Configuración de Microsoft Defender para punto de conexión para transmitir eventos de búsqueda avanzada a la cuenta de almacenamiento
Se aplica a:
Nota:
Para obtener la experiencia de streaming de datos completa disponible, visite Stream Microsoft Defender XDR events | Microsoft Learn.
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Antes de empezar
Cree una cuenta de almacenamiento en el inquilino.
Inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Losproveedores de recursos> de suscripción >se registran en Microsoft.insights.
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Habilitación del streaming de datos sin procesar
Inicie sesión en el portal de Microsoft Defender como administrador de seguridad.
Vaya a la página Configuración de exportación de datos en Microsoft Defender XDR.
Seleccione Agregar configuración de exportación de datos.
Elija un nombre para la nueva configuración.
Elija Reenviar eventos a Azure Storage.
Escriba el identificador de recurso de la cuenta de almacenamiento. Para obtener el identificador de recurso de la cuenta de almacenamiento, vaya a la página Cuenta de almacenamiento en la pestaña > de propiedades de Azure Portal> y copie el texto en Id. de recurso de la cuenta de almacenamiento:
Elija los eventos que desea transmitir y seleccione Guardar.
Esquema de los eventos de la cuenta de almacenamiento
Se crea un contenedor de blobs para cada tipo de evento:
El esquema de cada fila de un blob es el siguiente JSON:
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }Cada blob contiene varias filas.
Cada fila contiene el nombre del evento, la hora en que Defender para punto de conexión recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en formato JSON en una propiedad denominada
properties.Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, consulte Información general sobre la búsqueda avanzada.
En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí, cada evento también está decorado con esta columna. Para obtener más información, consulte Grupos de dispositivos.
Nota:
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Asignación de tipos de datos
Para obtener los tipos de datos de nuestras propiedades de eventos, siga estos pasos:
Inicie sesión en el portal de Microsoft Defender y vaya a la página Búsqueda avanzada.
Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:
{EventType} | getschema | project ColumnName, ColumnTypeEste es un ejemplo del evento Device Info:
Artículos relacionados
- Transmisión de eventos XDR de Microsoft Defender | Microsoft Learn
- Introducción a la búsqueda avanzada
- API de streaming de Microsoft Defender para punto de conexión
- Transmisión de eventos de Microsoft Defender para punto de conexión a la cuenta de Azure Storage
- Documentación de la cuenta de Azure Storage
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.