設定 適用於端點的 Microsoft Defender 將進階搜捕事件串流至您的 Azure 事件中樞
適用於:
注意事項
如需完整的數據流體驗,請流覽 Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
開始之前
啟用原始數據串流
以全域管理員或安全性系統管理員身分登入 Microsoft Defender 全面偵測回應。
移至 Microsoft Defender 入口網站中的 [資料匯出設定] 頁面。
按兩下 [ 新增數據匯出設定]。
選擇新設定的名稱。
選擇 [轉送事件] 以 Azure 事件中樞。
輸入您的 事件中樞名稱 和事件中 樞資源標識碼。
注意事項
將事件中樞名稱保留為空白,將會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集,事件中樞命名空間的限制為10個事件中樞。
若要取得事件中樞資源標識符,請移至 Azure> 屬性索引標籤>上的 [Azure 事件中樞 命名空間] 頁面,複製 [資源標識符] 底下的文字:
- 選擇您想要串流的事件,然後按兩下 [ 儲存]。
Azure 事件中樞 中事件的架構
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 事件中樞 中的每個事件中樞訊息都包含記錄清單。
每一筆記錄都包含事件名稱、收到事件 適用於端點的 Microsoft Defender 時間、它所屬的租使用者 (您只會從租使用者) 取得事件,以及 JSON 格式的事件則是名為 “properties” 的屬性。
如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊,請參閱進階搜捕概觀。
在進階搜捕 中,DeviceInfo 數據表有一個名為 MachineGroup 的數據行,其中包含裝置的群組。 這裡也會使用此數據行裝飾每個事件。 如需詳細資訊,請參閱裝置 群組。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
數據類型對應
若要取得事件屬性的數據類型,請執行下列動作:
登入 Microsoft Defender 全面偵測回應 並移至 [進階搜捕] 頁面。
執行下列查詢以取得每個事件的資料類型對應:
{EventType} | getschema | project ColumnName, ColumnType
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應