您可以在 Cloud Accounts 中啟用 Microsoft Defender for Endpoint 日誌收集,適用於新的和現有的 Azure 訂閱。Trend Vision One 收集 Microsoft Defender 的資料,並將其儲存在您指定的日誌儲存庫中,然後您可以在 資料來源與日誌管理 中查看。您還可以在網路風險暴露管理中觀察資料,包括安全配置風險事件。在 Trend Vision One 中啟用此功能後,您必須配置 Microsoft Defender 將事件匯出到 Trend Vision One。
 |
注意要啟用此功能,您必須在 Azure 中被指派密碼保險箱密碼角色。此角色在部署期間需要用於在 Azure 密碼保險箱中創建和管理密碼。
|
步驟
- 啟用 Microsoft Defender 端點日誌收集以用於新的或現有的 Azure 訂閱:
- 前往。
- 點擊 Azure 標籤。
- 點擊Add Subscription或從列表中選擇一個 Azure 訂閱。
- 在功能和權限頁面(如果您正在新增訂閱),或資源更新標籤(如果您正在配置現有訂閱),啟用Microsoft Defender for Endpoint Log Collection。
- 預設情況下,Microsoft Defender 端點日誌收集會部署到所有地區。若要移除地區,請點擊「部署」列表,然後清除您想要移除的每個地區旁邊的核取方塊。
- 如果您想啟用 XDR 的日誌收集,請點擊「Scanner settings」以配置其他設定。
- 若要啟用收集資料防護以用於 XDR,請選擇「SecOps Management」。
- 要在日誌庫中收集資料,請從列表中選擇一個日誌庫。如果不存在日誌庫,請點擊連結以在Data Source and Log Management中新增日誌庫。新增日誌庫後,點擊刷新圖示以在列表中顯示該庫並選擇它。
- 儲存您的變更。如果您正在新增 Azure 訂閱,請完成新增訂閱的步驟。詳細資訊,請參閱 新增 Azure 訂閱。
- 將 Microsoft Defender 配置為匯出事件:
- 在 Microsoft Defender 中,前往General > Streaming API。
- 點擊新增以建立新的串流 API 設定。
- 請為此設定提供一個名稱。
- 選擇Forward events to Event Hub。
- 在Event-Hub Resource ID欄位中,輸入
/subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionID的前8個字元}。 - 在Event-Hub name欄位中,輸入
insights-logs-advancedhunting。 - 在Event Types區域中,選擇所有Alerts & Behaviors和Devices。
- 按一下「提交」。