共用方式為


設定 Microsoft Defender for Endpoint 將進階搜捕事件串流至您的 Azure 事件中樞

適用於:

注意事項

如需完整的數據流體驗,請造訪 Stream Microsoft Defender XDR 事件 |Microsoft Learn。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

開始之前

  1. 在您的租使用者中建立 事件中樞

  2. 登入您的 Azure 租使用者,移至>訂用帳戶您的訂用帳戶>資源提供者>註冊至 Microsoft.insights

重要事項

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

啟用原始數據串流

  1. 以安全性系統管理員身 分登入 Microsoft Defender入口網站

  2. 移至 Microsoft Defender 入口網站中的 [ 資料匯出設定] 頁面

  3. 取 [新增數據匯出設定]

  4. 選擇新設定的名稱。

  5. 選擇 [將事件轉送至 Azure 事件中樞]

  6. 輸入您的 事件中樞名稱 和事件中 樞資源標識碼

注意事項

將事件中樞名稱保留為空白,將會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集,事件中樞命名空間的限制為10個事件中樞。

若要取得事件中樞資源標識符,請移至 Azure 屬性索引標籤>上的 [Azure 事件中>樞命名空間] 頁面,複製 [資源標識符] 底下的文字:

事件中樞資源標識碼-1

  1. 選擇您想要串流的事件,然後選取 [ 儲存]

Azure 事件中樞中事件的架構

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Azure 事件中樞中的每個事件中樞訊息都包含記錄清單。

  • 每一筆記錄都包含事件名稱、適用於端點的 Defender 收到事件Microsoft時間、它所屬的租使用者 (您只從租使用者) 取得事件,以及 JSON 格式的事件則是名為 “properties” 的屬性。

  • 如需適用於端點Microsoft Defender 事件架構的詳細資訊,請參閱進階 搜捕概觀

  • 在進階搜捕 中,DeviceInfo 數據表有一個名為 MachineGroup 的數據行,其中包含裝置的群組。 在這裡,每個事件也會以此數據行裝飾。 如需詳細資訊,請參閱 裝置群組

    注意事項

    適用於端點的Defender方案1和方案2支援裝置群組建立。

數據類型對應

若要取得事件屬性的數據類型,請執行下列動作:

  1. 登入 Microsoft Defender 入口網站 ,然後移至 [ 進階搜捕] 頁面

  2. 執行下列查詢以取得每個事件的資料類型對應:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • 以下是裝置資訊事件的範例:

    事件中樞資源標識碼-2

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。