Konfigurera Microsoft 365 Defender att strömma Advanced Hunting-händelser till Azure Event Hub

Gäller för:

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Innan du börjar

  1. Skapa ett händelsenav i klientorganisationen.

  2. Logga in på din Azure-klientorganisationoch gå till Prenumerationer > Din > eller resursleverantörer > Registrera dig på Microsoft.Insights.

  3. Skapa ett namnområde för händelsehubben, gå till Händelsehubben > Lägg till och välj prissättningsnivå, dataflödesenheter och Automatiskt belastning som är lämplig för förväntad belastning. Mer information finns i Priser för Händelsehubben.

Lägga till deltagarbehörigheter

När namnområdet i Händelsehubben har skapats måste du:

  1. Definiera den användare som ska loggas in på Microsoft 365 Defender som deltagare.

  2. Om du ansluter till ett program lägger du till Tjänsten för registrering av appar som läsare, Azure Event Hub Data Receiver (detta kan också göras på resursgrupp- eller prenumerationsnivå).

    Gå till namnområdet i händelsehubben > IAM (Access Control) > Lägg till och verifiera under Rolltilldelningar.

Aktivera direktuppspelning av rådata

  1. Logga in på Microsoft 365 Defender portal som en global administratör _ eller _säkerhetsadministratör**.

  2. Gå till inställningssidan för Streaming API.

  3. Klicka på Lägg till.

  4. Välj ett namn för de nya inställningarna.

  5. Välj Vidarebefordra händelser till Azure Event Hub.

  6. Du kan välja om du vill exportera händelsedata till ett enskilt händelsenav eller exportera varje händelsetabell till ett annat händelsenav i namnområdet i händelsehubben.

  7. Om du vill exportera händelsedata till ett enskilt händelsehubben anger du ditt namn för Händelsehubben och resurs-ID för Händelsehubben.

    Om du vill ha ett resurs-ID för Händelsehubben går du till namnområdet i Azure-händelsehubben på fliken Azure-egenskaper> kopierar texten > under Resurs-ID:

    Bild av Händelsehubben resurs-ID1.

  8. Gå till händelsetyperna Microsoft 365 Defender som stöds i API:t för strömning av händelser om du vill granska supportstatus för händelsetyper i Microsoft 365 Streaming API.

  9. Välj de händelser du vill strömma och klicka på Spara.

Schemat för händelserna i Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft 365 Defender received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft 365 Defender Advanced Hunting event as Json> }
               }
               ...
            ]
}
  • Varje meddelande i händelsehubben i Azure Event Hub innehåller en lista över poster.

  • Varje post innehåller händelsenamnet, tiden då Microsoft 365 Defender tog emot händelsen, den klientorganisation som den tillhör (du får bara händelser från klientorganisationen) och händelsen i JSON-format i en egenskap med namnet "egenskaper".

  • Mer information om schemat för de Microsoft 365 Defender finns i Avancerad sökning – översikt.

  • I tabellen Avancerad sökning finns en kolumn med namnet MachineGroup som innehåller enhetens grupp i tabellen DeviceInfo. Här är alla händelser dekorerade med den här kolumnen.

Mappning av datatyper

Så här hämtar du datatyperna för händelseegenskaper:

  1. Logga in på Microsoft 365 Defender gå till sidan Advanced Hunting.

  2. Kör följande fråga för att hämta mappningen av datatyper för varje händelse:

    {EventType}
    | getschema
    | project ColumnName, ColumnType
    
  • Här är ett exempel för enhetsinfohändelsen:

    Bild på Händelsehubben resurs-ID2.