Määritä Microsoft Defender for Endpoint virtautettavaksi kehittyneen metsästyksen tapahtumat Azure-tapahtumatoimintoihisi
Koskee seuraavia:
Huomautus
Saat kaikki saatavilla olevat tietojen suoratoistotoiminnot streamin Microsoft Defenderin XDR-tapahtumista | Microsoft Learn.
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Alkuvalmistelut
Luo tapahtumatoiminto vuokraajassasi.
Kirjaudu sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>Resurssintarjoajien>rekisteröinti Microsoft.insightsiin.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Ota raakatietojen virtauttaminen käyttöön
Kirjaudu sisään Microsoft Defender -portaaliinsuojauksen järjestelmänvalvojana.
Siirry Tietojen viennin asetukset -sivulle Microsoft Defender -portaalissa.
Valitse Lisää tietojen vientiasetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tapahtumatoimintoihin.
Kirjoita tapahtumatoimintojen nimi ja tapahtumatoimintojen resurssitunnus.
Huomautus
Jos tapahtumatoimintojen nimi jätetään tyhjäksi, tapahtumatoiminto luodaan jokaiselle valitun nimitilan luokalle. Tapahtumatoimintojen nimitiloissa on enintään 10 tapahtumatoimintoa, jos et käytä varattua tapahtumatoimintoklusteria.
Jos haluat saada Tapahtumatoiminnot-resurssitunnuksen, siirry Azure-ominaisuuksien> välilehden > Azure-tapahtumatoimintojen nimitilasivulle kopioimalla teksti kohdassa Resurssitunnus:
- Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse Tallenna.
Azure-tapahtumatoimintojen tapahtumien rakenne
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Jokainen Azure-tapahtumatoimintojen tapahtumakeskuksen viesti sisältää tietueluettelon.
Jokainen tietue sisältää tapahtuman nimen, ajan, jolloin Microsoft Defender for Endpoint vastaanotti tapahtuman, sen vuokraajan, jolle se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä "properties".
Lisätietoja Microsoft Defender for Endpoint -tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.
Lisämetsästyksessä DeviceInfo-taulukossa on sarake nimeltä MachineGroup , joka sisältää laitteen ryhmän. Tässä jokainen tapahtuma on koristeltu myös tällä sarakkeella. Lisätietoja on kohdassa Laiteryhmät.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Tietotyyppien yhdistäminen
Voit hakea tapahtuman ominaisuuksien tietotyypit seuraavasti:
Kirjaudu sisään Microsoft Defender -portaaliin ja siirry kehittyneen metsästyksen sivulle.
Suorita seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:
{EventType} | getschema | project ColumnName, ColumnType
Tässä on esimerkki laitetietojen tapahtumasta:
Aiheeseen liittyviä artikkeleita
- StreamIn Microsoft Defenderin XDR-tapahtumat | Microsoft Learn
- Kehittyneen metsästyksen yleiskatsaus
- Microsoft Defender for Endpoint streaming -ohjelmointirajapinta
- Stream Microsoft Defender for Endpoint -tapahtumat Azure-tallennustilillesi
- Azure Event Hubs -dokumentaatio
- Yhteysongelmien vianmääritys – Azuren tapahtumatoiminnot
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.