Konfigurera Microsoft Defender för Endpoint för att strömma Advanced Hunting-händelser till ditt lagringskonto

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint

Obs!

Om du vill ha en fullständig dataströmningsupplevelse kan du besöka Stream Microsoft Defender XDR-händelser | Microsoft Learn.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Innan du börjar

1. Skapa ett lagringskonto i din klientorganisation.

2. Logga in på din Azure-klientorganisation och gå till PrenumerationerDinprenumerationsresursproviders>>>registrerar sig för Microsoft.insights.

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender-portalen som säkerhetsadministratör.

2. Gå till sidan Inställningar för dataexport i Microsoft Defender XDR.

3. Välj Lägg till inställningar för dataexport.

4. Välj ett namn för de nya inställningarna.

5. Välj Vidarebefordra händelser till Azure Storage.

6. Skriv ditt resurs-ID för lagringskontot. Om du vill hämta ditt resurs-ID för lagringskonto går du till sidan Lagringskonto på fliken > Egenskaper för Azure-portalen> och kopierar texten under Resurs-ID för lagringskonto:

   

7. Välj de händelser som du vill strömma och välj Spara.

Schemat för händelserna i lagringskontot

• En blobcontainer skapas för varje händelsetyp:

  

• Schemat för varje rad i en blob är följande JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Varje blob innehåller flera rader.

• Varje rad innehåller händelsenamnet, den tid då Defender för Endpoint tog emot händelsen, den klientorganisation den tillhör (du hämtar endast händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som heter properties.

• Mer information om schemat för Händelser i Microsoft Defender för Endpoint finns i Översikt över avancerad jakt.

• I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här är varje händelse också dekorerad med den här kolumnen. Mer information finns i Enhetsgrupper.

  Obs!

  Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

Mappning av datatyper

Utför följande steg för att hämta datatyperna för våra händelseegenskaper:

1. Logga in på Microsoft Defender-portalen och gå till sidan Avancerad jakt.

2. Kör följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Här är ett exempel på händelsen Enhetsinformation:

   

Relaterade artiklar

• Strömma Microsoft Defender XDR-händelser | Microsoft Learn
• Översikt över avancerad jakt
• API för Microsoft Defender för Endpoint Streaming
• Strömma Microsoft Defender för Endpoint-händelser till ditt Azure Storage-konto
• Dokumentation om Azure Storage-konto

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.