Azure 이벤트 허브에 고급 헌팅 이벤트를 스트리밍하도록 끝점에 대한 Microsoft Defender 구성
적용 대상:
Endpoint용 Defender를 경험하고 싶나요? 무료 평가판을 신청하세요.
시작하기 전에
테넌 트에서 이벤트 허브 를 생성합니다.
Azure 테넌트에 로그인하고, Microsoft.insights 에 > 구독 > 리소스 공급자로 > 로그인합니다.
원시 데이터 스트리밍 사용
전역 관리자_ Microsoft 365 Defender _보안 관리자**로 로그인합니다.
Microsoft Defender 포털의 데이터 내보내기 설정 페이지로 이동합니다.
데이터 내보내 기 설정 추가를 클릭합니다.
새 설정의 이름을 선택합니다.
Azure 이벤트 허브로 이벤트 전달을 선택하세요.
이벤트 허브 이름 및 이벤트 허브 리소스 ID를 입력합니다.
이벤트 허브 리소스 ID 를 얻기 위해 Azure > 속성 탭의 Azure 이벤트 > 허브 네임스페이스 페이지로 이동하여 리소스 ID 아래 텍스트를 복사합니다.
스트리밍할 이벤트를 선택하고 저장을 클릭합니다.
Azure 이벤트 허브의 이벤트 스마마
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 이벤트 허브의 각 이벤트 허브 메시지에는 레코드 목록이 포함되어 있습니다.
각 레코드에는 이벤트 이름, Endpoint용 Microsoft Defender에서 이벤트를 수신한 시간, 해당 레코드가 속한 테넌트(테넌트에서만 이벤트만 수신) 및 JSON 형식의 이벤트가 "properties"라는 속성으로 포함되어 있습니다.
끝점용 Microsoft Defender 이벤트의 Schema에 대한 자세한 내용은 고급 헌팅 개요 를 참조하세요.
고급 헌팅에서 DeviceInfo 테이블에는 장치 그룹이 포함된 MachineGroup 이라는 열이 있습니다. 여기에서 모든 이벤트도 이 열로 장식됩니다. 자세한 내용은 장치 그룹을 참조하세요.
데이터 형식 매핑
이벤트 속성에 대한 데이터 형식을 얻습니다.
로그인하여 Microsoft 365 Defender 고급 헌팅 페이지로 이동합니다.
다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 구합니다.
{EventType} | getschema | project ColumnName, ColumnType
장치 정보 이벤트의 예는 다음과 같습니다.
