設定 Microsoft Defender 全面偵測回應，將進階狩獵事件串流至您的 Azure 活動中心

適用於：

• Microsoft Defender XDR

必要條件

在設定 Microsoft Defender 全面偵測回應以串流資料至事件中心前，請確保以下先決條件已達成：

1. 建立活動中心 (相關資訊，請參見 「設置活動中心) 」。

2. 關於建立事件中心命名空間 (相關資訊，請參見 「設定事件中心命名空間) 」。

3. 為擁有貢獻 者 權限的實體新增權限，使該實體能將資料匯出至事件中心。 欲了解更多關於新增權限的資訊，請參見「新增權限」

啟用原始資料串流

1. 至少要以安全管理員身份登入 Microsoft Defender 入口網站。

2. 前往 串流 API 設定頁面。

3. 點擊 新增。

4. 為你的新設定選擇一個名稱。

5. 選擇將事件轉發到 Azure Event Hub。

6. 你可以選擇是將事件資料匯出到單一事件中心，或是將每個事件表匯出到活動中心命名空間中的不同事件中心。

7. 若要將事件資料匯出到單一事件中心，請輸入你的 事件中心名稱 和 事件中心命名空間資源 ID。

   要取得你的 Event Hub 命名空間資源 ID，請到 AzureProperties> 標籤的> Azure 事件中樞命名空間頁面複製 Resource ID 下的文字：

   

8. 請前往事件串流 API 中的支援Microsoft Defender 全面偵測回應事件類型，查看 Microsoft 365 串流 API 中事件類型的支援狀態。

9. 選擇你想直播的活動並點擊 儲存。

Azure Event Hub 事件的架構

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Azure 事件中樞的每個事件中心訊息都包含記錄清單。

• 每筆記錄都包含事件名稱、Microsoft Defender 全面偵測回應收到事件的時間、所屬租戶 (你只能從租戶) 收到事件，以及以 JSON 格式呈現的事件，並以一個名為「properties」的屬性呈現。

• 欲了解更多關於 Microsoft Defender 全面偵測回應事件架構的資訊，請參閱進階狩獵總覽。

• 在進階狩獵中， DeviceInfo 表格有一欄名為 MachineGroup ，包含裝置的群組。 在這裡，每個活動都會用這根柱子裝飾。

資料型態映射

要取得事件屬性的資料型態，請執行以下步驟：

1. 登入 Microsoft Defender 全面偵測回應，並前往進階狩獵頁面。

2. 執行以下查詢以取得每個事件的資料型態映射：

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• 這裡有一個裝置資訊事件的範例：

  

初步事件中心容量估算

以下進階搜尋查詢可根據事件/秒及估計的 MB/sec 提供資料量吞吐量及初始事件集線器容量的粗略估算。我們建議在正常營業時間內執行查詢，以捕捉「真實」吞吐量。

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

要檢查不同的 Event Hub limits，請檢視 Azure 事件中樞的quota and limits。

監控已建立的資源

你可以使用 Azure Monitor 監控串流 API 所建立的資源。 欲了解更多資訊，請參閱 Azure Monitor 中的 Log Analytics 工作空間資料匯出。

相關主題

• 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn

• 高級狩獵概述

• Microsoft Defender 全面偵測回應串流 API

• 支援事件串流 API 中的 Microsoft Defender 全面偵測回應事件類型

• Stream Microsoft Defender 全面偵測回應事件到你的Azure儲存帳戶

• Azure 事件中樞 documentation

• Troubleshoot connectivity issues - Azure 事件中樞