設定 適用於端點的 Microsoft Defender 將進階搜捕事件串流至記憶體帳戶
適用於:
注意事項
如需完整的數據串流體驗,請流覽 Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
開始之前
啟用原始數據串流
以全域管理員或安全性系統管理員身分登入 Microsoft Defender 入口網站。
移至 Microsoft Defender 全面偵測回應 中的數據匯出設定頁面。
選取 [ 新增數據匯出設定]。
選擇新設定的名稱。
選擇 [將事件轉送至 Azure 記憶體]。
輸入您的 記憶體帳戶資源識別碼。 若要取得記憶體帳戶資源標識符,請移至記憶體帳戶頁面上的 [Azure 入口網站> 屬性] 索引卷標>,複製 [儲存體帳戶資源標識符] 底下的文字:
選擇您想要串流的事件,然後選取 [ 儲存]。
記憶體帳戶中事件的架構
系統會為每個事件類型建立一個 Blob 容器:
Blob 中每個數據列的架構是下列 JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
每個 Blob 都包含多個數據列。
每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只從租使用者) 取得事件,以及 JSON 格式的事件,其屬性稱為 “properties”。
如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊,請參閱進階搜捕概觀。
在進階搜捕 中,DeviceInfo 數據表有一個名為 MachineGroup 的數據行,其中包含裝置的群組。 在這裡,每個事件也會以此數據行裝飾。 如需詳細資訊,請參閱裝置 群組。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
數據類型對應
若要取得事件屬性的數據類型,請執行下列動作:
登入 Microsoft Defender 全面偵測回應 並移至 [進階搜捕] 頁面。
執行下列查詢以取得每個事件的資料類型對應:
{EventType} | getschema | project ColumnName, ColumnType
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應