Konfigurera Microsoft 365 Defender att strömma Advanced Hunting-händelser till ditt Storage konto
Gäller för:
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Innan du börjar
Skapa ett Storage konto i klientorganisationen.
Logga in på din Azure-klientorganisationoch gå till Prenumerationer > Din > eller resursleverantörer > Registrera dig på Microsoft.Insights.
Aktivera direktuppspelning av rådata
Logga in på Microsoft 365 Defender som global administratör _ eller _säkerhetsadministratör**.
Gå till Inställningar > Microsoft 365 Defender > Streaming API. Om du vill gå direkt till sidan Streaming API använder du https://security.microsoft.com/settings/mtp_settings/raw_data_export .
Klicka på Lägg till.
I den utfällande menyn Lägg till nya inställningar för Streaming API konfigurerar du följande inställningar:
Namn: Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser om du vill Azure Storage.
I rutan Storage Kontoresurs-ID som visas anger du ditt Storage för kontoresurs-ID. Om du vill Storage kontoresurs-ID öppnar du Azure-portalen på , klickar Storage konton går till fliken Egenskaper och kopierar texten https://portal.azure.com under Storage > > Kontoresurs-ID.

När du är tillbaka på den utfällande menyn Lägg till nya inställningar för Streaming API väljer du de händelsetyper du vill strömma.
Klicka på Skicka in när du är klar.
Schemat för händelserna i Storage konto
En blob-behållare skapas för varje händelsetyp:

Schemat för varje rad i en blob är följande JSON:
{ "time": "<The time Microsoft 365 Defender received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <Microsoft 365 Defender Advanced Hunting event as Json> } }Varje blob innehåller flera rader.
Varje rad innehåller händelsenamnet, tiden Defender för Slutpunkt tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från klientorganisationen) och händelsen i JSON-format i en egenskap som kallas "egenskaper".
Mer information om schemat för de Microsoft 365 Defender finns i Avancerad sökning – översikt.
Mappning av datatyper
För att kunna hämta datatyperna för våra händelseegenskaper gör du följande:
Logga in på Microsoft 365 Defender och gå till Sök avancerad > sökning. Om du vill gå direkt till sidan Avancerad sökning använder du <security.microsoft.com/advanced-hunting>.
Kör följande fråga på fliken Fråga för att hämta mappningen av datatyper för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Här är ett exempel för enhetsinfohändelsen:
