配置Microsoft Defender for Endpoint以将高级搜寻事件流式传输到存储帐户

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint

注意

若要获得完整的数据流式处理体验，请访问Stream Microsoft Defender XDR事件 |Microsoft Learn。

希望体验 Defender for Endpoint？ 注册免费试用版。

开始之前

1. Create租户中的存储帐户。

2. 登录到 Azure 租户，转到 订阅 > 你的订阅 > 资源提供程序 > 注册到 Microsoft.insights。

启用原始数据流式处理

1. 以全局管理员或安全管理员身份登录到 Microsoft Defender 门户。

2. 转到 Microsoft Defender XDR 中的数据导出设置页。

3. 选择 “添加数据导出设置”。

4. 为新设置选择名称。

5. 选择“ 将事件转发到 Azure 存储”。

6. 键入 存储帐户资源 ID。 若要获取存储帐户资源 ID，请转到“Azure 门户属性”选项卡上>的“存储帐户”页>，复制“存储帐户资源 ID”下的文本：

   

7. 选择要流式传输的事件，然后选择“ 保存”。

存储帐户中事件的架构

• 将为每个事件类型创建一个 Blob 容器：

  

• Blob 中每一行的架构为以下 JSON：

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• 每个 Blob 包含多个行。

• 每行都包含事件名称、Defender for Endpoint 接收事件的时间、它所属 (仅从租户) 获取事件的租户，以及名为“properties”的属性中的 JSON 格式的事件。

• 有关Microsoft Defender for Endpoint事件的架构的详细信息，请参阅高级搜寻概述。

• 在“高级搜寻”中， DeviceInfo 表有一个名为 MachineGroup 的列，其中包含设备的组。 在这里，每个事件也用此列进行修饰。 有关详细信息，请参阅设备组。

  注意

  Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

数据类型映射

若要获取事件属性的数据类型，请执行以下操作：

1. 登录到Microsoft Defender XDR并转到“高级搜寻”页。

2. 运行以下查询以获取每个事件的数据类型映射：

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• 下面是设备信息事件的示例：

  

相关文章

• Stream Microsoft Defender XDR事件 |Microsoft Learn

• 高级搜寻概述

• Microsoft Defender for Endpoint流式处理 API

• 将事件Stream Microsoft Defender for Endpoint Azure 存储帐户

• Azure 存储帐户文档

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。