Настройка Microsoft Defender для конечной точки для потоковой передачи событий расширенной охоты в учетную запись хранения

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки

Примечание.

Чтобы получить доступ к полному интерфейсу потоковой передачи данных, посетите страницу Stream Microsoft Defender XDR событий | Microsoft Learn.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Перед началом работы

1. Create учетную запись хранения в клиенте.

2. Войдите в клиент Azure, перейдите в раздел Подписки Ваши поставщики > ресурсов > подписки > Зарегистрируйте в Microsoft.insights.

Включение потоковой передачи необработанных данных

1. Войдите на портал Microsoft Defender в качестве глобального администратора или администратора безопасности.

2. Перейдите на страницу Параметры экспорта данных в Microsoft Defender XDR.

3. Выберите Добавить параметры экспорта данных.

4. Выберите имя для новых параметров.

5. Выберите Переадресация событий в службу хранилища Azure.

6. Введите идентификатор ресурса учетной записи хранения. Чтобы получить идентификатор ресурса учетной записи хранения, перейдите на страницу учетной записи хранения на вкладке> свойств портал Azure > скопируйте текст в разделе Идентификатор ресурса учетной записи хранения:

   

7. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в учетной записи хранения

• Контейнер BLOB-объектов создается для каждого типа события:

  

• Схема каждой строки в большом двоичном объекте представляет собой следующий код JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Каждый большой двоичный объект содержит несколько строк.

• Каждая строка содержит имя события, время получения события в Defender для конечной точки, клиент, которому оно принадлежит (события получаются только из клиента), а также событие в формате JSON в свойстве с именем properties.

• Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.

• В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройства.

  Примечание.

  Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Сопоставление типов данных

Чтобы получить типы данных для наших свойств событий, сделайте следующее:

1. Войдите в Microsoft Defender XDR и перейдите на страницу Расширенная охота.

2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Ниже приведен пример события Сведений об устройстве:

  

Связанные статьи

• события Stream Microsoft Defender XDR | Microsoft Learn

• Обзор расширенной охоты

• API потоковой передачи Microsoft Defender для конечной точки

• Stream Microsoft Defender для конечной точки события в учетную запись хранения Azure

• Документация по учетной записи хранения Azure

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.