Konfigurer Microsoft Defender for Endpoint til at streame hændelser for avanceret jagt til din lagerkonto

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint

Bemærk!

Hvis du vil have den fulde datastreamingoplevelse, skal du gå til Stream Microsoft Defender XDR begivenheder | Microsoft Learn.

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Før du begynder

1. Create en lagerkonto i din lejer.

2. Log på din Azure-lejer, gå til Abonnementer > Dit abonnement > Ressourceudbydere > Tilmeld dig Microsoft.insights.

Aktivér rå datastreaming

1. Log på Microsoft Defender-portalen som global administrator eller sikkerhedsadministrator.

2. Gå til siden Indstillinger for dataeksport i Microsoft Defender XDR.

3. Vælg indstillinger for Tilføj dataeksport.

4. Vælg et navn til de nye indstillinger.

5. Vælg Videresend hændelser til Azure Storage.

6. Skriv ressource-id'et for din lagerkonto. Hvis du vil hente ressource-id'et for din lagerkonto, skal du gå til siden Lagerkonto under fanen Azure Portal> egenskaber > kopiere teksten under Ressource-id for lagerkonto:

   

7. Vælg de hændelser, du vil streame, og vælg Gem.

Skemaet for hændelserne på lagerkontoen

• Der oprettes en blobobjektbeholder for hver hændelsestype:

  

• Skemaet for hver række i en blob er følgende JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Hver blob indeholder flere rækker.

• Hver række indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Endpoint modtog hændelsen, den lejer, den tilhører (du henter kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

• Du kan finde flere oplysninger om skemaet for Microsoft Defender for Endpoint begivenheder under Oversigt over avanceret jagt.

• I Avanceret jagt har tabellen DeviceInfo en kolonne med navnet MachineGroup , som indeholder gruppen af enheden. Her er hver begivenhed også dekoreret med denne kolonne. Du kan få flere oplysninger under Enhed Grupper.

  Bemærk!

  Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Tilknytning af datatyper

Hvis du vil hente datatyperne for vores hændelsesegenskaber, skal du gøre følgende:

1. Log på Microsoft Defender XDR, og gå til siden Avanceret jagt.

2. Kør følgende forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Her er et eksempel på hændelsen Enhedsoplysninger:

  

Relaterede artikler

• Stream Microsoft Defender XDR hændelser | Microsoft Learn

• Oversigt over avanceret jagt

• API til Microsoft Defender for Endpoint streaming

• Stream Microsoft Defender for Endpoint hændelser til din Azure Storage-konto

• Dokumentation til Azure Storage-konto

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.