Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Eine vollständige Datenstreamingerfahrung finden Sie unter Stream Microsoft Defender XDR Veranstaltungen | Microsoft Learn.
Bevor Sie beginnen
Erstellen Sie einen Event Hub in Ihrem Mandanten.
Melden Sie sich bei Ihrem Azure Mandanten an, und wechseln Sie zu Abonnements>Ihr Abonnement>Ressourcenanbieter>Registrieren bei Microsoft.insights.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Aktivieren des Rohdatenstreamings
Melden Sie sich beim Microsoft Defender-Portal als Sicherheitsadministrator an.
Wechseln Sie im Microsoft Defender-Portal zur Seite Datenexporteinstellungen.
Wählen Sie Datenexporteinstellungen hinzufügen aus.
Wählen Sie einen Namen für Ihre neuen Einstellungen aus.
Wählen Sie Ereignisse an Azure Event Hubs weiterleiten aus.
Geben Sie Ihren Event Hubs-Namen und Ihre Event Hubs-Ressourcen-ID ein.
Hinweis
Wenn Der Event Hubs-Name leer bleibt, wird ein Event Hub für jede Kategorie im ausgewählten Namespace erstellt. Event Hubs-Namespaces haben ein Limit von 10 Event Hubs, wenn Sie keinen dedizierten Event Hubs-Cluster verwenden.
Um Ihre Event Hubs-Ressourcen-ID abzurufen, wechseln Sie auf Azure> Registerkarte > "Eigenschaften" zur Seite "Azure Event Hubs Namespace", kopieren Sie den Text unter Ressourcen-ID:
- Wählen Sie die Ereignisse aus, die Sie streamen möchten, und wählen Sie Speichern aus.
Das Schema der Ereignisse in Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Jede Event Hub-Nachricht in Azure Event Hubs enthält eine Liste von Datensätzen.
Jeder Datensatz enthält den Ereignisnamen, die Zeit, Microsoft Defender for Endpoint das Ereignis empfangen hat, den Mandanten, zu dem er gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens "properties".
Weitere Informationen zum Schema von Microsoft Defender for Endpoint Ereignissen finden Sie unter Übersicht über die erweiterte Suche.
In der erweiterten Suche enthält die Tabelle DeviceInfo eine Spalte mit dem Namen MachineGroup , die die Gruppe des Geräts enthält. Auch hier ist jede Veranstaltung mit dieser Spalte versehen. Weitere Informationen finden Sie unter Gerätegruppen.
Hinweis
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
Datentypzuordnung
Gehen Sie wie folgt vor, um die Datentypen für Ereigniseigenschaften abzurufen:
Melden Sie sich bei Microsoft Defender Portal an, und wechseln Sie zur Seite Erweiterte Suche.
Führen Sie die folgende Abfrage aus, um die Datentypzuordnung für jedes Ereignis abzurufen:
{EventType} | getschema | project ColumnName, ColumnType
Hier sehen Sie ein Beispiel für das Device Info-Ereignis:
Verwandte Artikel
- Stream Microsoft Defender XDR Veranstaltungen | Microsoft Learn
- Übersicht über die erweiterte Suche
- Microsoft Defender for Endpoint Streaming-API
- Stream Microsoft Defender for Endpoint Ereignisse in Ihrem Azure-Speicherkonto
- Azure Event Hubs-Dokumentation
- Behandeln von Konnektivitätsproblemen– Azure Event Hubs
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.