設定 適用於端點的 Microsoft Defender 將進階搜捕事件串流至記憶體帳戶
適用於:
注意事項
如需完整的數據流體驗,請流覽 Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
開始之前
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
啟用原始數據串流
移至 Microsoft Defender 全面偵測回應 中的數據匯出設定頁面。
選取 [ 新增數據匯出設定]。
選擇新設定的名稱。
選擇 [將事件轉送至 Azure 記憶體]。
輸入您的 記憶體帳戶資源識別碼。 若要取得記憶體帳戶資源標識符,請移至 [儲存體帳戶] 頁面上的 [Azure 入口網站> 屬性] 索引卷標>,複製 [儲存體帳戶資源標識符] 底下的文字:
選擇您想要串流的事件,然後選取 [ 儲存]。
記憶體帳戶中事件的架構
系統會為每個事件類型建立一個 Blob 容器:
Blob 中每個數據列的架構是下列 JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }每個 Blob 都包含多個數據列。
每個數據列都包含事件名稱、適用於端點的 Defender 收到事件的時間、它所屬的租使用者 (您只從租使用者) 取得事件,以及 JSON 格式的事件,其屬性稱為 。
properties如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊,請參閱進階搜捕概觀。
在進階搜捕 中,DeviceInfo 數據表有一個名為 MachineGroup 的數據行,其中包含裝置的群組。 在這裡,每個事件也會以此數據行裝飾。 如需詳細資訊,請參閱裝置 群組。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
數據類型對應
若要取得事件屬性的數據類型,請採取下列步驟:
登入 Microsoft Defender 入口網站,然後移至 [進階搜捕] 頁面。
執行下列查詢以取得每個事件的資料類型對應:
{EventType} | getschema | project ColumnName, ColumnType以下是裝置資訊事件的範例:
相關文章
- Stream Microsoft Defender 全面偵測回應 事件 |Microsoft Learn
- 進階搜捕概觀
- 適用於端點的 Microsoft Defender 串流 API
- Stream 適用於端點的 Microsoft Defender 事件至您的 Azure 記憶體帳戶
- Azure 記憶體帳戶檔
提示
想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。