Konfigurera Microsoft Defender för Endpoint för att strömma Advanced Hunting-händelser till dina Azure Event Hubs
Gäller för:
Obs!
Om du vill ha en fullständig dataströmningsupplevelse kan du besöka Stream Microsoft Defender XDR-händelser | Microsoft Learn.
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Innan du börjar
Skapa en händelsehubb i din klientorganisation.
Logga in på din Azure-klientorganisation och gå till PrenumerationerDinprenumerationsresursproviders>>>registrerar sig för Microsoft.insights.
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Aktivera direktuppspelning av rådata
Logga in på Microsoft Defender-portalen som säkerhetsadministratör.
Gå till sidan Inställningar för dataexport i Microsoft Defender-portalen.
Välj Lägg till inställningar för dataexport.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser till Azure Event Hubs.
Ange eventhubs-namnet och resurs-ID:t för Event Hubs.
Obs!
Om Event Hubs-namnet lämnas tomt skapas en händelsehubb för varje kategori i det valda namnområdet. Event Hubs-namnområden har en gräns på 10 Event Hubs om du inte använder ett dedikerat Event Hubs-kluster.
Om du vill hämta resurs-ID:t för Event Hubs går du till namnområdessidan för Azure Event Hubs på fliken >Azure-egenskaper> och kopierar texten under Resurs-ID:
- Välj de händelser som du vill strömma och välj Spara.
Schemat för händelserna i Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Varje händelsehubbmeddelande i Azure Event Hubs innehåller en lista över poster.
Varje post innehåller händelsenamnet, tidpunkten då Microsoft Defender för Endpoint tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".
Mer information om schemat för Händelser i Microsoft Defender för Endpoint finns i Översikt över avancerad jakt.
I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här är varje händelse också dekorerad med den här kolumnen. Mer information finns i Enhetsgrupper.
Obs!
Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.
Mappning av datatyper
Så här hämtar du datatyperna för händelseegenskaper:
Logga in på Microsoft Defender-portalen och gå till sidan Avancerad jakt.
Kör följande fråga för att hämta datatypernas mappning för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Här är ett exempel på händelsen Enhetsinformation:
Relaterade artiklar
- Strömma Microsoft Defender XDR-händelser | Microsoft Learn
- Översikt över avancerad jakt
- Strömnings-API för Microsoft Defender för Endpoint
- Strömma Microsoft Defender för Endpoint-händelser till ditt Azure Storage-konto
- Dokumentation om Azure Event Hubs
- Felsöka anslutningsproblem – Azure Event Hubs
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.