檢視次數:
您可以在Cloud Accounts中啟用 Microsoft Defender 端點日誌收集,無論是新的還是現有的 Azure 訂閱。Trend Vision One 會從 Microsoft Defender 收集資料並將其儲存在您指定的日誌儲存庫中,然後您可以在 資料來源與日誌管理 中查看。啟用 Trend Vision One 中的功能後,您必須配置 Microsoft Defender 將事件匯出到 Trend Vision One

步驟

  2. 為新的或現有的 Azure 訂閱啟用 Microsoft Defender for Endpoint 日誌收集:
    1. 前往Cloud SecurityCloud Accounts
    2. 點擊 Azure 標籤。
    3. 點擊Add Subscription或從列表中選擇一個 Azure 訂閱。
    4. 在功能和權限頁面(如果您正在新增訂閱),或資源更新標籤(如果您正在配置現有訂閱),啟用Microsoft Defender for Endpoint Log Collection
    5. 預設情況下,Microsoft Defender for Endpoint 日誌收集會部署到所有區域。若要移除區域,請點擊Deployment清單並取消選中您要移除的每個區域旁邊的複選框。
  3. 指定要儲存日誌資料的日誌儲存庫:
    1. 點擊Scanner settings
    2. 從列表中選擇一個日誌存儲庫。如果不存在日誌存儲庫,請點擊連結以在Data Source and Log Management中添加日誌存儲庫。添加日誌存儲庫後,點擊刷新圖標以在列表中顯示該存儲庫並選擇它。
  4. 儲存您的變更。如果您正在新增 Azure 訂閱,請完成新增訂閱的步驟。詳細資訊,請參閱 新增 Azure 訂閱
  5. 將 Microsoft Defender 配置為匯出事件:
    1. 在 Microsoft Defender 中,前往General > Streaming API
    2. 點擊新增以建立新的串流 API 設定。
    3. 請為此設定提供一個名稱。
    4. 選擇Forward events to Event Hub
    5. Event-Hub Resource ID欄位中,輸入 /subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionID的前8個字元}
    6. Event-Hub name欄位中,輸入insights-logs-advancedhunting
    7. Event Types區域中,選擇所有Alerts & BehaviorsDevices
    8. 按一下「提交」。

接下來需執行的動作

為確保 Trend Vision One 保留 Microsoft Defender 資料防護足夠的時間,您可以配置日誌存儲庫的保留期限。預設保留期限為 30 天。詳細資訊請參閱 日誌庫