Konfigurera Microsoft Defender för Endpoint för att strömma Advanced Hunting-händelser till din Azure Event Hubs

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint

Obs!

Om du vill ha en fullständig dataströmningsupplevelse kan du besöka Stream Microsoft Defender XDR händelser | Microsoft Learn.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Innan du börjar

1. Skapa en händelsehubb i din klientorganisation.

2. Logga in på din Azure-klientorganisation och gå till Prenumerationer Din prenumerationsresursproviders >>> registrerar sig på Microsoft.insights.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender XDR som global administratör eller säkerhetsadministratör.

2. Gå till sidan Inställningar för dataexport i Microsoft Defender-portalen.

3. Klicka på Lägg till inställningar för dataexport.

4. Välj ett namn för de nya inställningarna.

5. Välj Vidarebefordra händelser för att Azure Event Hubs.

6. Ange eventhubs-namnet och resurs-ID:t för Event Hubs.

Obs!

Om Event Hubs-namnet lämnas tomt skapas en händelsehubb för varje kategori i det valda namnområdet. Event Hubs-namnområden har en gräns på 10 Event Hubs om du inte använder ett dedikerat Event Hubs-kluster.

Om du vill hämta resurs-ID:t för Event Hubs går du till din Azure Event Hubs namnområdessida på fliken >Azure-egenskaper> och kopierar texten under Resurs-ID:

7. Välj de händelser som du vill strömma och klicka på Spara.

Schemat för händelserna i Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Varje händelsehubbmeddelande i Azure Event Hubs innehåller en lista över poster.

• Varje post innehåller händelsenamnet, den tid Microsoft Defender för Endpoint tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".

• Mer information om schemat för Microsoft Defender för Endpoint händelser finns i Översikt över avancerad jakt.

• I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här kommer även varje händelse att dekoreras med den här kolumnen. Mer information finns i Grupper för enhet.

  Obs!

  Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

Mappning av datatyper

Så här hämtar du datatyperna för händelseegenskaper:

1. Logga in på Microsoft Defender XDR och gå till sidan Avancerad jakt.

2. Kör följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• Här är ett exempel på händelsen Enhetsinformation:

  

Relaterade ämnen

• Stream Microsoft Defender XDR händelser | Microsoft Learn

• Översikt över avancerad jakt

• Microsoft Defender för Endpoint api för direktuppspelning

• Stream Microsoft Defender för Endpoint händelser till ditt Azure Storage-konto

• Azure Event Hubs dokumentation

• Felsöka anslutningsproblem – Azure Event Hubs

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.