고급 헌팅 이벤트를 Azure Event Hubs 스트리밍하도록 엔드포인트용 Microsoft Defender 구성
적용 대상:
참고
사용 가능한 전체 데이터 스트리밍 환경은 Stream Microsoft Defender XDR 이벤트를 방문하세요. | Microsoft Learn.
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
시작하기 전에
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
원시 데이터 스트리밍 사용
Microsoft Defender 포털에 보안 관리자로 로그인합니다.
Microsoft Defender 포털의 데이터 내보내기 설정 페이지로 이동합니다.
데이터 내보내기 설정 추가를 선택합니다.
새 설정의 이름을 선택합니다.
Azure Event Hubs 이벤트 전달을 선택합니다.
Event Hubs 이름 및 Event Hubs 리소스 ID를 입력합니다.
참고
Event Hubs 이름을 비워 두면 선택한 네임스페이스의 각 범주에 대한 이벤트 허브가 생성됩니다. 전용 Event Hubs 클러스터를 사용하지 않는 경우 Event Hubs 네임스페이스는 10개의 Event Hubs로 제한됩니다.
Event Hubs 리소스 ID를 가져오려면 Azure> 속성 탭 > 의 Azure Event Hubs 네임스페이스 페이지로 이동하여 리소스 ID 아래에 있는 텍스트를 복사합니다.
- 스트리밍할 이벤트를 선택하고 저장을 선택합니다.
Azure Event Hubs 이벤트의 스키마
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs 각 이벤트 허브 메시지에는 레코드 목록이 포함됩니다.
각 레코드에는 이벤트 이름, 엔드포인트용 Microsoft Defender 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서 이벤트만 가져오기) 및 "properties"라는 속성의 JSON 형식의 이벤트가 포함됩니다.
엔드포인트용 Microsoft Defender 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.
고급 헌팅에서 DeviceInfo 테이블에는 디바이스 그룹이 포함된 MachineGroup 이라는 열이 있습니다. 여기서는 모든 이벤트도 이 열로 데코레이트됩니다. 자세한 내용은 디바이스 그룹을 참조하세요.
참고
디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.
데이터 형식 매핑
이벤트 속성에 대한 데이터 형식을 얻으려면 다음을 수행합니다.
Microsoft Defender 포털에 로그인하고 고급 헌팅 페이지로 이동합니다.
다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.
{EventType} | getschema | project ColumnName, ColumnType
디바이스 정보 이벤트의 예는 다음과 같습니다.
관련 문서
- Stream Microsoft Defender XDR 이벤트 | Microsoft Learn
- 고급 헌팅 개요
- 스트리밍 API 엔드포인트용 Microsoft Defender
- Azure Storage 계정에 이벤트 Stream 엔드포인트용 Microsoft Defender
- Azure Event Hubs 설명서
- 연결 문제 해결 - Azure Event Hubs
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.