Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.
Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.
Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.
Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.
Selengkapnya: Medium
