Compartilhar via

Configure Microsoft Defender para Ponto de Extremidade para transmitir eventos de Investigação Avançada para o seu Hubs de Eventos do Azure

  • Artigo

Aplica-se a:

Observação

Para obter a experiência completa de transmissão em fluxo de dados disponível, visite Stream Microsoft Defender XDR eventos | Microsoft Learn.

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Antes de começar

  1. Crie um hub de eventos no seu inquilino.

  2. Inicie sessão no inquilino do Azure e aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registem-se em Microsoft.insights.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Ativar a transmissão em fluxo de dados não processados

  1. Inicie sessão no portal Microsoft Defender como Administrador de Segurança.

  2. Aceda à página Definições de exportação de dados no portal Microsoft Defender.

  3. Selecione Adicionar definições de exportação de dados.

  4. Escolha um nome para as suas novas definições.

  5. Selecione Reencaminhar eventos para Hubs de Eventos do Azure.

  6. Escreva o nome dos Hubs de Eventos e o ID de recurso dos Hubs de Eventos.

Observação

Deixar o nome dos Hubs de Eventos vazio criará um hub de eventos para cada categoria no espaço de nomes selecionado. Os espaços de nomes dos Hubs de Eventos têm um limite de 10 Hubs de Eventos se não estiver a utilizar um Cluster de Hubs de Eventos Dedicado.

Para obter o ID de recurso dos Hubs de Eventos, aceda à página Hubs de Eventos do Azure espaço de nomes no separador > de propriedades do Azure> para copiar o texto em ID do Recurso:

O ID de recurso dos Hubs de Eventos-1

  1. Selecione os eventos que pretende transmitir em fluxo e selecione Guardar.

O esquema dos eventos no Hubs de Eventos do Azure

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

  • Cada mensagem do hub de eventos no Hubs de Eventos do Azure contém uma lista de registos.

  • Cada registo contém o nome do evento, a hora em que Microsoft Defender para Ponto de Extremidade recebido o evento, o inquilino ao qual pertence (só obtém eventos do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades".

  • Para obter mais informações sobre o esquema de Microsoft Defender para Ponto de Extremidade eventos, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

  • Em Investigação Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, todos os eventos também são decorados com esta coluna. Para obter mais informações, veja Grupos de Dispositivos.

    Observação

    A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Mapeamento de tipos de dados

Para obter os tipos de dados das propriedades do evento, faça o seguinte:

  1. Inicie sessão no portal Microsoft Defender e aceda à página Investigação Avançada.

  2. Execute a seguinte consulta para obter o mapeamento de tipos de dados para cada evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Eis um exemplo do evento Informações do Dispositivo:

    O ID de recurso dos Hubs de Eventos-2

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.