Настройка Microsoft Defender для конечной точки для потоковой передачи событий Расширенной охоты в Центры событий Azure
Область применения:
Примечание.
Полный доступ к потоковой передаче данных см. в статье События XDR в Microsoft Defender | Microsoft Learn.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Подготовка к работе
Создайте концентратор событий в клиенте.
Войдите в клиент Azure, перейдите в раздел Подписки Ваши поставщики>ресурсов>подписки>Зарегистрируйте в Microsoft.insights.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Включение потоковой передачи необработанных данных
Войдите на портал Microsoft Defender в качестве администратора безопасности.
Перейдите на страницу Параметры экспорта данных на портале Microsoft Defender.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий в Центры событий Azure.
Введите имя Центров событий и идентификатор ресурса Центров событий.
Примечание.
Если оставить имя Центров событий пустым, будет создан концентратор событий для каждой категории в выбранном пространстве имен. Пространства имен Центров событий имеют ограничение в 10 Центров событий, если вы не используете выделенный кластер Центров событий.
Чтобы получить идентификатор ресурса Центров событий, перейдите на страницу пространства имен Центров событий Azure на вкладке > свойств Azure>, скопируйте текст в разделе Идентификатор ресурса:
- Выберите события для потоковой передачи и нажмите кнопку Сохранить.
Схема событий в Центрах событий Azure
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Каждое сообщение концентратора событий в Центрах событий Azure содержит список записей.
Каждая запись содержит имя события, время получения события Microsoft Defender для конечной точки, клиент, которому оно принадлежит (события получаются только из клиента), а также событие в формате JSON в свойстве с именем properties.
Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Обзор расширенной охоты.
В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также украшено этим столбцом. Дополнительные сведения см. в разделе Группы устройств.
Примечание.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
Сопоставление типов данных
Чтобы получить типы данных для свойств событий, сделайте следующее:
Войдите на портал Microsoft Defender и перейдите на страницу Расширенная охота.
Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:
{EventType} | getschema | project ColumnName, ColumnType
Ниже приведен пример события Сведений об устройстве:
Связанные статьи
- Потоковая передача событий XDR в Microsoft Defender | Microsoft Learn
- Обзор расширенной охоты
- API потоковой передачи Microsoft Defender для конечной точки
- Потоковая передача событий Microsoft Defender для конечной точки в учетную запись хранения Azure
- Документация по Центрам событий Azure
- Устранение проблем с подключением — Центры событий Azure
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.