Konfigurera Microsoft Defender för slutpunkt för att strömma Advanced Hunting-händelser till ditt Storage konto

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Innan du börjar

  1. Skapa ett Storage konto i klientorganisationen.

  2. Logga in på din Azure-klientorganisationoch gå till Prenumerationer > din > eller resursleverantörer > Registrera dig på Microsoft.insights.

Aktivera direktuppspelning av rådata

  1. Logga in på Microsoft 365 Defender som global administratör _ eller _säkerhetsadministratör**.

  2. Gå till sidan inställningar för dataexport i Microsoft 365 Defender.

  3. Klicka på Lägg till inställningar för dataexport.

  4. Välj ett namn för de nya inställningarna.

  5. Välj Vidarebefordra händelser om du vill Azure Storage.

  6. Ange ditt Storage Kontoresurs-ID. För att få ditt Storage kontoresurs-ID går du till kontosidan för Storage på fliken Egenskaper för Azure-portalen genom att kopiera texten > under Storage > kontoresurs-ID:

    Bild av händelsenav resurs-ID1.

  7. Välj de händelser du vill strömma och klicka på Spara.

Schemat för händelserna i Storage konto

  • En blob-behållare skapas för varje händelsetyp:

    Bild av händelsenav resurs-ID2.

  • Schemat för varje rad i en blob är följande JSON:

    {
        "time": "<The time WDATP received the event>"
        "tenantId": "<Your tenant ID>"
        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
        "properties": { <WDATP Advanced Hunting event as Json> }
    }
    
  • Varje blob innehåller flera rader.

  • Varje rad innehåller händelsenamnet, tiden Defender för Slutpunkt tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från klientorganisationen) och händelsen i JSON-format i en egenskap som kallas "egenskaper".

  • Mer information om schemat för Microsoft Defender för slutpunktshändelser finns i Avancerad sökning – översikt.

  • I tabellen Avancerad sökning finns en kolumn med namnet MachineGroup som innehåller enhetens grupp i tabellen DeviceInfo. Här är alla händelser dekorerade med den här kolumnen. Mer information finns i Enhetsgrupper.

Mappning av datatyper

För att kunna hämta datatyperna för våra händelseegenskaper gör du följande:

  1. Logga in på Microsoft 365 Defender gå till sidan Avancerad sökning.

  2. Kör följande fråga för att hämta mappningen av datatyper för varje händelse:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Här är ett exempel för enhetsinfohändelsen:

    Bild av händelsehubbresurs-ID3.