Настройка Microsoft Defender для конечной точки для потоковой передачи событий расширенной охоты в учетную запись хранения

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки

Примечание.

Чтобы получить доступ к полному интерфейсу потоковой передачи данных, посетите страницу Stream Microsoft Defender XDR событий | Microsoft Learn.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Подготовка к работе

1. Создайте учетную запись хранения в клиенте.

2. Войдите в клиент Azure, перейдите в раздел Подписки Ваши поставщики>ресурсов>подписки>Зарегистрируйте в Microsoft.insights.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Включение потоковой передачи необработанных данных

1. Войдите на портал Microsoft Defender.

2. Перейдите на страницу Параметры экспорта данных в Microsoft Defender XDR.

3. Выберите Добавить параметры экспорта данных.

4. Выберите имя для новых параметров.

5. Выберите Переадресация событий в службу хранилища Azure.

6. Введите идентификатор ресурса учетной записи хранения. Чтобы получить идентификатор ресурса учетной записи хранения, перейдите на страницу учетной записи хранения на вкладке> свойств портал Azure > скопируйте текст в разделе Идентификатор ресурса учетной записи хранения:

   

7. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в учетной записи хранения

• Контейнер BLOB-объектов создается для каждого типа события:

  

• Схема каждой строки в большом двоичном объекте представляет собой следующий код JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Каждый большой двоичный объект содержит несколько строк.

• Каждая строка содержит имя события, время получения события в Defender для конечной точки, клиент, которому оно принадлежит (события получаются только из клиента), а также событие в формате JSON в свойстве с именем properties.

• Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.

• В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройства.

  Примечание.

  Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Сопоставление типов данных

Чтобы получить типы данных для свойств событий, сделайте следующее:

1. Войдите на портал Microsoft Defender и перейдите на страницу Расширенная охота.

2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

   Ниже приведен пример события Сведений об устройстве:

   

Статьи по теме

• события Stream Microsoft Defender XDR | Microsoft Learn
• Обзор расширенной охоты
• API потоковой передачи Microsoft Defender для конечной точки
• Stream Microsoft Defender для конечной точки события в учетную запись хранения Azure
• Документация по учетной записи хранения Azure

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.