注意事項
欲獲得完整的數據串流體驗,請造訪Stream Microsoft Defender 全面偵測回應活動 |Microsoft Learn。
開始之前
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
啟用原始資料串流
以安全管理員身份登入 Microsoft Defender 入口網站。
請前往 Microsoft Defender 入口網站的資料匯出設定頁面。
選擇 新增資料匯出設定。
為你的新設定選擇一個名稱。
選擇「前傳事件」來Azure 事件中樞。
輸入你的活動中心名稱和活動中心資源 ID。
注意事項
將活動中心名稱留為空,將為所選命名空間中的每個類別建立一個活動中心。 如果你沒有使用專用的事件集,Event Hubs 命名空間的事件中心最多可容納 10 個。
要取得你的 Event Hubs 資源 ID,請到 Azure> 屬性標籤的 > Azure 事件中樞命名空間頁面,複製資源 ID 下的文字:
- 選擇你想直播的活動,然後選擇 儲存。
Azure 事件中樞中事件的結構
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 事件中樞的每個事件中心訊息都包含記錄清單。
每筆記錄包含事件名稱、適用於端點的 Microsoft Defender收到事件的時間、所屬租戶 (你只能從租戶) 取得事件,以及以 JSON 格式呈現的事件,並以一個稱為「properties」的屬性呈現。
欲了解更多關於 適用於端點的 Microsoft Defender 事件結構的資訊,請參閱進階狩獵概覽。
在進階狩獵中, DeviceInfo 表格有一欄名為 MachineGroup ,包含裝置的群組。 這裡的每個活動都會用這根柱子裝飾。 更多資訊請參閱 裝置群組。
注意事項
裝置群組建立在 Defender for Endpoint Plan 1 和 Plan 2 中也支援。
資料型態映射
要取得事件屬性的資料型態,請執行以下步驟:
登入 Microsoft Defender 入口網站,並前往進階狩獵頁面。
執行以下查詢以取得每個事件的資料型態映射:
{EventType} | getschema | project ColumnName, ColumnType
這裡有一個裝置資訊事件的範例:
相關文章
- Stream Microsoft Defender 全面偵測回應活動 |Microsoft Learn
- 高級狩獵概述
- 適用於端點的 Microsoft Defender 串流 API
- Stream 適用於端點的 Microsoft Defender事件到你的Azure儲存帳戶
- Azure 事件中樞 documentation
- Troubleshoot connectivity issues - Azure 事件中樞
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。