設定 適用於端點的 Microsoft Defender 將進階搜捕事件串流至您的 Azure 事件中樞

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender

注意事項

如需完整的數據流體驗，請流覽 Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

開始之前

1. Create 租使用者中的事件中樞。

2. 登入您的 Azure 租使用者，移至 [ 訂用帳戶] > [您的訂用帳戶 > 資源提供者 > 註冊至 Microsoft.insights]。

啟用原始數據串流

1. 以全域管理員或安全性系統管理員身分登入 Microsoft Defender 全面偵測回應。

2. 移至 Microsoft Defender 入口網站中的 [資料匯出設定] 頁面。

3. 按兩下 [ 新增數據匯出設定]。

4. 選擇新設定的名稱。

5. 選擇 [轉送事件] 以 Azure 事件中樞。

6. 輸入您的 事件中樞名稱 和事件中 樞資源標識碼。

注意事項

將事件中樞名稱保留為空白，將會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集，事件中樞命名空間的限制為10個事件中樞。

若要取得事件中樞資源標識符，請移至 Azure> 屬性索引標籤>上的 [Azure 事件中樞 命名空間] 頁面，複製 [資源標識符] 底下的文字：

7. 選擇您想要串流的事件，然後按兩下 [ 儲存]。

Azure 事件中樞 中事件的架構

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

• Azure 事件中樞 中的每個事件中樞訊息都包含記錄清單。

• 每一筆記錄都包含事件名稱、收到事件 適用於端點的 Microsoft Defender 時間、它所屬的租使用者 (您只會從租使用者) 取得事件，以及 JSON 格式的事件則是名為 “properties” 的屬性。

• 如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊，請參閱進階搜捕概觀。

• 在進階搜捕 中，DeviceInfo 數據表有一個名為 MachineGroup 的數據行，其中包含裝置的群組。 這裡也會使用此數據行裝飾每個事件。 如需詳細資訊，請參閱裝置 群組。

  注意事項

  適用於端點的Defender方案1和方案2支援裝置群組建立。

數據類型對應

若要取得事件屬性的數據類型，請執行下列動作：

1. 登入 Microsoft Defender 全面偵測回應 並移至 [進階搜捕] 頁面。

2. 執行下列查詢以取得每個事件的資料類型對應：

   {EventType}
   | getschema
   | project ColumnName, ColumnType 
   

• 以下是裝置資訊事件的範例：

  

相關主題

• Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn

• 進階搜捕概觀

• 適用於端點的 Microsoft Defender 串流 API

• 將事件 Stream 適用於端點的 Microsoft Defender 至您的 Azure 記憶體帳戶

• Azure 事件中樞 檔

• 針對連線問題進行疑難解答 - Azure 事件中樞

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。