Configureer Microsoft Defender voor Eindpunt voor het streamen van advanced hunting-gebeurtenissen naar uw opslagaccount

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Opmerking

Ga naar Stream Microsoft Defender XDR gebeurtenissen | Microsoft Learn.

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Voordat u begint

1. Maak een opslagaccount in uw tenant.

2. Meld u aan bij uw Azure-tenant, ga naar Abonnementen > Uw abonnement > Resourceproviders > registreren bij Microsoft.insights.

Streaming van onbewerkte gegevens inschakelen

1. Meld u aan bij de Microsoft Defender-portal als globale beheerder of beveiligingsbeheerder.

2. Ga naar de pagina Instellingen voor gegevensexport in Microsoft Defender XDR.

3. Selecteer Instellingen voor gegevensexport toevoegen.

4. Kies een naam voor uw nieuwe instellingen.

5. Kies Gebeurtenissen doorsturen naar Azure Storage.

6. Typ de resource-id van uw opslagaccount. Als u de resource-id van uw opslagaccount wilt ophalen, gaat u naar de pagina Van uw opslagaccount op Azure Portal> tabblad > Eigenschappen kopieert u de tekst onder Resource-id opslagaccount:

   

7. Kies de gebeurtenissen die u wilt streamen en selecteer Opslaan.

Het schema van de gebeurtenissen in het opslagaccount

• Er wordt een blobcontainer gemaakt voor elk gebeurtenistype:

  

• Het schema van elke rij in een blob is de volgende JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Elke blob bevat meerdere rijen.

• Elke rij bevat de gebeurtenisnaam, het tijdstip waarop Defender voor Eindpunt de gebeurtenis heeft ontvangen, de tenant waartoe deze hoort (u ontvangt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'properties'.

• Zie Overzicht van geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender voor Eindpunt gebeurtenissen.

• In Geavanceerde opsporing bevat de tabel DeviceInfo een kolom met de naam MachineGroup die de groep van het apparaat bevat. Hier is elke gebeurtenis ook voorzien van deze kolom. Zie Apparaatgroepen voor meer informatie.

  Opmerking

  Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

Toewijzing van gegevenstypen

Ga als volgt te werk om de gegevenstypen voor onze gebeurteniseigenschappen op te halen:

1. Meld u aan bij Microsoft Defender XDR en ga naar de pagina Geavanceerde opsporing.

2. Voer de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:

  

Verwante artikelen

• Stream Microsoft Defender XDR gebeurtenissen | Microsoft Learn

• Overzicht van geavanceerde opsporing

• Microsoft Defender voor Eindpunt Streaming-API

• gebeurtenissen Stream Microsoft Defender voor Eindpunt naar uw Azure Storage-account

• Documentatie voor Azure Storage-account

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.