配置Microsoft Defender for Endpoint以将高级搜寻事件流式传输到存储帐户
适用于:
注意
若要获得完整的数据流式处理体验,请访问Stream Microsoft Defender XDR事件 |Microsoft Learn。
希望体验 Defender for Endpoint? 注册免费试用版。
开始之前
启用原始数据流式处理
以全局管理员或安全管理员身份登录到 Microsoft Defender 门户。
转到 Microsoft Defender XDR 中的数据导出设置页。
选择 “添加数据导出设置”。
为新设置选择名称。
选择“ 将事件转发到 Azure 存储”。
键入 存储帐户资源 ID。 若要获取存储帐户资源 ID,请转到“Azure 门户属性”选项卡上>的“存储帐户”页>,复制“存储帐户资源 ID”下的文本:
选择要流式传输的事件,然后选择“ 保存”。
存储帐户中事件的架构
将为每个事件类型创建一个 Blob 容器:
Blob 中每一行的架构为以下 JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
每个 Blob 包含多个行。
每行都包含事件名称、Defender for Endpoint 接收事件的时间、它所属 (仅从租户) 获取事件的租户,以及名为“properties”的属性中的 JSON 格式的事件。
有关Microsoft Defender for Endpoint事件的架构的详细信息,请参阅高级搜寻概述。
在“高级搜寻”中, DeviceInfo 表有一个名为 MachineGroup 的列,其中包含设备的组。 在这里,每个事件也用此列进行修饰。 有关详细信息,请参阅设备组。
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
数据类型映射
若要获取事件属性的数据类型,请执行以下操作:
运行以下查询以获取每个事件的数据类型映射:
{EventType} | getschema | project ColumnName, ColumnType
相关文章
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈