Aracılığıyla paylaş


Gelişmiş Tehdit Avcılığı olaylarını Depolama hesabınıza akışla aktaracak şekilde Uç Nokta için Microsoft Defender'ı yapılandırma

Şunlar için geçerlidir:

Not

Kullanılabilir tam veri akışı deneyimi için lütfen Microsoft Defender XDR olaylarını akışla aktarma sayfasını ziyaret edin | Microsoft Learn.

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Başlamadan önce

  1. Kiracınızda bir Depolama hesabı oluşturun.

  2. Azure kiracınızda oturum açın, Abonelikler>Aboneliğiniz>Kaynak Sağlayıcıları>Microsoft.insights'a kaydolun bölümüne gidin.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Ham veri akışını etkinleştirme

  1. Microsoft Defender portalında Güvenlik Yöneticisi olarak oturum açın.

  2. Microsoft Defender XDR'de Veri dışarı aktarma ayarları sayfasına gidin.

  3. Veri dışarı aktarma ayarları ekle'yi seçin.

  4. Yeni ayarlarınız için bir ad seçin.

  5. Olayları Azure Depolama'ya ilet'i seçin.

  6. Depolama Hesabı Kaynak Kimliğinizi yazın. Depolama Hesabı Kaynak Kimliğinizi almak için Azure portal> özellikleri sekmesindeki > Depolama hesabı sayfanıza gidin ve Depolama hesabı kaynak kimliği altındaki metni kopyalayın:

    Kaynak kimliği1 olan Event Hubs

  7. Akış yapmak istediğiniz olayları seçin ve Kaydet'i seçin.

Depolama hesabındaki olayların şeması

  • Her olay türü için bir blob kapsayıcısı oluşturulur:

    Kaynak kimliği2 olan Event Hubs

  • Blobdaki her satırın şeması aşağıdaki JSON'dır:

    {
      "time": "<The time WDATP received the event>"
      "tenantId": "<Your tenant ID>"
      "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
      "properties": { <WDATP Advanced Hunting event as Json> }
    }
    
  • Her blob birden çok satır içerir.

  • Her satır olay adını, Uç Nokta için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve adlı propertiesbir özellikte JSON biçimindeki olayı içerir.

  • Uç Nokta için Microsoft Defender olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.

  • Gelişmiş Avcılık'ta DeviceInfo tablosunda, cihazın grubunu içeren MachineGroup adlı bir sütun bulunur. Burada her olay da bu sütunla dekore edilmiştir. Daha fazla bilgi için bkz . Cihaz Grupları.

    Not

    Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

Veri türleri eşlemesi

Olay özelliklerimizin veri türlerini almak için aşağıdaki adımları izleyin:

  1. Microsoft Defender portalında oturum açın ve Gelişmiş Tehdit Avcılığı sayfasına gidin.

  2. Her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    

    Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:

    Kaynak kimliği3 olan Event Hubs

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.