Configurar Microsoft Defender para Ponto de Extremidade para transmitir eventos de Caça Avançada para sua conta de armazenamento
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade
Observação
Para obter a experiência completa de streaming de dados disponível, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Antes de começar
Create uma conta de armazenamento em seu locatário.
Entre no locatário do Azure, acesse Assinaturas > Seu Registro de Provedores > de Recursos de Assinatura > no Microsoft.insights.
Habilitar o streaming de dados brutos
Entre no portal Microsoft Defender como administrador global ou administrador de segurança.
Acesse a página Configurações de exportação de dados no Microsoft Defender XDR.
Selecione em Adicionar configurações de exportação de dados.
Escolha um nome para suas novas configurações.
Escolha Encaminhar eventos para o Armazenamento do Azure.
Digite sua ID do Recurso da Conta de Armazenamento. Para obter a ID do Recurso da Conta de Armazenamento, acesse a página da conta de armazenamento na guia >propriedades portal do Azure> copie o texto na ID do recurso da conta de armazenamento:
Escolha os eventos que você deseja transmitir e selecione Salvar.
O esquema dos eventos na conta de armazenamento
Um contêiner de blob é criado para cada tipo de evento:
O esquema de cada linha em um blob é o seguinte JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Cada blob contém várias linhas.
Cada linha contém o nome do evento, a hora em que o Defender para Ponto de Extremidade recebeu o evento, o locatário que ele pertence (você obtém eventos somente do locatário) e o evento no formato JSON em uma propriedade chamada "propriedades".
Para obter mais informações sobre o esquema de eventos Microsoft Defender para Ponto de Extremidade, consulte Visão geral da Caça Avançada.
Na Caça Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, cada evento também é decorado com esta coluna. Para obter mais informações, consulte Dispositivo Grupos.
Observação
Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.
Mapeamento de tipos de dados
Para obter os tipos de dados para nossas propriedades de eventos, faça o seguinte:
Entre no Microsoft Defender XDR e vá para a página Caça Avançada.
Execute a consulta a seguir para obter o mapeamento de tipos de dados para cada evento:
{EventType} | getschema | project ColumnName, ColumnType
Artigos relacionados
Microsoft Defender para Ponto de Extremidade API de Streaming
Stream Microsoft Defender para Ponto de Extremidade eventos para sua conta de armazenamento do Azure
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de