Konfigurera Microsoft Defender för slutpunkten för att strömma Advanced Hunting-händelser till Azure Event Hub
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Innan du börjar
Skapa ett händelsenav i klientorganisationen.
Logga in på din Azure-klientorganisationoch gå till Prenumerationer > din > eller resursleverantörer > Registrera dig på Microsoft.insights.
Aktivera direktuppspelning av rådata
Logga in på Microsoft 365 Defender som en * global administratör _ eller _*säkerhetsadministratör**.
Gå till sidan Inställningar för dataexport i Microsoft Defender-portalen.
Klicka på Lägg till inställningar för dataexport.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser till Azure Event Hubs.
Skriv namnet på dina händelsehubben och resurs-ID för Händelsehubben.
För att hämta ditt resurs-ID för Event Hubs går du till din Namnområdessida för Azure-> i Azure-> kopierar > texten under Resurs-ID:
Välj de händelser du vill strömma och klicka på Spara.
Schemat för händelserna i Azure Event Hubs
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Varje händelsehubbmeddelande i Azure Event Hub innehåller en lista över poster.
Varje post innehåller händelsenamnet, tiden då Microsoft Defender för Slutpunkt tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från klientorganisationen) och händelsen i JSON-format i en egenskap med namnet "egenskaper".
Mer information om schemat för Microsoft Defender för slutpunktshändelser finns i Avancerad sökning – översikt.
I tabellen Avancerad sökning finns en kolumn med namnet MachineGroup som innehåller enhetens grupp i tabellen DeviceInfo. Här är alla händelser dekorerade med den här kolumnen. Mer information finns i Enhetsgrupper.
Mappning av datatyper
Så här hämtar du datatyperna för händelseegenskaper:
Logga in på Microsoft 365 Defender gå till sidan Avancerad sökning.
Kör följande fråga för att hämta mappningen av datatyper för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Här är ett exempel för enhetsinfohändelsen:
