Depolama hesabınıza Gelişmiş Tehdit Avcılığı olaylarının akışını yapmak için Uç Nokta için Microsoft Defender yapılandırma

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender

Not

Kullanılabilir tam veri akışı deneyimi için lütfen Stream Microsoft Defender XDR olaylarını ziyaret edin | Microsoft Learn.

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Başlamadan önce

1. Kiracınızda bir Depolama hesabı İçerik Oluşturucu.

2. Azure kiracınızda oturum açın, Abonelikler > Aboneliğiniz > Kaynak Sağlayıcıları > Microsoft.insights'a kaydolun bölümüne gidin.

Ham veri akışını etkinleştirme

1. Microsoft Defender portalındaGenel Yönetici veya Güvenlik Yöneticisi olarak oturum açın.

2. Microsoft Defender XDR'da Veri dışarı aktarma ayarları sayfasına gidin.

3. Veri dışarı aktarma ayarları ekle'yi seçin.

4. Yeni ayarlarınız için bir ad seçin.

5. Olayları Azure Depolama'ya ilet'i seçin.

6. Depolama Hesabı Kaynak Kimliğinizi yazın. Depolama Hesabı Kaynak Kimliğinizi almak için Azure portal özellikler sekmesindeki>> Depolama hesabı sayfanıza gidin ve Depolama hesabı kaynak kimliği altındaki metni kopyalayın:

   

7. Akış yapmak istediğiniz olayları seçin ve Kaydet'i seçin.

Depolama hesabındaki olayların şeması

• Her olay türü için bir blob kapsayıcısı oluşturulur:

  

• Blobdaki her satırın şeması aşağıdaki JSON'dır:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Her blob birden çok satır içerir.

• Her satır olay adını, Uç Nokta için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.

• Uç Nokta için Microsoft Defender olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.

• Gelişmiş Avcılık'ta DeviceInfo tablosunda, cihazın grubunu içeren MachineGroup adlı bir sütun bulunur. Burada her olay da bu sütunla dekore edilmiştir. Daha fazla bilgi için bkz. Cihaz Gruplar.

  Not

  Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

Veri türleri eşlemesi

Olay özelliklerimizin veri türlerini almak için aşağıdakileri yapın:

1. Microsoft Defender XDR oturum açın ve Gelişmiş Tehdit Avcılığı sayfasına gidin.

2. Her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:

  

İlgili makaleler

• olayları Stream Microsoft Defender XDR | Microsoft Learn

• Gelişmiş Avcılık'a Genel Bakış

• Uç Nokta için Microsoft Defender Akış API'si

• Olayları Azure depolama hesabınıza Stream Uç Nokta için Microsoft Defender

• Azure Depolama Hesabı belgeleri

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.