Gelişmiş Tehdit Avcılığı olaylarını Azure Event Hubs'ınıza akışla aktaracak şekilde Uç Nokta için Microsoft Defender'ı yapılandırma
Şunlar için geçerlidir:
Not
Kullanılabilir tam veri akışı deneyimi için lütfen Microsoft Defender XDR olaylarını akışla aktarma sayfasını ziyaret edin | Microsoft Learn.
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Başlamadan önce
Kiracınızda bir olay hub'ı oluşturun.
Azure kiracınızda oturum açın, Abonelikler>Aboneliğiniz>Kaynak Sağlayıcıları>Microsoft.insights'a kaydolun bölümüne gidin.
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Ham veri akışını etkinleştirme
Microsoft Defender portalındaGüvenlik Yöneticisi olarak oturum açın.
Microsoft Defender portalında Veri dışarı aktarma ayarları sayfasına gidin.
Veri dışarı aktarma ayarları ekle'yi seçin.
Yeni ayarlarınız için bir ad seçin.
Olayları Azure Event Hubs'a ilet'i seçin.
Event Hubs adınızı ve Event Hubs kaynak kimliğinizi yazın.
Not
Event Hubs adını boş bırakmak, seçilen ad alanındaki her kategori için bir olay hub'ı oluşturur. Ayrılmış Event Hubs Kümesi kullanmıyorsanız Event Hubs ad alanları 10 Event Hubs sınırına sahiptir.
Event Hubs kaynak kimliğinizi almak için Azure özellikler sekmesindeki >Azure> Event Hubs ad alanı sayfanıza gidin ve Kaynak Kimliği altındaki metni kopyalayın:
- Akış yapmak istediğiniz olayları seçin ve Kaydet'i seçin.
Azure Event Hubs'taki olayların şeması
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs'taki her olay hub'ı iletisi kayıtların listesini içerir.
Her kayıt olay adını, Uç Nokta için Microsoft Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.
Uç Nokta için Microsoft Defender olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.
Gelişmiş Avcılık'ta DeviceInfo tablosunda, cihazın grubunu içeren MachineGroup adlı bir sütun bulunur. Burada her olay da bu sütunla dekore edilmiştir. Daha fazla bilgi için bkz . Cihaz Grupları.
Not
Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.
Veri türleri eşlemesi
Olay özelliklerinin veri türlerini almak için aşağıdakileri yapın:
Microsoft Defender portalında oturum açın ve Gelişmiş Tehdit Avcılığı sayfasına gidin.
Her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:
{EventType} | getschema | project ColumnName, ColumnType
Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:
İlgili makaleler
- Microsoft Defender XDR olaylarını akışla aktarma | Microsoft Learn
- Gelişmiş Avcılık'a Genel Bakış
- Uç Nokta için Microsoft Defender akış API'si
- Uç Nokta için Microsoft Defender olaylarını Azure depolama hesabınıza akışla aktarma
- Azure Event Hubs belgeleri
- Bağlantı sorunlarını giderme - Azure Event Hubs
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.