Configuración de Microsoft Defender para punto de conexión para transmitir eventos de búsqueda avanzada a Azure Event Hubs

Se aplica a:

Nota:

Para obtener la experiencia de streaming de datos completa disponible, visite Stream Microsoft Defender XDR events | Microsoft Learn.

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Antes de empezar

  1. Cree un centro de eventos en el inquilino.

  2. Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Losproveedores de recursos> de suscripción >se registran en Microsoft.insights.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Habilitación del streaming de datos sin procesar

  1. Inicie sesión en el portal de Microsoft Defender como administrador de seguridad.

  2. Vaya a la página Configuración de exportación de datos en el portal de Microsoft Defender.

  3. Seleccione Agregar configuración de exportación de datos.

  4. Elija un nombre para la nueva configuración.

  5. Elija Reenviar eventos a Azure Event Hubs.

  6. Escriba el nombre de Event Hubs y el identificador de recurso de Event Hubs.

Nota:

Si deja el nombre de Event Hubs como vacío, creará un centro de eventos para cada categoría del espacio de nombres seleccionado. Los espacios de nombres de Event Hubs tienen un límite de 10 Event Hubs si no usa un clúster de Event Hubs dedicado.

Para obtener el identificador de recurso de Event Hubs, vaya a la página del espacio de nombres de Azure Event Hubs en la pestaña > Propiedades de Azure> y copie el texto en Id. de recurso:

Id.1 del recurso de Event Hubs

  1. Elija los eventos que desea transmitir y seleccione Guardar.

Esquema de los eventos en Azure Event Hubs

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}
  • Cada mensaje del centro de eventos de Azure Event Hubs contiene una lista de registros.

  • Cada registro contiene el nombre del evento, la hora en que Microsoft Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

  • Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, consulte Información general sobre la búsqueda avanzada.

  • En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí, cada evento también está decorado con esta columna. Para obtener más información, consulte Grupos de dispositivos.

    Nota:

    La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Asignación de tipos de datos

Para obtener los tipos de datos de las propiedades de evento, haga lo siguiente:

  1. Inicie sesión en el portal de Microsoft Defender y vaya a la página Búsqueda avanzada.

  2. Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

    {EventType}
    | getschema
    | project ColumnName, ColumnType 
    
  • Este es un ejemplo del evento Device Info:

    Id.2 del recurso de Event Hubs

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.