Configurar Microsoft Defender para Ponto de Extremidade para transmitir eventos de Caça Avançada para sua conta de armazenamento

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Observação

Para obter a experiência completa de streaming de dados disponível, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Antes de começar

1. Crie uma conta de armazenamento em seu locatário.

2. Entre no locatário do Azure, acesse Assinaturas > Seu Registro de Provedores > de Recursos de Assinatura > no Microsoft.insights.

Habilitar o streaming de dados brutos

1. Entre no portal Microsoft Defender como administrador global ou administrador de segurança.

2. Acesse a página Configurações de exportação de dados no Microsoft Defender XDR.

3. Selecione em Adicionar configurações de exportação de dados.

4. Escolha um nome para suas novas configurações.

5. Escolha Encaminhar eventos para o Armazenamento do Azure.

6. Digite sua ID do Recurso da Conta de Armazenamento. Para obter a ID do Recurso da Conta de Armazenamento, acesse a página da conta de armazenamento na guia >propriedades portal do Azure> copie o texto na ID do recurso da conta de armazenamento:

   

7. Escolha os eventos que você deseja transmitir e selecione Salvar.

O esquema dos eventos na conta de armazenamento

• Um contêiner de blob é criado para cada tipo de evento:

  

• O esquema de cada linha em um blob é o seguinte JSON:

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Cada blob contém várias linhas.

• Cada linha contém o nome do evento, a hora em que o Defender para Ponto de Extremidade recebeu o evento, o locatário que ele pertence (você obtém eventos somente do locatário) e o evento no formato JSON em uma propriedade chamada "propriedades".

• Para obter mais informações sobre o esquema de eventos Microsoft Defender para Ponto de Extremidade, consulte Visão geral da Caça Avançada.

• Na Caça Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, cada evento também é decorado com esta coluna. Para obter mais informações, consulte Grupos de Dispositivos.

  Observação

  Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Mapeamento de tipos de dados

Para obter os tipos de dados para nossas propriedades de eventos, faça o seguinte:

1. Entre no Microsoft Defender XDR e vá para a página Caça Avançada.

2. Execute a consulta a seguir para obter o mapeamento de tipos de dados para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Aqui está um exemplo para o evento Informações do Dispositivo:

  

Artigos relacionados

• Stream Microsoft Defender XDR eventos | Microsoft Learn

• Visão geral da Caça Avançada

• Microsoft Defender para Ponto de Extremidade API de Streaming

• Stream Microsoft Defender para Ponto de Extremidade eventos para sua conta de armazenamento do Azure

• Documentação da Conta de Armazenamento do Azure

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.