設定 Microsoft Defender for Endpoint 將進階搜捕事件串流至您的 Azure 事件中樞
適用於:
注意事項
如需完整的數據流體驗,請造訪 Stream Microsoft Defender XDR 事件 |Microsoft Learn。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
開始之前
重要事項
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
啟用原始數據串流
以安全性系統管理員身 分登入 Microsoft Defender入口網站。
移至 Microsoft Defender 入口網站中的 [ 資料匯出設定] 頁面 。
選 取 [新增數據匯出設定]。
選擇新設定的名稱。
選擇 [將事件轉送至 Azure 事件中樞]。
輸入您的 事件中樞名稱 和事件中 樞資源標識碼。
注意事項
將事件中樞名稱保留為空白,將會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集,事件中樞命名空間的限制為10個事件中樞。
若要取得事件中樞資源標識符,請移至 Azure 屬性索引標籤>上的 [Azure 事件中>樞命名空間] 頁面,複製 [資源標識符] 底下的文字:
- 選擇您想要串流的事件,然後選取 [ 儲存]。
Azure 事件中樞中事件的架構
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 事件中樞中的每個事件中樞訊息都包含記錄清單。
每一筆記錄都包含事件名稱、適用於端點的 Defender 收到事件Microsoft時間、它所屬的租使用者 (您只從租使用者) 取得事件,以及 JSON 格式的事件則是名為 “properties” 的屬性。
如需適用於端點Microsoft Defender 事件架構的詳細資訊,請參閱進階 搜捕概觀。
在進階搜捕 中,DeviceInfo 數據表有一個名為 MachineGroup 的數據行,其中包含裝置的群組。 在這裡,每個事件也會以此數據行裝飾。 如需詳細資訊,請參閱 裝置群組。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
數據類型對應
若要取得事件屬性的數據類型,請執行下列動作:
登入 Microsoft Defender 入口網站 ,然後移至 [ 進階搜捕] 頁面。
執行下列查詢以取得每個事件的資料類型對應:
{EventType} | getschema | project ColumnName, ColumnType
相關文章
- 串流Microsoft Defender XDR 事件 |Microsoft Learn
- 進階搜捕概觀
- Microsoft適用於端點的 Defender 串流 API
- 將適用於端點Microsoft Defender 事件串流至您的 Azure 儲存體帳戶
- Azure 事件中樞檔
- 針對連線問題進行疑難解答 - Azure 事件中樞
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。