Konfigurieren von Microsoft Defender für Endpunkt zum Streamen von Erweiterten Hunting-Ereignissen an Ihr Speicherkonto

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt

Hinweis

Eine vollständige Datenstreamingerfahrung finden Sie unter Streamen von Microsoft Defender XDR-Ereignissen | Microsoft Learn.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Bevor Sie beginnen

1. Erstellen Sie ein Speicherkonto in Ihrem Mandanten.

2. Melden Sie sich bei Ihrem Azure-Mandanten an, und wechseln Sie zu Abonnements>Ihr Abonnement>Ressourcenanbieter>Registrieren bei Microsoft.insights.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Aktivieren des Rohdatenstreamings

1. Melden Sie sich beim Microsoft Defender-Portal als Sicherheitsadministrator an.

2. Wechseln Sie in Microsoft Defender XDR zur Seite Datenexporteinstellungen .

3. Wählen Sie Datenexporteinstellungen hinzufügen aus.

4. Wählen Sie einen Namen für Ihre neuen Einstellungen aus.

5. Wählen Sie Ereignisse an Azure Storage weiterleiten aus.

6. Geben Sie die Ressourcen-ID Ihres Speicherkontos ein. Um Die Ressourcen-ID Ihres Speicherkontos abzurufen, wechseln Sie auf der Registerkarte "Eigenschaften" > des Azure-Portals> zur Seite "Speicherkonto", und kopieren Sie den Text unter Ressourcen-ID des Speicherkontos:

   

7. Wählen Sie die Ereignisse aus, die Sie streamen möchten, und wählen Sie Speichern aus.

Das Schema der Ereignisse im Speicherkonto

• Für jeden Ereignistyp wird ein Blobcontainer erstellt:

  

• Das Schema jeder Zeile in einem Blob ist der folgende JSON-Code:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Jedes Blob enthält mehrere Zeilen.

• Jede Zeile enthält den Ereignisnamen, den Zeitpunkt, zu dem Defender für Endpunkt das Ereignis empfangen hat, den Mandanten, zu dem es gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens properties.

• Weitere Informationen zum Schema von Microsoft Defender für Endpunkt-Ereignissen finden Sie unter Übersicht über die erweiterte Suche.

• In der erweiterten Suche enthält die Tabelle DeviceInfo eine Spalte mit dem Namen MachineGroup , die die Gruppe des Geräts enthält. Auch hier ist jede Veranstaltung mit dieser Spalte versehen. Weitere Informationen finden Sie unter Gerätegruppen.

  Hinweis

  Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Datentypzuordnung

Führen Sie die folgenden Schritte aus, um die Datentypen für unsere Ereigniseigenschaften abzurufen:

1. Melden Sie sich beim Microsoft Defender-Portal an, und wechseln Sie zur Seite Erweiterte Suche.

2. Führen Sie die folgende Abfrage aus, um die Datentypzuordnung für jedes Ereignis abzurufen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Hier sehen Sie ein Beispiel für das Device Info-Ereignis:

   

Verwandte Artikel

• Streamen von Microsoft Defender XDR-Ereignissen | Microsoft Learn
• Übersicht über die erweiterte Suche
• Microsoft Defender für Endpunkt Streaming-API
• Streamen von Microsoft Defender für Endpunkt-Ereignissen in Ihr Azure-Speicherkonto
• Dokumentation zum Azure Storage-Konto

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.