Depolama hesabınıza Gelişmiş Tehdit Avcılığı olaylarının akışını yapmak için Uç Nokta için Microsoft Defender yapılandırma
Şunlar için geçerlidir:
Not
Kullanılabilir tam veri akışı deneyimi için lütfen Stream Microsoft Defender XDR olaylarını ziyaret edin | Microsoft Learn.
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Başlamadan önce
Kiracınızda bir Depolama hesabı İçerik Oluşturucu.
Azure kiracınızda oturum açın, Abonelikler > Aboneliğiniz > Kaynak Sağlayıcıları > Microsoft.insights'a kaydolun bölümüne gidin.
Ham veri akışını etkinleştirme
Microsoft Defender portalındaGenel Yönetici veya Güvenlik Yöneticisi olarak oturum açın.
Microsoft Defender XDR'da Veri dışarı aktarma ayarları sayfasına gidin.
Veri dışarı aktarma ayarları ekle'yi seçin.
Yeni ayarlarınız için bir ad seçin.
Olayları Azure Depolama'ya ilet'i seçin.
Depolama Hesabı Kaynak Kimliğinizi yazın. Depolama Hesabı Kaynak Kimliğinizi almak için Azure portal özellikler sekmesindeki>> Depolama hesabı sayfanıza gidin ve Depolama hesabı kaynak kimliği altındaki metni kopyalayın:
Akış yapmak istediğiniz olayları seçin ve Kaydet'i seçin.
Depolama hesabındaki olayların şeması
Her olay türü için bir blob kapsayıcısı oluşturulur:
Blobdaki her satırın şeması aşağıdaki JSON'dır:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Her blob birden çok satır içerir.
Her satır olay adını, Uç Nokta için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.
Uç Nokta için Microsoft Defender olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.
Gelişmiş Avcılık'ta DeviceInfo tablosunda, cihazın grubunu içeren MachineGroup adlı bir sütun bulunur. Burada her olay da bu sütunla dekore edilmiştir. Daha fazla bilgi için bkz. Cihaz Gruplar.
Not
Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.
Veri türleri eşlemesi
Olay özelliklerimizin veri türlerini almak için aşağıdakileri yapın:
Microsoft Defender XDR oturum açın ve Gelişmiş Tehdit Avcılığı sayfasına gidin.
Her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:
{EventType} | getschema | project ColumnName, ColumnType
İlgili makaleler
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin