設定 適用於端點的 Microsoft Defender 將進階搜捕事件串流至記憶體帳戶

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender

注意事項

如需完整的數據串流體驗，請流覽 Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

開始之前

1. Create 租使用者中的記憶體帳戶。

2. 登入您的 Azure 租使用者，移至訂 用帳戶您的訂用 > 帳戶 > 資源提供者 > 註冊至 Microsoft.insights。

啟用原始數據串流

1. 以全域管理員或安全性系統管理員身分登入 Microsoft Defender 入口網站。

2. 移至 Microsoft Defender 全面偵測回應 中的數據匯出設定頁面。

3. 選取 [ 新增數據匯出設定]。

4. 選擇新設定的名稱。

5. 選擇 [將事件轉送至 Azure 記憶體]。

6. 輸入您的 記憶體帳戶資源識別碼。 若要取得記憶體帳戶資源標識符，請移至記憶體帳戶頁面上的 [Azure 入口網站> 屬性] 索引卷標>，複製 [儲存體帳戶資源標識符] 底下的文字：

   

7. 選擇您想要串流的事件，然後選取 [ 儲存]。

記憶體帳戶中事件的架構

• 系統會為每個事件類型建立一個 Blob 容器：

  

• Blob 中每個數據列的架構是下列 JSON：

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• 每個 Blob 都包含多個數據列。

• 每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只從租使用者) 取得事件，以及 JSON 格式的事件，其屬性稱為 “properties”。

• 如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊，請參閱進階搜捕概觀。

• 在進階搜捕 中，DeviceInfo 數據表有一個名為 MachineGroup 的數據行，其中包含裝置的群組。 在這裡，每個事件也會以此數據行裝飾。 如需詳細資訊，請參閱裝置 群組。

  注意事項

  適用於端點的Defender方案1和方案2支援裝置群組建立。

數據類型對應

若要取得事件屬性的數據類型，請執行下列動作：

1. 登入 Microsoft Defender 全面偵測回應 並移至 [進階搜捕] 頁面。

2. 執行下列查詢以取得每個事件的資料類型對應：

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• 以下是裝置資訊事件的範例：

  

相關文章

• Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn

• 進階搜捕概觀

• 適用於端點的 Microsoft Defender 串流 API

• 將事件 Stream 適用於端點的 Microsoft Defender 至您的 Azure 記憶體帳戶

• Azure 記憶體帳戶檔

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。