных, посетите страницу Stream Microsoft Defender XDR событий | Microsoft Learn.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Создайте концентратор событий в клиенте.
Войдите в клиент Azure, перейдите в раздел Подписки Ваши поставщики>ресурсов>подписки>Зарегистрируйте в Microsoft.insights.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Войдите на портал Microsoft Defender в качестве администратора безопасности.
Перейдите на страницу Параметры экспорта данных на портале Microsoft Defender.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий, чтобы Центры событий Azure.
Введите имя Центров событий и идентификатор ресурса Центров событий.
Примечание
Если оставить имя Центров событий пустым, будет создан концентратор событий для каждой категории в выбранном пространстве имен. Пространства имен Центров событий имеют ограничение в 10 Центров событий, если вы не используете выделенный кластер Центров событий.
Чтобы получить идентификатор ресурса Центров событий, перейдите на страницу Центры событий Azure пространства имен на вкладке "Свойства Azure>">, скопируйте текст в разделе Идентификатор ресурса:
- Выберите события для потоковой передачи и нажмите кнопку Сохранить.
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Каждое сообщение концентратора событий в Центры событий Azure содержит список записей.
Каждая запись содержит имя события, время, Microsoft Defender для конечной точки получено событие, клиент, которому оно принадлежит (события получаются только от клиента), а также событие в формате JSON в свойстве с именем properties.
Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.
В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройств.
Примечание
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
Чтобы получить типы данных для свойств событий, сделайте следующее:
Войдите на портал Microsoft Defender и перейдите на страницу Расширенная охота.
Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:
{EventType} | getschema | project ColumnName, ColumnType
Ниже приведен пример события Сведений об устройстве:
- события Stream Microsoft Defender XDR | Microsoft Learn
- Обзор расширенной охоты
- API потоковой передачи Microsoft Defender для конечной точки
- Stream Microsoft Defender для конечной точки события в учетную запись хранения Azure
- документация по Центры событий Azure
- Устранение проблем с подключением — Центры событий Azure
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.