配置Microsoft Defender for Endpoint以将高级搜寻事件流式传输到Azure 事件中心
适用于:
注意
若要获得完整的数据流式处理体验,请访问Stream Microsoft Defender XDR事件 |Microsoft Learn。
希望体验 Defender for Endpoint? 注册免费试用版。
开始之前
启用原始数据流式处理
以全局管理员或安全管理员身份登录到Microsoft Defender XDR。
转到Microsoft Defender门户中的“数据导出设置”页。
单击“ 添加数据导出设置”。
为新设置选择名称。
选择“将事件转发到Azure 事件中心”。
键入事件中心名称和事件中心资源 ID。
注意
将事件中心名称保留为空将为所选命名空间中的每个类别创建事件中心。 如果不使用专用事件中心群集,事件中心命名空间的限制为 10 个事件中心。
若要获取事件中心资源 ID,请转到 Azure> 属性选项卡上的“Azure 事件中心命名空间”页,复制“资源 ID”>下的文本:
- 选择要流式传输的事件,然后单击“ 保存”。
Azure 事件中心 中事件的架构
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 事件中心中的每个事件中心消息都包含记录列表。
每个记录都包含事件名称、Microsoft Defender for Endpoint接收事件的时间、它所属 (仅从租户) 获取事件的租户,以及名为“properties”的属性的 JSON 格式的事件。
有关Microsoft Defender for Endpoint事件的架构的详细信息,请参阅高级搜寻概述。
在“高级搜寻”中, DeviceInfo 表有一个名为 MachineGroup 的列,其中包含设备的组。 在这里,每个事件也将用此列进行修饰。 有关详细信息,请参阅设备组。
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
数据类型映射
若要获取事件属性的数据类型,请执行以下操作:
运行以下查询以获取每个事件的数据类型映射:
{EventType} | getschema | project ColumnName, ColumnType
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈