檢視次數:
您可以在 Cloud Accounts 中啟用 Microsoft Defender for Endpoint 日誌收集,適用於新的和現有的 Azure 訂閱。部署此功能可為您提供有關有風險或惡意端點活動的可行見解。偵測模型可識別惡意程式執行、可疑檔案修改、橫向移動嘗試以及未經授權存取敏感資料等行為。
Microsoft Defender for Endpoint 日誌收集提供網路風險暴露管理和 XDR 功能:
  • 當您在 Azure 訂閱中部署 Microsoft Defender for Endpoint 日誌收集時,網路風險暴露管理會自動啟動。Trend Vision One 收集 DeviceInfoDeviceNetworkInfo 事件,並將它們發送到網路風險暴露管理,您可以在那裡查看安全配置風險事件。
    注意
    注意
    啟用 Microsoft Defender 端點日誌收集後,每個被評估的桌面或伺服器都需要使用 Cyber Risk Exposure Management 點數。欲了解詳細資訊,請參閱 Trend Vision One 解決方案、功能和特性的信用需求
  • 您可以選擇啟用 Azure 訂閱的 XDR 資料收集,將偵測和日誌資料發送到以下安全操作功能:
    • IDENTITY SECURITY
    • DATA SECURITY
    • ENDPOINT SECURITY
    • Cloud Security
    • NETWORK SECURITY
    • EMAIL AND COLLABORATION SECURITY
    在 Microsoft Defender 端點日誌收集的預發布期間,XDR 資料收集不需要使用點數。
注意
注意
在啟用 Microsoft Defender 端點日誌收集之前,請注意以下事項:
  • 您必須被指派 Azure 密碼保險箱的密碼角色。此角色在部署期間需要用於在 Azure 密碼保險箱中建立和管理密碼。
  • 當您啟用 Microsoft Defender 端點日誌收集時,必須將 Microsoft Defender 配置為將事件匯出到 Trend Vision One。配置 Microsoft Defender 的說明包含在以下步驟中。

步驟

  1. 啟用 Microsoft Defender 端點日誌收集以用於新的或現有的 Azure 訂閱:
    1. 移至「Cloud SecurityCloud Accounts」。
    2. 點擊 Azure 標籤。
    3. 點擊Add Subscription或從列表中選擇一個 Azure 訂閱。
    4. 「Features and Permissions」頁面(如果您正在新增訂閱),或「Resource Update」標籤(如果您正在配置現有訂閱)中,啟用「Microsoft Defender for Endpoint Log Collection」
  2. 要啟用 XDR 資料收集,請點擊「Subscription settings」
    1. 若要啟用收集資料防護以用於 XDR,請選擇「XDR data collection」
    2. 從列表中選擇 Trend Vision One 中的日誌儲存庫。如果尚未在 Trend Vision One 中添加日誌儲存庫,請點擊鏈接以在 「Third-Party Log Collection」 中添加日誌儲存庫。添加日誌儲存庫後,點擊刷新圖標以在列表中顯示儲存庫並選擇它。
    3. 點擊「Save Changes」
  3. 如果您正在新增 Azure 訂閱,請完成新增訂閱的步驟。欲了解詳細資訊,請參閱 新增 Azure 訂閱。如果您正在更新現有的 Azure 訂閱,請進行下一步。
  4. 將 Microsoft Defender 配置為匯出事件:
    1. 在 Microsoft Defender 中,前往「一般」「Streaming API」
    2. 點擊新增以建立新的串流 API 設定。
    3. 請為此設定提供一個名稱。
    4. 選擇Forward events to Event Hub
    5. Event-Hub Resource ID欄位中,輸入 /subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionID的前8個字元}
      其中 {subscriptionID} 是您的 Azure 訂閱 ID。
    6. Event-Hub name欄位中,輸入insights-logs-advancedhunting
    7. Event Types區域中,選擇所有Alerts & BehaviorsDevices
    8. 按一下「提交」。

後續步驟

為確保 Trend Vision One 保留 Microsoft Defender 資料防護足夠的時間,您可以配置日誌存儲庫的保留期限。預設保留期限為 30 天。詳細資訊請參閱 日誌庫