Konfigurera Microsoft Defender för slutpunkt för att strömma Advanced Hunting-händelser till ditt Storage konto
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Innan du börjar
Skapa ett Storage konto i klientorganisationen.
Logga in på din Azure-klientorganisationoch gå till Prenumerationer > din > eller resursleverantörer > Registrera dig på Microsoft.insights.
Aktivera direktuppspelning av rådata
Logga in på Microsoft 365 Defender som global administratör _ eller _säkerhetsadministratör**.
Gå till sidan inställningar för dataexport i Microsoft 365 Defender.
Klicka på Lägg till inställningar för dataexport.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser om du vill Azure Storage.
Ange ditt Storage Kontoresurs-ID. För att få ditt Storage kontoresurs-ID går du till kontosidan för Storage på fliken Egenskaper för Azure-portalen genom att kopiera texten > under Storage > kontoresurs-ID:
Välj de händelser du vill strömma och klicka på Spara.
Schemat för händelserna i Storage konto
En blob-behållare skapas för varje händelsetyp:
Schemat för varje rad i en blob är följande JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }Varje blob innehåller flera rader.
Varje rad innehåller händelsenamnet, tiden Defender för Slutpunkt tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från klientorganisationen) och händelsen i JSON-format i en egenskap som kallas "egenskaper".
Mer information om schemat för Microsoft Defender för slutpunktshändelser finns i Avancerad sökning – översikt.
I tabellen Avancerad sökning finns en kolumn med namnet MachineGroup som innehåller enhetens grupp i tabellen DeviceInfo. Här är alla händelser dekorerade med den här kolumnen. Mer information finns i Enhetsgrupper.
Mappning av datatyper
För att kunna hämta datatyperna för våra händelseegenskaper gör du följande:
Logga in på Microsoft 365 Defender gå till sidan Avancerad sökning.
Kör följande fråga för att hämta mappningen av datatyper för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Här är ett exempel för enhetsinfohändelsen:
