配置 Microsoft Defender for Endpoint 以将高级搜寻事件流式传输到 Azure 事件中心

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint

注意

有关可用的完整数据流式处理体验，请访问 Stream Microsoft Defender XDR 事件 |Microsoft Learn。

希望体验 Defender for Endpoint？ 注册免费试用版。

开始之前

1. 在租户中创建 事件中心 。

2. 登录到 Azure 租户，转到 订阅>你的订阅>资源提供程序>注册到 Microsoft.insights。

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色，在无法使用现有角色时，应仅限于紧急情况。

启用原始数据流式处理

1. 以安全管理员身份登录到 Microsoft Defender 门户。

2. 转到 Microsoft Defender 门户中的 “数据导出设置”页 。

3. 选择 “添加数据导出设置”。

4. 为新设置选择名称。

5. 选择“ 将事件转发到 Azure 事件中心”。

6. 键入事件中心名称和事件中心资源 ID。

注意

将事件中心名称保留为空将为所选命名空间中的每个类别创建事件中心。 如果不使用专用事件中心群集，事件中心命名空间的限制为 10 个事件中心。

若要获取事件中心资源 ID，请转到 Azure 属性选项卡上>的 Azure 事件中心命名空间页>，复制“资源 ID”下的文本：

7. 选择要流式传输的事件，然后选择“ 保存”。

Azure 事件中心内事件的架构

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Azure 事件中心中的每个事件中心消息都包含记录列表。

• 每个记录都包含事件名称、Microsoft Defender for Endpoint 接收事件的时间、它所属 (仅从租户) 获取事件的租户，以及名为“properties”的属性的 JSON 格式的事件。

• 有关 Microsoft Defender for Endpoint 事件的架构的详细信息，请参阅 高级搜寻概述。

• 在“高级搜寻”中， DeviceInfo 表有一个名为 MachineGroup 的列，其中包含设备的组。 在这里，每个事件也用此列进行修饰。 有关详细信息，请参阅 设备组。

  注意

  Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

数据类型映射

若要获取事件属性的数据类型，请执行以下操作：

1. 登录到 Microsoft Defender 门户 ，然后转到 “高级搜寻”页。

2. 运行以下查询以获取每个事件的数据类型映射：

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• 下面是设备信息事件的示例：

  

相关文章

• 流式传输Microsoft Defender XDR 事件 |Microsoft Learn
• 高级搜寻概述
• Microsoft Defender for Endpoint 流式处理 API
• 将 Microsoft Defender for Endpoint 事件流式传输到 Azure 存储帐户
• Azure 事件中心文档
• 排查连接问题 - Azure 事件中心

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。