Konfigurera Microsoft Defender för Endpoint för att strömma Advanced Hunting-händelser till ditt lagringskonto

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint

Obs!

Om du vill ha en fullständig dataströmningsupplevelse kan du besöka Stream Microsoft Defender XDR händelser | Microsoft Learn.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Innan du börjar

1. Skapa ett lagringskonto i din klientorganisation.

2. Logga in på din Azure-klientorganisation och gå till Prenumerationer Din prenumerationsresursproviders >>> registrerar sig för Microsoft.insights.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender-portalen som global administratör eller säkerhetsadministratör.

2. Gå till sidan Inställningar för dataexport i Microsoft Defender XDR.

3. Välj Lägg till inställningar för dataexport.

4. Välj ett namn för de nya inställningarna.

5. Välj Vidarebefordra händelser till Azure Storage.

6. Skriv ditt resurs-ID för lagringskontot. Om du vill hämta ditt resurs-ID för lagringskonto går du till sidan Lagringskonto på fliken> Azure Portal > egenskaper kopierar texten under Resurs-ID för lagringskonto:

   

7. Välj de händelser som du vill strömma och välj Spara.

Schemat för händelserna i lagringskontot

• En blobcontainer skapas för varje händelsetyp:

  

• Schemat för varje rad i en blob är följande JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Varje blob innehåller flera rader.

• Varje rad innehåller händelsenamnet, den tid då Defender för Endpoint tog emot händelsen, den klientorganisation den tillhör (du hämtar endast händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".

• Mer information om schemat för Microsoft Defender för Endpoint händelser finns i Översikt över avancerad jakt.

• I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här är varje händelse också dekorerad med den här kolumnen. Mer information finns i Grupper.

  Obs!

  Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

Mappning av datatyper

För att hämta datatyperna för våra händelseegenskaper gör du följande:

1. Logga in på Microsoft Defender XDR och gå till sidan Avancerad jakt.

2. Kör följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Här är ett exempel på händelsen Enhetsinformation:

  

Relaterade artiklar

• Stream Microsoft Defender XDR händelser | Microsoft Learn

• Översikt över avancerad jakt

• API för Microsoft Defender för Endpoint-strömning

• Stream Microsoft Defender för Endpoint händelser till ditt Azure Storage-konto

• Dokumentation om Azure Storage-konto

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.