您可以在 Cloud Accounts 中啟用 Microsoft Defender for Endpoint 日誌收集,適用於新的和現有的 Azure 訂閱。部署此功能可為您提供有關有風險或惡意端點活動的可行見解。偵測模型可識別惡意程式執行、可疑檔案修改、橫向移動嘗試以及未經授權存取敏感資料等行為。
Microsoft Defender for Endpoint 日誌收集提供網路風險暴露管理和 XDR 功能:
-
當您在 Azure 訂閱中部署 Microsoft Defender for Endpoint 日誌收集時,網路風險暴露管理會自動啟動。Trend Vision One 收集
DeviceInfo和DeviceNetworkInfo事件,並將它們發送到網路風險暴露管理,您可以在那裡查看安全配置風險事件。
注意
啟用 Microsoft Defender 端點日誌收集後,每個被評估的桌面或伺服器都需要使用 Cyber Risk Exposure Management 點數。欲了解詳細資訊,請參閱 Trend Vision One 解決方案、功能和特性的信用需求。 -
您可以選擇啟用 Azure 訂閱的 XDR 資料收集,將偵測和日誌資料發送到以下安全操作功能:
-
IDENTITY SECURITY
-
DATA SECURITY
-
ENDPOINT SECURITY
-
Cloud Security
-
NETWORK SECURITY
-
EMAIL AND COLLABORATION SECURITY
在 Microsoft Defender 端點日誌收集的預發布期間,XDR 資料收集不需要使用點數。 -
|
注意在啟用 Microsoft Defender 端點日誌收集之前,請注意以下事項:
|
步驟
- 啟用 Microsoft Defender 端點日誌收集以用於新的或現有的 Azure 訂閱:
- 移至「」。
- 點擊 Azure 標籤。
- 點擊Add Subscription或從列表中選擇一個 Azure 訂閱。
- 在「Features and Permissions」頁面(如果您正在新增訂閱),或「Resource Update」標籤(如果您正在配置現有訂閱)中,啟用「Microsoft Defender for Endpoint Log Collection」。
- 要啟用 XDR 資料收集,請點擊「Subscription settings」。
- 若要啟用收集資料防護以用於 XDR,請選擇「XDR data collection」。
- 從列表中選擇 Trend Vision One 中的日誌儲存庫。如果尚未在 Trend Vision One 中添加日誌儲存庫,請點擊鏈接以在 「Third-Party Log Collection」 中添加日誌儲存庫。添加日誌儲存庫後,點擊刷新圖標以在列表中顯示儲存庫並選擇它。
- 點擊「Save Changes」。
- 如果您正在新增 Azure 訂閱,請完成新增訂閱的步驟。欲了解詳細資訊,請參閱 新增 Azure 訂閱。如果您正在更新現有的 Azure 訂閱,請進行下一步。
- 將 Microsoft Defender 配置為匯出事件:
- 在 Microsoft Defender 中,前往「一般」 ➞ 「Streaming API」。
- 點擊新增以建立新的串流 API 設定。
- 請為此設定提供一個名稱。
- 選擇Forward events to Event Hub。
- 在Event-Hub Resource ID欄位中,輸入
/subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionID的前8個字元}。其中{subscriptionID}是您的 Azure 訂閱 ID。 - 在Event-Hub name欄位中,輸入
insights-logs-advancedhunting。 - 在Event Types區域中,選擇所有Alerts & Behaviors和Devices。
- 按一下「提交」。