配置 Microsoft Defender for Endpoint 以将高级搜寻事件流式传输到存储帐户
适用于:
注意
有关可用的完整数据流式处理体验,请访问 Stream Microsoft Defender XDR 事件 |Microsoft Learn。
希望体验 Defender for Endpoint? 注册免费试用版。
开始之前
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
启用原始数据流式处理
以安全管理员身份登录到 Microsoft Defender 门户 。
转到 Microsoft Defender XDR 中的数据 导出设置页 。
选择 “添加数据导出设置”。
为新设置选择名称。
选择“ 将事件转发到 Azure 存储”。
键入 存储帐户资源 ID。 若要获取存储帐户资源 ID,请转到 Azure 门户>属性选项卡上的“存储帐户”页,复制“存储帐户资源 ID”>下的文本:
选择要流式传输的事件,然后选择“ 保存”。
存储帐户中事件的架构
将为每个事件类型创建一个 Blob 容器:
Blob 中每一行的架构为以下 JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
每个 Blob 包含多个行。
每行包含事件名称、Defender for Endpoint 接收事件的时间、它所属 (仅从租户) 获取事件的租户,以及名为 的
properties
属性中的 JSON 格式的事件。有关 Microsoft Defender for Endpoint 事件的架构的详细信息,请参阅 高级搜寻概述。
在“高级搜寻”中, DeviceInfo 表有一个名为 MachineGroup 的列,其中包含设备的组。 在这里,每个事件也用此列进行修饰。 有关详细信息,请参阅 设备组。
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
数据类型映射
若要获取事件属性的数据类型,请执行以下步骤:
登录到 Microsoft Defender 门户 ,然后转到 “高级搜寻”页。
运行以下查询以获取每个事件的数据类型映射:
{EventType} | getschema | project ColumnName, ColumnType
下面是设备信息事件的示例:
相关文章
- 流式传输Microsoft Defender XDR 事件 |Microsoft Learn
- 高级搜寻概述
- Microsoft Defender for Endpoint 流式处理 API
- 将 Microsoft Defender for Endpoint 事件流式传输到 Azure 存储帐户
- Azure 存储帐户文档
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。