Udostępnij przez

Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender do przesyłania strumieniowego zdarzeń zaawansowanego wyszukiwania zagrożeń do konta magazynu

  • Dotyczy: Microsoft Defender for Endpoint, Microsoft Defender for Endpoint Plan 1

Uwaga

Aby uzyskać pełne dostępne środowisko przesyłania strumieniowego danych, odwiedź stronę Stream Microsoft Defender XDR zdarzeń | Microsoft Learn.

Przed rozpoczęciem

  1. Utwórz konto magazynu w dzierżawie.

  2. Zaloguj się do dzierżawy Azure, przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.insights.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Włączanie przesyłania strumieniowego danych pierwotnych

  1. Zaloguj się do portalu Microsoft Defender.

  2. Przejdź do strony Ustawienia eksportu danych w Microsoft Defender XDR.

  3. Wybierz pozycję Dodaj ustawienia eksportu danych.

  4. Wybierz nazwę nowych ustawień.

  5. Wybierz pozycję Prześlij zdarzenia do Azure Storage.

  6. Wpisz identyfikator zasobu konta magazynu. Aby uzyskać identyfikator zasobu konta magazynu, przejdź do strony konta magazynu na karcie >właściwości Azure Portal> skopiuj tekst w obszarze Identyfikator zasobu konta magazynu:

    Usługa Event Hubs z identyfikatorem zasobu1

  7. Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie wybierz pozycję Zapisz.

Schemat zdarzeń na koncie magazynu

  • Kontener obiektów blob jest tworzony dla każdego typu zdarzenia:

    Usługa Event Hubs z identyfikatorem zasobu2

  • Schemat każdego wiersza w obiektach blob to następujący kod JSON:

    {
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

  • Każdy obiekt blob zawiera wiele wierszy.

  • Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender dla punktu końcowego, dzierżawę, do której należy (zdarzenia są uzyskiwane tylko z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie properties.

  • Aby uzyskać więcej informacji na temat schematu zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

  • W obszarze Zaawansowane wyszukiwanie zagrożeń tabela DeviceInfo zawiera kolumnę o nazwie MachineGroup zawierającą grupę urządzenia. W tym miejscu każde zdarzenie jest również ozdobione tą kolumną. Aby uzyskać więcej informacji, zobacz Grupy urządzeń.

    Uwaga

    Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Mapowanie typów danych

Aby uzyskać typy danych dla naszych właściwości zdarzeń, wykonaj następujące kroki:

  1. Zaloguj się do portalu Microsoft Defender i przejdź do strony Zaawansowane wyszukiwanie zagrożeń.

  2. Uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

    {EventType}
| getschema
| project ColumnName, ColumnType

    Oto przykład zdarzenia Informacje o urządzeniu:

    Usługa Event Hubs z identyfikatorem zasobu3

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Last updated on