Configurar Microsoft Defender para Ponto de Extremidade para transmitir eventos de Investigação Avançada para a conta de Armazenamento

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Ponto de Extremidade

Observação

Para obter a experiência completa de transmissão em fluxo de dados disponível, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Antes de começar

1. Crie uma conta de Armazenamento no seu inquilino.

2. Inicie sessão no inquilino do Azure e aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registem-se em Microsoft.insights.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Ativar a transmissão em fluxo de dados não processados

1. Inicie sessão no portal Microsoft Defender.

2. Aceda à página Definições de exportação de dados no Microsoft Defender XDR.

3. Selecione Adicionar definições de exportação de dados.

4. Escolha um nome para as suas novas definições.

5. Selecione Reencaminhar eventos para o Armazenamento do Azure.

6. Escreva o ID de Recurso da Conta de Armazenamento. Para obter o ID do Recurso da Conta de Armazenamento, aceda à página Conta de armazenamento no separador> de propriedades portal do Azure>, copie o texto em ID do recurso da conta de armazenamento:

   

7. Selecione os eventos que pretende transmitir em fluxo e selecione Guardar.

O esquema dos eventos na conta de Armazenamento

• É criado um contentor de blobs para cada tipo de evento:

  

• O esquema de cada linha num blob é o seguinte JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Cada blob contém várias linhas.

• Cada linha contém o nome do evento, a hora em que o Defender para Endpoint recebeu o evento, o inquilino ao qual pertence (obtém eventos apenas do seu inquilino) e o evento no formato JSON numa propriedade chamada properties.

• Para obter mais informações sobre o esquema de Microsoft Defender para Ponto de Extremidade eventos, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

• Em Investigação Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, todos os eventos também são decorados com esta coluna. Para obter mais informações, veja Grupos de dispositivos.

  Observação

  A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Mapeamento de tipos de dados

Para obter os tipos de dados para as nossas propriedades de eventos, siga os seguintes passos:

1. Inicie sessão no portal Microsoft Defender e aceda à página Investigação Avançada.

2. Execute a seguinte consulta para obter o mapeamento de tipos de dados para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Eis um exemplo do evento Informações do Dispositivo:

   

Artigos relacionados

• Stream Microsoft Defender XDR eventos | Microsoft Learn
• Descrição geral da Investigação Avançada
• API de Transmissão em Fluxo do Microsoft Defender para Ponto de Extremidade
• Stream Microsoft Defender para Ponto de Extremidade eventos à sua conta de armazenamento do Azure
• Documentação da Conta de Armazenamento do Azure

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.